Bien que les ransomwares soient une préoccupation majeure au sein des conseils d’administration, que peuvent faire les organisations pour s’assurer qu’elles sont en mesure d’empêcher de telles attaques de pénétrer leurs systèmes informatiques et de voler leurs données ?
Que cette tribune aborde la question des ransomwares ne surprendra personne – ces attaques ont fait la une des journaux tout au long de l’année, en portant atteinte à de grands groupes bien connus (mais aussi à un tas d’autres entreprises), avec une augmentation constante tout au long de l’année 2021.
Provoquant fréquemment des dénis de service, les ransomwares ont visé des activités essentielles en s’attaquant aux organisations du secteur de la santé, de l’alimentaire, du retail ou encore de l’énergie. D’après le dernier rapport de l’ANSSI et du BSI, entre l’année 2019 et l’année 2020, le nombre d’attaques impliquant un ransomware a augmenté de 255 %.
De manière très claire, nous observons une professionnalisation de la cybercriminalité : l’histoire du hacker isolé dans son garage n’est plus, remplacée par celle d’entreprises multinationales muée par des objectifs divers : financiers, d’intelligence, gouvernementaux. C’est donc sans surprise que le chiffre rapportant que 64 % des entreprises aient été victimes d’au moins une cyberattaque dans leur histoire ait été établi cette année.
Bien que les ransomwares soient une préoccupation majeure au sein des conseils d’administration, que peuvent faire les organisations pour s’assurer qu’elles sont en mesure d’empêcher de telles attaques de pénétrer leurs systèmes informatiques et de voler leurs données ?
Adopter une approche segmentée des données pour une défense maximale
Les attaques de ransomware peuvent provenir de n’importe où et à tout moment – aucune entreprise, quelle que soit sa taille ou son secteur d’activité n’est épargnée. La segmentation de l’approche sécuritaire est essentielle pour la mise en œuvre d’une meilleure protection contre de telles attaques et assurer la pérennité des défenses contre les nouvelles cybermenaces.
Segmenter son approche concernant la sécurité des données permet d’avoir une vision claire de ce qui constitue le patrimoine de l’entreprise et donc de simplifier d’éventuels plans de reprise. Pour cela, 5 principes fondamentaux doivent être intégrés par l’organisation :
1 – Gérer l’identification
La protection et la sécurisation des données ne se résument pas à l’authentification, au contrôle des accès ou encore à l’audit. La première étape devrait toujours être d’identifier les données. Il est essentiel de connaitre ses données et leur emplacement pour les protéger. Comment protéger les données si on ne sait pas si elles existent, où elles ne sont ni quelle est leur nature ?
2 – Protéger
L’identification précise des données est fondamentale pour concevoir la bonne architecture et le modèle de coût adapté qui protégeront le mieux les données à long terme. Très souvent, les entreprises utilisent différentes solutions technologiques qui ne permettent pas d’identifier les données importantes ou ne les intègrent pas correctement.
L’utilisation d’une solution unique et intégrée facilitera leur protection, car toutes les données seront regroupées dans la même solution. En cas d’attaque par ransomware, il y a moins de risques que des données soient impactées par une mauvaise interprétation des périmètres de protection liées à l’utilisation de plusieurs solutions.
3 – Détecter les menaces
Une gestion complète du corpus de données est très importante car elle permet de mettre en place la protection la plus efficace. Ceci est crucial pour permettre de détecter rapidement et facilement les vulnérabilités – essentiel pour limiter l’impact d’une attaque, si elle pénètre le système. Les organisations qui détectent rapidement une vulnérabilité réduisent l’impact et les dommages en cas d’attaque par ransomware.
4 – Répondre et réagir
Il est essentiel de surveiller et de tester en permanence ses solutions de sécurité. La maitrise de son environnements informatiques permet de détecter rapidement toute anomalie et de réagir en conséquence avec confiance et rapidité. Il est également important de s’assurer que les SI sachent exactement ce qu’il faut faire si une telle attaque se produit afin de limiter les temps d’arrêt et d’éviter la perte de données. On ne s’entraîne jamais assez à réagir à une attaque de ransomware !
5 – Se rétablir
Les entreprises qui surmontent les attaques de ransomware et récupèrent leurs systèmes rapidement et facilement sont celles qui gardent leur calme et ont mis en place des procédures de récupération. Nous revenons ainsi au prérequis pour reprendre le contrôle en cas d’attaque : ceux qui savent quoi faire peuvent gérer la situation de crise de manière calme et efficace.
De nombreuses organisations se tournent vers des solutions basées sur le cloud computing en adoptant des modèles de travail hybrides, ce qui constitue une couche de sauvegarde supplémentaire à prendre en compte lorsqu’il s’agit de récupérer des données perdues. Si elles sont victimes d’une attaque par ransomware, les ensembles de données peuvent être renvoyés dans un environnement sûr, sans avoir à vérifier manuellement que chaque ensemble de données est nettoyé.
Ces cinq étapes, déterminées par le NIST, ne sont pas infaillibles à 100 %, mais suivre ce cadre atténue certainement le risque de devoir récupérer en aval en cas d’attaque.
Un changement de paradigme est-il à prévoir ?
On peut dire qu’il est difficile de prévoir quand et comment la menace des ransomwares s’atténuera. Tant que les entreprises continueront de payer la rançon – et elles étaient 32 % en France début 2021 d’après une étude de Sophos – les cybercriminels continueront de déployer de tels logiciels malveillants. Bien qu’il soit facile de dire que les organisations devraient simplement arrêter de payer, la plupart estiment qu’elles n’ont pas le choix une fois que leurs données critiques sont entre les mains de cybercriminels.
De plus, être victime d’un ransomware est très souvent traité comme une sorte de tare, qu’il serait essentiel de cacher. A cela s’ajoutent les offres, de plus en plus nombreuses, d’assurances contre les risques cybers, qui prévoient souvent un paiement de la rançon.
Le changement pourrait émerger avec les actions gouvernementales qui se mettent en place. En France, celles-ci sont nombreuses (Cybermalveillance.gouv, Guide des bonnes pratiques de l’ANSSI, centre Cert-F…) et le gouvernement s’est engagé une nouvelle fois cette année sur de nouvelles règles et investissements pour aider à mieux protéger les entreprises.
Les nombreux coups de fil d’Europol et d’Interpol montrent également le point d’honneur mis par les gouvernements à poursuivre et mettre hors d’état de nuire ces criminels. Sans nul doute, ces actions législatives, au niveau national comme international aident à sensibiliser les entreprises au besoin de se protéger et d’être proactifs face aux cybermenaces.
