Comme le recommande l’ANSSI, ainsi que tout autre cyber-expert, les victimes d’attaques de ransomwares ne doivent jamais fléchir devant les demandes des hackers et payer la rançon demandée.
Récemment, la Direction générale du Trésor a publié un rapport dédié au développement de l’assurance contre les cyber-risques. Dans ce rapport, Bercy recommande de renforcer le marché de la cyberassurance comme levier pour renforcer la résilience des organisations face aux cybermenaces.
Pour ce faire, le rapport suggère que les entreprises, ayant payé des hackers suite à une attaque par ransomware et qui porteraient plainte dans les 48 heures, pourraient demander à leur service d’assurance de les rembourser. Une recommandation qui va à l’encontre de celles des acteurs de l’écosystème de la cybersécurité.
L’objectif de ces propositions est d’accroître la sensibilisation des PME aux risque cyber et, in fine, d’augmenter les souscriptions aux assurances, de renforcer le secteur et de le rendre plus pérenne.
Entre les lignes, le rapport indique que les organisations devraient éviter de payer la rançon mais, si elles étaient contraintes à le faire, d’agir de sorte qu’il est possible de suivre l’argent.
Payer une rançon n’est jamais une bonne option
Comme le recommande l’ANSSI, ainsi que tout autre cyber-expert, les victimes d’attaques de ransomwares ne doivent jamais fléchir devant les demandes des hackers et payer la rançon demandée.
En effet, rien ne garantit que les cybercriminels agissent comme ils le promettent : les entreprises peuvent ne pas récupérer les données qui ont été chiffrées ; et, si elles les obtiennent, il y a une forte probabilité que les hackers les aient déjà mises en vente sur le Dark Web pour gagner de l’argent supplémentaire, ou qu’ils aient modifié les données entre-temps si l’attaque prévoyait de nuire à l’entreprise à long terme.
De plus, le paiement ne constitue pas une stratégie de défense concrète, puisque cela n’empêche pas les organisations d’être de nouveau ciblées à l’avenir. C’est en fait tout le contraire car les cybercriminels sauront qu’elles sont susceptibles de se soumettre à la demande de rançon et ils seront par conséquent enclins à diriger de nouvelles campagnes malveillantes vers elles.
Les frais de cyberassurance vont augmenter
Comme tout autre marché d’assurance, celui dédié aux cyber-risques base sa tarification sur la probabilité de rembourser les souscripteurs. Par conséquent, si les réglementations en vigueur obligent les entreprises à payer des rançons et s’assurent que les assureurs doivent les rembourser, les frais augmenteront donc automatiquement de manière significative. Les PME sont plus susceptibles de souffrir de cette situation car elles pourraient alors ne pas être en mesure de se payer une cyberassurance.
Favoriser l’activité des rançongiciels
La cybercriminalité a le même fonctionnement que n’importe quelle autre industrie : ses parties prenantes poursuivront les activités qu’elles jugent rentables. Si les organisations se sentent encouragées à payer les demandes de rançon des cybercriminels, ces derniers considéreront alors ces attaques comme un bon investissement et continueront à les déployer.
Payer une rançon n’est de ce fait qu’un cercle vicieux ; notamment parce que les attaquants feront en sorte de continuer à augmenter le montant de leurs rançons dans ce paradigme.
Faire face efficacement aux attaques de ransomwares
Pour que toute stratégie de sécurité fonctionne, les employés doivent être formés avec soin afin de connaître les éléments essentiels de cyber-hygiène. Cependant, même la formation la plus complète ne peut garantir que les employés suivront toujours les meilleures pratiques de sécurité et ne tomberont pas occasionnellement dans le piège d’une tentative de phishing.
Pour pallier ce risque, un plan efficace nécessite une détection, une réponse et une récupération des données rapides. Pour ce faire, une stratégie de cybersécurité efficace doit inclure :
> Inventaire des données
Pour réduire le risque de perdre l’accès à leurs données sensibles, les organisations doivent savoir exactement quels types d’informations elles stockent et les sécuriser en fonction de leur valeur. En termes simples, il est impossible de protéger toutes les données, il faut donc se concentrer sur les plus sensibles. De plus, étant donné que les ransomwares reposent souvent sur les droits d’accès du compte d’utilisateur compromis, l’application continue du principe du zéro privilège permanent minimisera le volume de données pouvant être chiffrées lors d’une attaque.
> Détection d’une anomalie
Les entreprises doivent surveiller le comportement des utilisateurs sur tous les systèmes et données critiques, sur site et dans le cloud. Une activité inhabituelle peut en effet indiquer une attaque, en particulier si elle implique une modification de la liste des extensions de fichiers restreintes. Une détection et une contre-action rapides au stade précoce des cyberattaques sont essentielles pour minimiser les dommages, car l’exfiltration ou le chiffrement des données prend du temps.
> Plan de réponse aux incidents
Les organisations doivent documenter les étapes pour répondre efficacement aux signes d’une attaque, y compris qui est responsable de quoi et à quel niveau. Le personnel, l’environnement informatique et le paysage des menaces étant en constante évolution, le plan doit être testé régulièrement et mis à jour si nécessaire.
> Alignement de la sauvegarde et la restauration
Il convient d’optimiser les sauvegardes pour s’assurer que les données et les services les plus cruciaux soient restaurés rapidement. Après cela, grâce aux informations détaillées concernant les fichiers qui ont été modifiés ou supprimés lors d’une attaque de ransomware, les équipes informatiques pourront uniquement restaurer ce qui a été compromis.
Cette stratégie réduit par conséquent l’étendue des efforts nécessaires, accélère le processus de récupération et minimise les interruptions de service.
Le paiement d’une rançon ne devrait jamais être considéré par les entreprises comme un moyen de faire face à une attaque de ransomware. Pour faire face à ces cybermenaces, les entreprises doivent contenir les dommages éventuels grâce à une approche approfondie de la sécurité et de la défense.
Photo credit: portalgda via Visualhunt.com / CC BY-NC-SA
