Pourquoi, lorsqu’elles sont victimes d’attaques par ransomware, les entreprises acceptent-elles encore de payer ? La réponse revêt plusieurs dimensions.
Il est triste de constater que de nombreuses victimes de chantage réussi n’avaient pas suivi les meilleures pratiques en matière de sécurité préventive. Car c’est un fait, ignorer les pratiques de sécurité courantes n’est pas toujours une décision consciente.
Très souvent, les organisations touchées avaient bien conscience du danger, mais elles s’étaient fixé d’autres priorités, ou n’avaient sécurisé que ce qu’elles pensaient être des biens essentiels, sans assurer une protection complète de l’entreprise. Or la procrastination et le sentiment du « ça n’arrive qu’aux autres » font le jeu des attaquants.
Le problème n’est pas traité à la racine
L’attentisme combiné à l’intention de remettre les choses à plus tard est un trait typique de la nature humaine. En outre, de nombreuses entreprises utilisent encore des systèmes de contrôles datant d’hier pour résoudre les problèmes de demain. C’est une véritable course contre la montre et nous avons souvent les mains liées, pendant que les attaquants s’appuient sur des technologies de pointe et sur l’automatisation pour détecter les vulnérabilités des réseaux.
Il arrive que seul le périphérique final soit sécurisé, que les pares-feux soient mis à niveau et que les VPN soient étendus, ou que des technologies supplémentaires soient achetées pour « sécuriser le réseau ». Cependant, cette méthode ne traite que les symptômes superficiels sans s’attaquer au problème de manière globale, à la racine.
Aujourd’hui, la résolution des problèmes exige de nouvelles approches de sécurité qui évoluent avec le temps. Après tout, les environnements de travail et les modèles commerciaux ont fondamentalement changé. Les collaborateurs ne sont plus « sur le réseau » mais travaillent de n’importe où et les applications et les données sont également souvent déplacées vers le cloud. Il convient d’adopter une philosophie de sécurité globale qui aborde le problème différemment.
C’est exactement ce que propose le Zero Trust : un cadre qui ne doit pas être considéré comme une simple fonctionnalité technologique de plus, mais comme une approche totalement différente permettant de minimiser la surface d’attaque.
Redéfinir les priorités
Pour amorcer le changement, il est utile de savoir que l’attaquant n’a besoin de parvenir à ses fins qu’une seule fois avec son ransomware. Une entreprise, en revanche, doit être capable de résister à toutes les attaques.
Toutefois, le fait qu’une protection à 100 % soit impossible ne doit pas pour autant inciter à faire l’autruche. Les entreprises sont mises au défi de faire pencher la balance en leur faveur et de limiter les risques de réussite d’une attaque par ransomware.
Il s’agit également, par exemple, d’empêcher tout mouvement latéral dans le réseau si l’obstacle d’entrée a été franchi. Le fait de compliquer autant que possible la tâche des acteurs de la menace qui souhaitent chiffrer ou exfiltrer les actifs critiques de l’entreprise peut les amener à se détourner de leur objectif et à se concentrer sur des victimes plus faciles : à savoir celles qui offrent encore de vastes surfaces d’attaque.
Une bonne résolution pour 2023 : se tourner vers la prévention, et ne plus se contenter de combler les lacunes et de se retrancher derrière des excuses. Une approche Zero Trust basée sur le cloud devrait figurer en tête de la liste des tâches de sécurité à effectuer pour sécuriser de manière exhaustive les environnements de travail et de production modernes. 21% des entreprises dans le monde se sont déjà engagées en ce sens et 39% sont déjà en train de mettre en œuvre ce type d’approche*.
Ce faisant, les entreprises dotées d’une stratégie Zero Trust contrecarrent les cybercriminels grâce à une protection appropriée et réduisent le risque d’être exposé aux ransomwares. Gageons que les entreprises prennent la sage décision de se doter d’une véritable stratégie de sécurité. Il y a urgence à se protéger du risque cyber, car l’année 2023 s’annonce aussi riche en attaques de tous genres que l’année écoulée.
* selon l’étude mondiale https://info.zscaler.com/resources-industry-reports-the-state-of-zero-trust-transformation-2023-f
