Au cours des deux dernières années, le nombre d'attaques par ransomware a doublé. Ces attaques sont devenues non seulement plus fréquentes, mais aussi plus complexes et plus agressives, ce qui en fait une menace à surveiller en 2024.
Avant d'approfondir ce sujet, il est pertinent de clarifier la nature d'un ransomware et d'examiner pourquoi il est désigné comme l'une des cybermenaces les plus préjudiciables à ce jour.
Qu'est-ce qu'un ransomware et quelles sont les cibles priviligiées ?
Un ransomware est un type de logiciel malveillant qui verrouille et chiffre les données d'un système, contraignant les utilisateurs à payer une rançon pour récupérer l'accès à leurs fichiers.
Les entreprises, en particulier celles générant des revenus importants, sont les principales cibles des attaques de ransomware. Récemment, les secteurs les plus visés incluent l'industrie manufacturière, les services, le commerce de détail, les services financiers et le secteur de la santé.
Quelles sont les raisons de la prolifération des ransomwares ?
L'une des principales raisons réside dans l'utilisation de l'intelligence artificielle (IA) par les cybercriminels, leur permettant de concevoir des logiciels malveillants plus rapidement, plus adaptables et capables de contourner les mesures de sécurité traditionnelles.
En effet, selon Microsoft, 98 % des ransomwares peuvent infiltrer le système d'une entreprise en moins de quatre heures, tandis que les plus malveillants peuvent le faire en seulement 45 minutes.
De plus, selon Pankaj Dwivedi, expert en cybersécurité chez Alter Solutions, plusieurs autres facteurs peuvent expliquer la croissance exponentielle des attaques de ransomware :
- Télétravail
Les entreprises n'étaient pas suffisamment préparées à l'essor du télétravail. Malgré la mise en place de politiques pour favoriser le télétravail et prévenir toute interruption des activités, des failles persistent, notamment en ce qui concerne la sensibilisation à la sécurité et les protocoles de réponse. - Méthodes de paiement en crypto-monnaies
L'anonymat des transactions effectuées en cryptomonnaies complique la tâche des autorités chargées de traquer les opérateurs de ransomwares.
- Accès élargi au dark web
L'accessibilité au dark web s'est développé, tout comme le marché des données volées, disponibles à des prix attractifs. - Techniques et outils sophistiqués
Les techniques avancées de chiffrement, d'extorsion et de déploiement de ransomwares, ainsi que l'accès à divers outils de piratage automatisés et kits d'exploitation, permettent à des personnes moins qualifiées de lancer des attaques de ransomwares. - Gestion des vulnérabilités et des correctifs
L'incapacité à identifier les vulnérabilités ou à appliquer les correctifs expose les entreprises et leur infrastructure. - Évolution de la technologie
Les appareils IoT [Internet des objets], qu'ils soient utilisés à des fins personnelles ou professionnelles, peuvent servir de points d'entrée pour les attaques de ransomwares s'ils ne sont pas correctement sécurisés.
- Réduction des budgets alloués à la cybersécurité
Des budgets limités peuvent entraîner une planification inadéquate, une protection insuffisante, une infrastructure obsolète ainsi qu'un manque de formation et de gestion. - Sensibilisation à la sécurité insuffisante
La sécurité des systèmes dépend de la robustesse de chaque élément, et l'humain est souvent le maillon le plus faible. Un programme de formation et de sensibilisation adéquat rend les employés vigilants et préparés, réduisant ainsi les risques d'attaques telles que le phishing et l'ingénierie sociale.
- Pénurie de talents en cybersécurité
La rareté des professionnels qualifiés en cybersécurité constitue une lacune majeure dans le secteur, limitant la capacité des entreprises à établir des défenses robustes.
Comment les entreprises peuvent-elles prévenir ces attaques ?
Pankaj Dwivedi identifie plusieurs mesures préventives pour atténuer les dommages causés par les ransomwares :
- Sensibilisation et formation des employés
- Mise en place d'un Back-up
Ce protocole permet de restaurer les données et les systèmes de l'entreprise en cas d'incident. Il est recommandé de disposer de multiples sauvegardes stockées à différents emplacements. - Elaboration d'un plan de réponse aux incidents
Ce dispositif aide l'entreprise à détecter et à réagir aux incidents de cybersécurité, détaillant les actions à entreprendre en cas d'attaque par un ransomware. - Mise en place d'un plan de reprise après sinistre
Ce plan se concentre sur la manière dont l'entreprise récupère et reprend ses activités essentielles après un incident. - Renforcement des contrôles de sécurité
Les entreprises peuvent prendre des mesures préventives telles que la gestion des accès utilisateurs, la gestion des vulnérabilités, la segmentation du réseau, l'utilisation de solutions de sécurité pour les e-mails, la protection des terminaux, l'adoption d'une architecture "Zero Trust", la réalisation d'audits de sécurité, la gestion des risques, le chiffrement des données sensibles, et la surveillance et la détection des menaces.
Comment réagir à une attaque de ransomware ?
Si le système d'une entreprise est infecté par un ransomware, voici les mesures générales à prendre :
- Isoler le système infecté.
- Identifier la variante du ransomware.
- Évaluer les dommages causés.
- Lancer le plan d'intervention en cas d'incident.
- Informer les parties concernées et contacter les forces de l'ordre.
- Restaurer les données à partir des sauvegardes.
- Communiquer en interne et en externe.
- Effectuer une analyse post-incident et un examen de la sécurité.
- S'aligner sur les demandes d'indemnisation des cyber-assurances.
Ne pas payer la rançon
L'expert d'Alter Solutions conseille aux entreprises de ne pas payer la rançon "pour des raisons éthiques, mais également en raison de l'absence de garantie quant à la récupération des données."
En effet, selon la récente étude de Claroty “The Global State of Industrial Cybersecurity 2023”, sur les 75 % de personnes interrogées qui ont été victimes d'attaques de ransomware en 2023, 69 % ont payé la rançon et 54 % d'entre elles ont tout de même subi des dommages financiers de 100 000 $ ou plus.
Les ransomwares dans un avenir proche
Les experts du secteur prédisent que les cyberattaques, en particulier les attaques de ransomwares, continueront de se développer en 2024 et au-delà.. Pankaj Dwivedi partage cet avis : "Les menaces internes, l'ingénierie sociale, le manque de préparation, le Ransomware-as-a-Service (RaaS), l'exploitation de la technologie et les exploits de type "zero-day" sont déjà présents aujourd'hui et devraient se poursuivre à l'avenir, car il n'existe pas de mécanisme défini pour réduire les ransomwares émergents, en dehors de la formation et de la sensibilisation."
Selon lui, "les réglementations insuffisante en matière de cybersécurité, les différentes méthodes de paiement, l'évolution de l'IA et de l'automatisation, les tensions géopolitiques et économiques actuelles contribueront à l'augmentation des attaques de ransomwares à l'avenir". À ce rythme, Cybersecurity Ventures prévoit qu'une attaque par ransomware se produira toutes les 2 secondes d'ici 2031, entraînant pour les victimes des pertes financières estimées à environ 265 milliards de dollars par an.
C'est pourquoi Alter Solutions propose aux entreprises désireuses d'améliorer leur sécurité et de mettre en œuvre les mesures préventives susmentionnées, des services précieux tels que les Services Managés de Cyberdéfense et l'Audit & le Pentesting.