Face aux ransomwares, le choix de la cyber-résilience

Le nombre astronomique de cas de ransomwares, publié récemment dans un rapport de l'éditeur de sécurité BitDefender, a de quoi faire peur, en particulier aux petites ou moyennes entreprises qui n'ont ni les ressources financières ni les technologies nécessaires pour y faire face.

Selon le groupement de compagnies d'assurances américain AIG qui vient de mener sur la même période une enquête auprès de 25 000 petites entreprises et PME, les ransomwares sont aujourd'hui passés en tête des demandes d'indemnisations de ses clients avec une hausse constatée de 47 % dans la gravité des attaques, certaines rançons pouvant atteindre plusieurs dizaines de millions de dollars. Dans la même dynamique, l'éditeur de sécurité Checkpoint va encore plus loin dans ses derniers relevés en annonçant qu'une organisation est victime d'un ransomware toutes les 10 secondes dans le monde.

Des entreprises fragilisées mais qui ne portent pas plainte

La hausse des ransomwares n'est pas une donnée nouvelle, mais les circonstances actuelles (épidémie, chômage partiel, déploiement accéléré du télétravail sans outils solides pour y répondre, perte de confiance potentielle des clients) fragilisent grandement les entreprises, confrontées à des hackers qui officient désormais main dans la main au sein de groupements dont le fonctionnement est calqué sur celui des cartels. Les attaques sont mieux organisées et les données substituées font parfois l'objet de mises aux enchères lucratives sur le « dark web ». Une liste d'adresses mails de cadres haut placés au sein d'une entreprise, combinée à des éléments personnels pour mieux duper les destinataires, peut ainsi représenter une bonne base pour servir des futures campagnes ciblées de phishing.

Pourtant, malgré ce contexte alarmant et selon le constat établi encore dernièrement par l'agence européenne de police criminelle Europol, peu d'entreprises ciblées portent plainte contre les hackers. Que ce soit pour préserver leur réputation en dissimulant au maximum l'incident ou parce qu'il est primordial de poursuivre au plus vite leurs activités - les pirates informatiques ciblant en priorité des organisations ayant une très faible tolérance aux temps d'arrêt de leur production - trop d'entreprises préfèrent payer la rançon. Profitant de cette situation, et du manque de moyens déployés pour les contrer, les ransomwares gagnent du terrain. Tel est notamment l'état des lieux hexagonal de l'Anssi (l'Agence nationale pour la sécurité des systèmes d'informations) qui, malgré le traitement de 104 attaques aux ransomwares depuis le début 2020 (contre 54 sur toute l'année 2019), déplore toujours ce manque de vision exhaustive pour agir plus efficacement.

Comment éviter les attaques ?

Pourtant des solutions existent, comme le déploiement de logiciels de protection et de migration des données faisant chaque jour leur preuve. L'Anssi a d'ailleurs édité un guide très bien documenté sur ce sujet.

Il faut aussi en finir avec l'approche traditionnelle de la cybersécurité visant à « barricader » les systèmes : les entreprises doivent adopter une démarche cyber-résiliente proactive, automatisée et intégrée à leurs environnements de travail, en se préparant en permanence à une possible fuite de leurs données ou à la menace d'un arrêt de leur production. Destinée aussi bien à protéger qu'à détecter, à répondre qu'à récupérer, la cyber-résilience doit offrir une continuité d'activité permanente grâce à des capacités de réaction et de récupération des données les plus rapides possibles.

Garant d'une plus grande quiétude, un plan de sauvegarde et de récupération doit suivre des règles essentielles. Pour chaque snapshot (« photo » instantanée des données), plusieurs copies locales et distantes doivent être créées, ainsi qu'une copie « déconnectée », c'est-à-dire inaccessible à un hacker, même talentueux. Ce plan doit également intégrer des systèmes d'intelligence artificielle capables d'apprendre du comportement classique d'une donnée, ses modifications tout au long de son cycle de vie, quel que soit l'environnement de travail utilisé. Ainsi, lorsqu'une hausse subite d'activité est enregistrée dans les espaces de stockage - comme lors d'une tentative de ransomware - le temps de réaction peut être immédiat. Une vitesse d'intervention accrue et une capacité d'adaptation renforcée gages d'une plus grande sérénité pour les entreprises.