Rançongiciel : sortir de l’impasse en misant sur la cybersécurité et le stockage de données

OPINION. Afin que les entreprises prennent des mesures proactives pour lutter contre la menace des attaques par rançongiciel, et à l’aube d’un possible durcissement réglementaire relatif aux rançons, la mise en place d’une feuille de route en matière de cybersécurité et de stockage de données est désormais primordiale. Par Stéphane Cardot, directeur pre-sales EMEA de Quantum

9 mn

(Crédits : DR)

Lorsqu'il s'agit de cybersécurité et de stockage de données, de nombreuses entreprises se retrouvent dans un cercle vicieux sans porte de sortie : les rançongiciels, à l'instar des logiciels malveillants et du phishing, sont l'une des principales menaces qui pèsent sur les organisations. D'un certain point de vue, les rançongiciels sont même plus dangereux qu'une défaillance matérielle, qu'une attaque de type " zero-day " ou encore qu'être touché par une catastrophe naturelle.

Les cybercriminels sont constamment à la recherche de nouvelles cibles parmi les petites comme les grandes entreprises. C'est pourquoi une bonne stratégie de cybersécurité et de stockage de données devrait être une priorité pour les acteurs de toutes tailles.

Méthodes et comportements actuels des cybercriminels

Le rançongiciel est un logiciel malveillant qui prend en otage des données personnelles d'entreprises ou de particuliers : il existe actuellement plusieurs types de rançongiciels en circulation qui sont particulièrement préoccupants. Par exemple, le virus REvil de cryptage de données, qui a été découvert en avril 2019 par des chercheurs en cybersécurité chez Cisco Talos Intelligence Group, connu aussi sous le nom de Sodinokibi/Sodin. Dans ce cas présent, les assaillants peuvent accéder via un ordinateur au serveur Oracle WebLogic via HTTP utilisant les vulnérabilités " zero-day " et injectant manuellement des logiciels malveillants. Cependant, il n'y a pour le moment aucun outil de décryptage pour ce type de code sophistiqué et malveillant. Des alternatives sont donc nécessaires pour récupérer les données. Aussi, les cybercriminels engagent de plus en plus de personnel pour convaincre les entreprises à payer les rançons, comme notamment des négociateurs anglophones pour s'entretenir avec leurs victimes.

Le business model de certains développeurs de ce logiciel malveillant est le Ransomware-as-a-service (RaaS). Ces développeurs vendent ce logiciel comme étant un service conçu dans le but que même d'autres criminels sans formation technique puissent attaquer les entreprises et les particuliers à grande échelle. Un procédé par lequel le développeur reçoit une partie de l'argent volé. Pour installer une famille de logiciels malveillants basée sur le RaaS comme REvil, les cybercriminels utilisent en général le Remote Desktop Protocol (RDP). Les cibles des attaques incluent les petites et moyennes entreprises tout comme les entreprises Fortune 500 de tout secteur. Les demandes de rançon d'une attaque REvil sont en moyenne d'une centaine de millions de dollars. En 2020, des sommes considérablement plus importantes ont été demandées auprès des entreprises ou des particuliers par rapport à 2019.

Les opérateurs de rançongiciels sont des criminels, des professionnels, mais aussi des personnes bien instruites quant aux outils et pratiques financières. Ils sont également très bien organisés : ils recrutent souvent des personnes ayant une expérience dans des réseaux d'entreprises et mettent parfois en place des services d'assistance sur le darknet pour augmenter le taux de réussite de leurs attaques. Les attaquants sont extrêmement déterminés dans leur approche - une fois qu'ils ont contourné le dispositif de sécurité d'un logiciel d'entreprise, la seule défense de cette dernière est sa propre solution de sauvegarde de données. C'est pourquoi, les fournisseurs de solutions de cybersécurité soulignent l'importance de comprendre comment les cybercriminels opèrent. Forts de ces connaissances, les réseaux d'opérateurs ou les responsables de la sécurité peuvent prendre les mesures appropriées pour empêcher les cyberattaquants d'exécuter des codes malveillants et ainsi d'obtenir l'accès privilégié au logiciel de sécurité ou système d'exploitation.

Une fois que les criminels ont volé ou crypté les données, les entreprises font face à des demandes de rançon allant de centaines de milliers à des dizaines de millions de dollars. Néanmoins, un bon logiciel permet de détecter la majorité des logiciels malveillants et ainsi repousser la plupart des attaques. Mais l'exemple de REvil montre que sa détection, ainsi que la rectification de ses conséquences deviennent de plus en plus difficiles. En particulier, lorsque les données sont endommagées. La raison principale de cette cause de vulnérabilité est l'erreur humaine. Elle offre aux criminels une source de revenus avantageuse. C'est pourquoi beaucoup d'entreprises souscrivent une cyberassurance afin de couvrir les coûts en cas d'attaque.

Cependant, un rapport parlementaire présenté le 13 octobre 2021, propose d'interdire aux dites cyberassurances de couvrir le paiement des rançons en cas d'attaque au rançongiciel car « le paiement des rançons alimente la cybercriminalité ». Le stockage de données sécurisé se profile donc comme la meilleure solution d'anticipation à long terme contre les cybermenaces.

Pourquoi les entreprises paient-elles les rançons ?

Pour une attaque de rançongiciel signalée, des centaines d'autres resteront inconnues du grand public. La plupart des entreprises préfèrent payer discrètement les sommes demandées, et ainsi garder le silence sur les attaques par rançongiciel. Du fait qu'elles révèlent les vulnérabilités de l'entreprise, ces attaques restent encore malheureusement très stigmatisées. En 2020, 58% des rançons liées aux ransomwares ont été payées, contre 45% en 2019 et 39% en 2018. Plus la perspective de paiement est importante, plus les attaques de ransomware sont fréquentes et dangereuses.

Les cybercriminels ont développé plusieurs variantes de RaaS et continuent de perfectionner leurs attaques. Les entreprises, ferment-elles délibérément les yeux face à cette menace en pleine expansion ? Sûrement pas - mais il semble y avoir des spectateurs passifs dans cette cyberguerre de ransomware. Ne disposant pas des informations nécessaires sur le modus operandi des cybercriminels, elles se concentrent uniquement sur l'opportunité de payer ou non. Dans un même temps, les dépenses informatiques consacrées à la protection des données ont été réduites dans de nombreux domaines au cours de ces cinq dernières années.

Beaucoup d'entreprises négligent également les politiques de sécurité. Il est donc facile pour les cyber-assaillants de demander une rançon en contrepartie de données. C'est pourquoi, beaucoup d'entreprises n'ont plus le choix que de payer. Le seul but de ces entreprises est de récupérer leurs données pour ainsi revenir à la normale. Elles ont souvent recours à une cyberassurance, dans le cadre de laquelle les paiements sont négociés afin de pouvoir rétablir les activités régulières par la suite. Néanmoins, une attaque réussie est témoin de l'interruption brutale des activités, des millions de dollars de revenu perdus, et d'une dégradation de l'image de l'entreprise victime. Il est donc urgent de circonscrire en amont les dommages collatéraux potentiels des attaques de ransomware. Les professionnels de l'informatique ont besoin d'avoir une approche proactive à la cybersécurité, en examinant et en analysant les mécanismes de défense étape par étape.

Dix recommandations pour mieux protéger les entreprises et leurs données

Les dix lignes directrices suivantes permettent aux responsables informatiques de s'atteler plus facilement à une meilleure protection de l'entreprise et de ses données. L'objectif doit être de sécuriser toutes les zones de vulnérabilité possibles du réseau et de l'environnement de sauvegarde :

  • 1. Il convient de planifier une stratégie de protection des données bien réfléchie.
  • 2. Il faut ensuite obtenir l'approbation et le soutien des décideurs au sein de l'entreprise.
  • 3. L'installation d'un logiciel antivirus aura pour mission de clore la porte d'entrée du réseau.
  • 4. L'utilisation d'une technologie de cryptage est nécessaire à chaque étape du cycle de vie des données : pendant le stockage, la transmission et l'utilisation active.
  • 5. Il est nécessaire de dispenser une formation à la cybersécurité, et de promouvoir la sensibilisation des employés à ce sujet.
  • 6. Il est important d'effectuer des sauvegardes locales sur disque avec verrouillage des objets pour garantir une récupération locale rapide et répondre aux exigences des entreprises en matière de RPO/RTO.
  • 7. Il est utile de déployer des solutions d'archivage rentables, assurant une protection de durée indéfinie des données des entreprises.
  • 8. Il faut ensuite répliquer les données vers un emplacement hors site en utilisant une solution basée sur le cloud ou le stockage objet.
  • 9. La mise en œuvre d'une solution sur bande pour les sauvegardes et archivage des données des organisations est, en alternative, une bonne solution.
  • 10. En dernier recours, et tant que cela reste possible, souscrire une cyberassurance contre les cyber menaces.

Les organisations qui utilisent le cloud public, ou dont les charges de travail sont réparties sur plusieurs clouds et environnements informatiques, ont besoin de mesures supplémentaires de protection et de sécurisation des données, au-delà des paramètres de protection de leur propre réseau. Elles ont besoin d'une approche globale impliquant plusieurs départements, notamment des experts en sécurité, des administrateurs de réseau et leurs superviseurs. Les employés doivent recevoir une formation régulière sur ce sujet, surtout s'ils travaillent à distance.

Travailler ensemble contre les ransomwares

Tout comme l'atténuation du changement climatique, la lutte contre les ransomwares nécessite l'adhésion de toutes les parties prenantes. Au cours des cinq à dix prochaines années, les entreprises ainsi que les professionnels de la cybersécurité devront faire un effort concerté pour protéger le cybermonde et permettre aux entreprises de toutes tailles de mettre en œuvre des stratégies et des politiques proactives judicieuses (et, si possible, rentables). De nombreux professionnels de l'informatique devront repenser leur point de vue sur certaines technologies ou méthodes de sauvegarde. L'investissement dans des programmes de formation est également inévitable.  Aussi, comme ces attaques ne sont plus des incidents isolés, il n'est plus possible pour chacun de les combattre seul. La connaissance des expériences désagréables liées aux rançongiciels doit être documentée et partagée afin de trouver collectivement un moyen de sortir de cette cybercrise.

Quoique le nombre d'attaques au rançongiciel soit en constante évolution d'une année sur l'autre, et plus encore avec l'arrivée et la démocratisation du télétravail, il est possible de limiter les dégâts causés par les cyberattaques de ce type. Tandis que la possibilité d'une avancée législative dans le sens de l'interdiction pour les cyberassurances « de garantir, couvrir ou d'indemniser la rançon » se profile, une bonne stratégie de stockage de données permet de se prémunir efficacement et de circonscrire l'étendue des dommages financiers et organisationnels en cas d'attaque.

9 mn

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 30/11/2021 à 10:11
Signaler
"L'installation d'un logiciel antivirus aura pour mission de clore la porte d'entrée du réseau." C'est faux, cela le restreindra et encore tout dépendra de l'antivirus mais pas clore. "4. L'utilisation d'une technologie de cryptage est nécessaire à c...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.