Comment les entreprises peuvent-elles se protéger de l’épidémie de ransomwares ?
Le phénomène des ransomwares ne date pas d’aujourd’hui.
Les frameworks de sécurité, dont le rôle est d’offrir une protection contre les chaînes d’attaque menant à des compromissions, non plus.
Pour savoir comment mieux se prémunir des ransomwares, il convient d’abord de comprendre en quoi consiste ce type de malware en termes de modèle économique, de motivations, de tactiques, de techniques et procédures, et cerner comment le contexte a évolué au cours de ces derniers 18 mois, tant du point de vue social que technique.
Qu’est-ce qu’un ransomware et quel est son principe de fonctionnement ?
Commençons par le début : qu’est-ce qu’un ransomware ?
Comme son nom anglais le laisse entendre, le ransomware est un malware qui bloque l’accès à un système jusqu’au paiement d’une rançon (en anglais, « ransom »).
Historiquement, le ransomware est basé sur un modèle économique très simple : compromettre un système, le chiffrer, puis demander à son propriétaire d’acheter, dans une cryptomonnaie non traçable, une clé de déchiffrement qui lui permettra de récupérer l’accès à son système.
Les gangs de ransomware fonctionnent globalement comme une entreprise. Ils ont du personnel, une structure organisée en équipes, un produit, et ils consacrent leur temps et leur énergie à améliorer ce produit. Ils sont également très attentifs à leur réputation auprès de leurs pseudo-clients, à savoir leurs victimes. En effet, leur commerce est voué à l’échec si la clé de déchiffrement qu’ils fournissent en échange d’une rançon ne fonctionne pas.
La question de savoir si les victimes doivent s’acquitter de la rançon a fait couler beaucoup d’encre ces dernières années. Pour beaucoup, le fait de payer ne sert qu’à financer les cybercriminels et à leur permettre d’alimenter leur fond de commerce, ce qui ne résout rien. Cet argument, qui peut sembler de prime abord logique, devient plus difficile à défendre lorsqu’on se trouve face à un système chiffré, à un personnel à l’arrêt et à des clients paniqués qui exigent la restauration urgente de leurs services. Faute de réaction rapide, une attaque de ransomware peut littéralement ruiner une entreprise. Lorsqu’une attaque de ce type cible un fournisseur de services tels qu’une société de distribution d’électricité ou un hôpital, différents facteurs doivent être pris en compte avant de prendre une décision dont les effets iront au-delà de l’entreprise elle-même.
Combien une attaque de ransomware coûte-t-elle ?
Les attaques de ransomware augmentent de 30 % d’année en année, ce qui devrait représenter un coût total de 20 milliards de dollars rien qu’en 2021 si les projections se maintiennent. Et ces estimations ne sont que la pointe de l’iceberg, car toutes les attaques de ransomware ne sont pas signalées et tous les paiements de rançon ne sont pas divulgués. Il va de soi que, dans un contexte où le législateur souhaite interdire les paiements de rançons et où les bourses mondiales sont susceptibles de sanctionner les dirigeants qui cèdent à la pression, les incidents ne se crient pas sur tous les toits.
Cependant, les attaques de ransomware se multiplient, même s’il n’est pas toujours aisé d’en découvrir les tenants et les aboutissants.
Cette année, plusieurs grandes entreprises ont défrayé la chronique à la suite d’une attaque de ransomware. Tous les secteurs ont été impactés, depuis les fabricants et les fournisseurs de services d’utilité publique tels que KIA Motors et Colonial Pipeline, aux firmes technologiques comme CD Projekt Red et Acer, en passant par les entreprises de services financiers telles que CNA et AXA, et même les fournisseurs de services de sécurité, par exemple Kaseya. Force est de constater que ces attaques ne nuisent pas seulement à leurs victimes. Les compromissions qui touchent des fournisseurs ont également de graves répercussions indirectes sur les clients en aval.
L’épidémie de ransomwares ne se limite pas aux entreprises et à leurs clients ; elle affecte également le secteur des soins de santé et les patients. En effet, hôpitaux, cliniques et réseaux fédérés tels que le National Health Service (NHS) au Royaume-Uni ont également été touchés. Le Health Service Executive (HSE), soit le système de santé publique d’Irlande, ne s’est toujours pas remis de l’attaque qu’il a subie il y a quatre mois, preuve de l’impact à long terme sur les soins de santé.
Il est bien difficile d’évaluer le coût de ces attaques pour leurs victimes respectives. Les demandes de rançon peuvent aller d’un petit montant jusqu’à plusieurs dizaines de millions de dollars, et les montants réellement payés par les entreprises ne sont généralement pas divulgués. Inutile donc de préciser que les auteurs de ces attaques réalisent d’important profits.
Dans son rapport d’enquête L’état des ransomwares 2021, Sophos révèle que le montant moyen des rançons acquittées est de 170 000 dollars. Cependant, le coût moyen des mesures de correction à mettre en œuvre après une attaque est passé de 761 000 dollars à plus de 1,85 million de dollars. C’est colossal : le coût de la récupération après une attaque de ransomware représente à présent dix fois le montant de la rançon en soi. Ce rapport d’enquête indique également que, si le nombre d’entreprises acceptant de payer la rançon est passé de 26 à 32 %, seules 8 % d’entre elles sont parvenues à récupérer complètement les données impactées.
Quelles sont les nouveautés en termes de ransomware ?
En règle générale, on considère que la meilleure des protections est d’investir dans une solution de sauvegarde efficace et dans une procédure de restauration à toute épreuve. Bien évidemment, nous avons tous entendu parler de cas où les sauvegardes elles-mêmes étaient infectées, mais ces cas restent marginaux. Les gangs de ransomware redoublent de créativité pour contourner les mesures de sécurité et trouver des manières innovantes de réaliser leurs méfaits :
- À présent, il n’est pas rare que les données soient volées avant d’être chiffrées, ce qui permet au cybercriminel de faire pression sur sa victime en la menaçant de divulguer publiquement ses informations.
- Une fois compromis, l’accès à un réseau peut être vendu à d’autres cybercriminels via un courtier d’accès, conduisant à d’autres attaques pour des motivations diverses.
- En cas d’attaque de ransomware sur la chaîne logistique, les cybercriminels peuvent exercer une pression sur les clients d’un fournisseur ciblé afin qu’eux-mêmes demandent à la victime de céder au chantage pour restaurer rapidement ses services.
- L’information sur le lancement d’une attaque contre une entreprise peut être vendue à des courtiers financiers, qui, à leur tour, vendront à découvert des actions de cette entreprise avant que le marché ne découvre l’attaque.
- Aujourd’hui, avec le Ransomware-as-a-Service (RaaS), plus besoin d’avoir une maîtrise approfondie des technologies. Ces plateformes mettent des technologies malveillantes complexes à la disposition d’un public de cybercriminels plus large, pour un investissement souvent dérisoire.
Le ransomware est donc devenu une entreprise criminelle agile, qui sait s’adapter et qui offre de nombreux débouchés pour quiconque souhaite tirer profit des failles de la technologie.
Pourquoi les attaques de ransomware augmentent-elles ?
La pandémie de Covid-19 et l’urgence d’y répondre ont amené de nombreuses organisations à adopter une stratégie du « réagir d’abord, planifier ensuite ». Elles ont mené leurs programmes de transformation digitale et de migration vers le cloud tambour battant et réalisé en quelques mois, voire en quelques semaines, des changements représentant des années de travail. Parfois, cette stratégie a conduit à négliger certains aspects de la sécurité au nom de la continuité de l’activité, ce qui a creusé un déficit technique et de sécurité qu’il faudra bien compenser un jour.
Dans le même temps, les collaborateurs sont devenus plus vulnérables aux leurres émotionnels qui misent sur les changements sociaux et économiques qui les entourent.
De nouvelles vulnérabilités apparaissent liées à l’évolution du lieu travail, à la hausse du chômage et des tensions sociales, ainsi que du phishing exploitant la pandémie de Covid-19. Les utilisateurs partagent leur espace de travail ou leur ordinateur personnel avec leurs enfants, membres de la famille ou colocataires, ce qui contribue à augmenter leur exposition aux risques.
S’ajoutent à cela d’autres facteurs, tels que :
- l’élargissement de la surface d’attaque des entreprises après l’accélération de la migration vers le cloud et du télétravail ;
- un nombre record de nouvelles vulnérabilités au cours des quatre dernières années (NIST NVD) ;
- en parallèle, la baisse d’année en année de la durée de mise en œuvre de preuves de concept de vulnérabilité, passant de plusieurs semaines à quelques jours, voire quelques heures dans certains cas ;
- des collaborateurs stressés et au bord du burn-out, en particulier ceux chargés de la sécurité.
C’est donc peu dire que le profil de risque des entreprises a empiré.
Comment les entreprises répondent-elles aux attaques de ransomware ?
Pour mettre de son côté toutes les chances de répondre efficacement à une attaque de ransomware, la clé est la préparation. Comme pour tout autre type d’incident, commencez par créer un playbook de réponse aux attaques de ransomware. Ce playbook doit être rédigé par toutes les parties prenantes concernées et couvrir tous les scénarios projetés, du moins grave au plus critique. Par ailleurs, il doit être régulièrement révisé et adapté aux conditions réelles.
Pour garantir l’efficacité de votre réponse aux attaques de ransomware, procédez à des simulations des scénarios projetés et incluez dans la boucle tous les décideurs nécessaires. Les équipes communiquent-elles efficacement ? Le chemin décisionnel de chaque scénario est-il clairement établi ? Tous les décideurs sont-ils inclus dans la boucle ?
Enfin, faites appel à votre cyberassureur. Le secteur des assurances a eu beaucoup de mal à modéliser les attaques de ransomware et les cyberattaques en général. De nombreux échanges ont eu lieu entre clients et assureurs concernant la couverture adaptée dans ce cas, et les primes ont augmenté du fait que les assureurs appréhendent de mieux en mieux leur exposition. Assurez-vous que votre entreprise est couverte à la hauteur de vos attentes et, si ce n’est pas le cas, trouvez un assureur qui peut répondre à vos besoins.
Comment les entreprises préviennent-elles les attaques de ransomware et corrigent-elles leurs effets ?
Les bonnes pratiques de prévention et de sécurité que nous connaissons aujourd’hui continuent d’être une ligne de défense majeure et efficace contre les cyberattaques, qu’il s’agisse d’attaques de ransomware ou d’un autre malware. Tout responsable sécurité doit absolument respecter les règles ci-dessous :
- Comprendre l’environnement, les collaborateurs et la chaîne logistique de l’entreprise (et leur évolution depuis la crise sanitaire)
- Toujours maintenir les systèmes à jour, en appliquant régulièrement les correctifs nécessaires
- Veiller à ce que les défenses de sécurité couvrent les infrastructures et ressources on-premise et cloud
- Assurer la surveillance et la consignation des événements dans des journaux (et définir ce qui est « normal »)
- Utiliser les évaluations de risque pour communiquer avec la direction et hiérarchiser les investissements
Pourquoi les entreprises devraient-elles investir dans la sécurité Zero Trust centrée sur l’identité ?
La sécurité ne se suffit pas à elle-même. Dans le contexte actuel, où les menaces pullulent, il est aussi primordial de comprendre ce que sont les frameworks Zero Trust et de les intégrer à votre stratégie de sécurité.
Une approche des frameworks Zero Trust axée sur l’identité garantit que les bonnes personnes disposent des bons niveaux d’accès aux ressources appropriées, sur le bon terminal et dans le contexte adapté. Cependant, les frameworks Zero Trust ne sont pas quelque chose que vous pouvez intégrer d’un claquement de doigts. Vous devez les implémenter progressivement et en appliquant les contrôles IAM avancés suivants :
Authentification multifacteur adaptative (AMFA)
L’authentification multifacteur adaptative (AMFA) est l’une des manières les plus efficaces de prévenir le piratage de comptes. Avec cette technologie, les accès sont octroyés selon des politiques d’accès contextuelles qui distinguent les comportements normaux et anormaux ainsi que les actions à faible risque et à haut risque des utilisateurs. Ces signaux sont souvent les premiers indicateurs d’une activité malveillante.
Si l’AMFA peut donc contribuer à empêcher l’accès initial aux auteurs d’attaques de ransomware, une architecture globale Zero Trust quant à elle sera hostile aux déplacements latéraux. Une approche des frameworks Zero Trust axée sur l’identité garantit que les bonnes personnes disposent des bons niveaux d’accès aux ressources appropriées, sur le bon terminal et dans le contexte adapté.
Gestion des accès centralisée
Les cybercriminels ciblent délibérément les entreprises dotées d’architectures héritées visuellement complexes et d’intégrations mal conçues. Adopter une approche évolutive, neutre et automatisée pour gérer les accès représente une opportunité majeure de réduire votre surface d’attaque.
Okta Integration Network dispose, par exemple, de plusieurs milliers de préintégrations et repose sur des protocoles modernes tels qu’OIDC, qui limitent les risques de prolifération des mots de passe et permet de définir des politiques d’accès contextuelles cohérentes et dynamiques pour l’ensemble de vos ressources, tout en améliorant l’expérience utilisateur.
Contrôles d’authentification
Atteindre le juste équilibre entre l’expérience utilisateur et la sécurité est essentiel pour garantir la productivité, tout en protégeant votre entreprise. Différentes options d’authentification conviviales et rapides à mettre en place offrent des contrôles fluides qui réduisent les erreurs de configuration et limitent, chez les utilisateurs, la tentation d’opter pour des alternatives moins efficaces.
Il n’existe pas de solution miracle au problème du ransomware, mais la bonne santé de vos systèmes de sécurité et l’établissement d’une stratégie Zero Trust centrée sur l’identité restent primordiales. Du point de vue de l’architecture et du client, la solution Okta a été conçue pour offrir une approche de la sécurité Zero Trust axée sur l’identité. En tant que leader de la gestion des identités et des accès, Okta peut vous aider à protéger votre entreprise contre les menaces actuelles, en développant et en implémentant une stratégie de sécurité complète axée sur l’identité, qui réunit en une expérience fluide la protection des utilisateurs et des ressources. Pour de plus amples informations, cliquez ici.
Démarrez votre parcours Zero Trust en téléchargeant notre livre blanc : S’initier au Zero Trust : ne jamais faire confiance, toujours vérifier.