Selon le Global Risks Report 2022 du World Economic Forum, 85 % des membres de leur Cybersecurity Leadership Community estiment que les ransomwares deviennent une menace dangereusement croissante et constituent une préoccupation majeure pour la sécurité publique. Avec la multiplication de ce type d’attaques, il est primordial que les entreprises connaissent les meilleures stratégies à adopter pour se protéger au mieux et contenir les compromissions.
Le (non) paiement de la rançon
Le seul objectif des cybercriminels est le gain. Ils useront donc de divers vecteurs d’attaque afin de pouvoir extorquer le plus d’argent possible. Par conséquent, payer une rançon lors d’une attaque de ransomware ne devrait jamais être envisagé. Premièrement, rien ne garantit que la victime obtienne effectivement la clé de déchiffrement une fois l’argent versé. En outre, même si elle la récupère, il n’est pas certain que les activités de l’entreprise puissent rapidement reprendre leur cours habituel. Deuxièmement, un paiement incite les cybercriminels à cibler de nouveau les mêmes cibles, chaque demande de rançon se révélant plus élevée que la précédente. Troisièmement, en s’acquittant d’une rançon, les entreprises encouragent volontairement un « modèle commercial » et exposent donc d’autres organisations à un risque accru. C’est pourquoi certaines instances nationales réfléchissent à rendre illégal le versement d’une rançon. En effet, la député Valéria Faure-Muntian a, dans un rapport parlementaire préconisé l’interdiction de paiement et le renforcement du suivi avec les entreprises victimes de telles cyberattaques.
La gestion du risque
Pour garantir l’efficacité d’un programme cyber, les employés doivent avoir connaissance au minimum des connaissances basiques en termes de sécurité. La sensibilisation du personnel à la protection des données est en effet le premier rempart contre les menaces et devrait figurer au premier rang des priorités d’une entreprise. Cependant, même la formation la plus complète ne peut suffire à garantir que les employés appliqueront toujours la meilleure cyber-hygiène : un simple clic imprudent sur un lien dans un email de phishing peut libérer un ransomware dans tout un environnement IT.
Toute organisation doit donc partir du principe qu’elle sera un jour ou l’autre victime d’un ransomware et être capable de réagir en conséquence. Une stratégie efficace suppose une détection, une réponse et une récupération de données rapides. Le but est finalement de réduire la probabilité d’une attaque et limiter au maximum les dégâts éventuels si elle se produit. Pour ce faire, il convient de se pencher sur les couches de sécurité et les stratégies de défense à mettre en place.
L’inventaire des données
Afin de réduire le risque de perdre l’accès à des données sensibles, telles que les identifiants personnels des employés et des clients, les entreprises doivent savoir exactement quels types d’informations elles stockent. Elles doivent également sécuriser les informations en fonction de leur criticité. Ainsi, leur classification automatisée permet de disposer d’une meilleure visibilité sur les informations existantes, sur leur niveau de criticité et les personnes qui y ont accès. L’organisation a alors la possibilité de mettre en place des mesures pour protéger de manière optimale ses actifs clés. En effet, il n’est pas possible de protéger toutes les données de manières égales, il s’agit donc de prioriser celles qui revêtent un caractère sensible.
La meilleure détection des anomalies
Un ransomware s’implante souvent via les droits d’accès du compte utilisateur qu’il a compromis. Ainsi, la détection des anomalies doit pouvoir se faire dès les premiers signes de compromission, afin de préserver la totalité de l’environnement numérique. Les organisations doivent donc surveiller le comportement des utilisateurs sur tous les systèmes et données critiques, que ce soit dans les locaux ou dans le cloud. Car une activité inhabituelle peut être le signe d’une attaque et, si elle est détectée à temps, il est possible d’en limiter les préjudices. Les signes d’une campagne de ransomware incluent notamment des modifications de la liste des extensions de fichiers restreints ou encore une fréquence accrue des modifications de ces derniers. De plus, l’exfiltration ou le chiffrement des données ne se produit pas immédiatement ; ce sont des processus chronophages, en particulier dans les environnements hétérogènes distribués contenant de grandes quantités de données.
L’objectif final est d’être à même de détecter et de neutraliser rapidement les cyberattaques pour limiter les dégâts. Les organisations doivent par conséquent consigner les étapes à suivre pour réagir dès les premiers signes d’une compromission, en précisant qui est responsable de quoi et à quel niveau. Dans la mesure où le personnel, l’environnement IT et le paysage des menaces évoluent constamment, le plan doit être testé régulièrement et mis à jour si nécessaire.
L’intérêt de l’alignement de la sauvegarde et de la récupération
Les organisations doivent optimiser leurs sauvegardes pour veiller à ce que les données et les services les plus critiques puissent être restaurés rapidement. Ensuite, en disposant d’informations détaillées sur les fichiers qui ont été modifiés, ou supprimés, lors d’une attaque par ransomware, les équipes IT pourront restaurer uniquement les éléments qui ont effectivement été touchés. Cette approche contribue à réduire l’ampleur des efforts nécessaires, à accélérer le processus de récupération et à limiter les interruptions de service.
En somme, une entreprise se doit d’être prête à affronter les cybermenaces qui ne cessent de croître. Les attaques par ransomwares touchent en effet tous types de structures, sans distinction de taille ou de secteur. Ainsi, il s’agit d’opérer un suivi le plus complet possible, en assurant une sécurisation de l’ensemble de l’environnement numérique. Enfin, le risque zéro n’existant pas, il convient de toujours actualiser les stratégies en vigueur, pour s’aligner aux techniques des cybercriminels en constante évolution.