Les ransomwares sont une affaire lucrative, mais que faire lorsque vous êtes touché ? Payer ou non ? « C’est plus facile à dire qu’à faire. »
Début juillet, le distributeur informatique IngramMicro a été victime d’une attaque de ransomware au cours de laquelle l’auteur a exigé une rançon de l’entreprise. Peu de temps après, Microsoft Sharepoint a été victime et SonicWall VPN a également dû y passer. Cette liste (très récente) d’attaques de ransomware pourrait encore s’allonger.
Lors d’une attaque de ransomware, des criminels chiffrent les données afin que la victime n’y ait plus accès. Les attaquants exigent ensuite une rançon en échange de la clé de leurs données. Les victimes qui ne voient pas d’issue et qui paient quand même courent toujours le risque de ne plus jamais revoir leurs données, ou elles sont attaquées à nouveau plus tard.
lire aussi
« Ne pas payer en cas de ransomware ? Plus facile à dire qu’à faire »
De plus, les PME « s en Europe seraient même jusqu’à trois fois plus souvent victimes de cyber-extorsion. Les grandes entreprises investissent généralement massivement dans la cybersécurité, tandis que les PME » s sont encore à la traîne. Comment pouvez-vous, en tant qu’entreprise, vous armer contre ce type de cyberattaque, et le paiement résout-il tous les problèmes ?
Payer ou non ?
Lorsque vous êtes touché, devez-vous payer ? Tout le monde le déconseille, mais malheureusement, ce n’est pas noir ou blanc. Les demandes de rançon ne sont souvent pas minimes non plus. La demande de rançon moyenne a augmenté de vingt pour cent en 2024. Selon le rapport annuel State of Ransomware de Sophos, il s’avère que 46 % des organisations interrogées paient une rançon pour récupérer les données chiffrées.
Il existe des équipes spéciales qui aident une entreprise à négocier avec les pirates. Ne pas payer n’est parfois pas une option, car toute votre activité est basée sur les données chiffrées et vous ne pouvez pas vous en passer. Essayez alors de dire froidement que vous ne voulez pas payer, après quoi le pirate efface rapidement vos données.
lire aussi
En 3-2-1 pour une stratégie de sauvegarde réussie
« Nous avons dû aider une entreprise qui n’avait pas de sauvegardes de son système. Tout restaurer comme avant coûterait deux millions de dollars. La rançon demandée par les pirates était de 1,5 million de dollars. On pourrait penser que la rançon est une meilleure affaire, mais ensuite, vous devez reconstruire votre réseau et tous les systèmes qui l’entourent pour fermer toutes les portes par lesquelles le pirate est entré. Dans ce cas, cela coûtait encore deux millions de dollars. Le choix est alors vite fait : ne pas payer et tout recommencer à zéro », raconte Chester Wisniewski, Principal Research Scientist chez Sophos.
Une attaque réussie coûte toujours de l’argent, que vous payiez ou non.
Chester Wisniewski, Principal Research Scientist chez Sophos
Une attaque réussie coûte toujours de l’argent, que vous payiez ou non. Faites-vous donc bien accompagner par un spécialiste pour analyser vos coûts. Avoir des sauvegardes est de toute façon un atout important pour économiser des coûts, à condition qu’elles ne soient pas infectées non plus.
Un pirate reste dans votre système
Payer ne signifie pas que vous en êtes débarrassé. Comme Wisniewski l’a déjà décrit ci-dessus, il faut beaucoup d’argent pour remettre les systèmes en état. Vos systèmes restent infectés et le pirate a toujours accès via, par exemple, des points d’accès, RDP (Remote Desktop Protocol), VPN, pare-feu : tout peut être infecté.
Presque toutes les attaques de ransomware utilisent une boîte à outils qui suit à chaque fois le même schéma. Cela aide les enquêteurs à rechercher certains schémas pour rendre les systèmes aussi propres que possible. « Il est presque impossible de rendre un réseau d’entreprise propre à 100 % », soupire Wisniewski. « Il y a trop d’appareils et d’endroits où les pirates se cachent. »
« Même lorsque vous reconstruisez tout et que vous terminez proprement, il n’y a toujours aucune certitude. Pensez par exemple aux mots de passe dans un Active Directory. Il y a de fortes chances qu’un des employés choisisse un mauvais nouveau mot de passe qui ressemble beaucoup à l’ancien que le pirate possède. On n’est jamais sûr à 100 % dans le monde de la sécurité, malheureusement. »
lire aussi
Les pirates informatiques piratent les systèmes principalement via les humains : hausse des attaques d’ingénierie sociale
Une étude récente montre que près de une organisation sur trois qui a été victime de ransomware a de nouveau été confrontée à une attaque. Au Benelux, 40 % des organisations qui ont payé une rançon n’ont pas récupéré toutes les données. Selon l’étude, le secteur des soins de santé et les autorités locales sont les plus touchés. Ces secteurs reçoivent donc le soutien nécessaire. Ainsi, l’Europe a libéré 145,5 millions d’euros pour la cybersécurité des PME et du secteur des soins de santé.
Prévention et détection rapide
Que pouvez-vous faire en tant qu’entreprise pour réduire au minimum le risque d’infection ? Les équipes informatiques connaissent généralement bien les problèmes, mais surtout dans les PME, on remarque qu’elles résolvent souvent les vulnérabilités d’hier et ne regardent pas vers l’avenir. Une prévention à 100 % n’est cependant pas possible, même avec le meilleur antivirus, EDR, pare-feu de nouvelle génération et toutes sortes de couches de réseau. Cela n’empêche pas que chaque étape supplémentaire peut arrêter ou ralentir un pirate, afin que vous puissiez agir à temps.
« L’époque où les pirates et les organisations criminelles effectuaient un travail purement automatique est derrière nous. Aujourd’hui, la moitié de leur travail consiste en des tâches manuelles pour dénicher des données. Vous ne pouvez pas choisir aujourd’hui, en tant qu’entreprise, entre la prévention et la détection, vous avez besoin des deux. Chaque pirate peut entrer quelque part. Il est souvent crucial, en tant qu’entreprise, de le détecter et d’agir rapidement », dit Wisniewski.
lire aussi
Un chercheur met en garde contre un rançongiciel s’exécutant directement sur votre CPU
La plupart des attaques aujourd’hui nécessitent trois à dix jours pour activer un ransomware. Cela laisse peu de temps aux entreprises pour réagir avant qu’il ne soit trop tard. Après deux jours, il n’y a souvent pas encore de perte de données, mais après cinq jours, déjà une partie ou peut-être tout. La segmentation du réseau est également une bonne tactique pour décourager les pirates. Chaque couche demande à nouveau une approche manuelle, ce qui vous donne encore plus de temps pour réagir avant qu’il ne soit trop tard.
Que fait le pirate avec vos données ?
Après une attaque de ransomware, chaque entreprise veut reprendre le travail aussi rapidement et en toute sécurité que possible. Elles ne se rendent souvent pas compte que le pirate a toujours leurs données. Même lorsque vous payez, vous ne savez jamais avec certitude si le pirate a déjà effacé toutes vos données sur son stockage personnel.
Rien ne les empêche de mettre ces données à disposition sur le « dark web » pour y gagner à nouveau de l’argent. « Je pense personnellement que les données ont toujours de la valeur et que personne ne les supprime vraiment. Les pirates malveillants ne sont pas des personnes nobles. Il suffit de regarder les organisations criminelles qui visent les hôpitaux, les mairies et les écoles. Ils n’ont aucune valeur morale », dit Wisniewski, frustré.
Rarement justice
Du fait que les pirates s’en sortent souvent, il ne semble pas que les ransomwares vont perdre en popularité. « C’est souvent une question géopolitique », soupire Wisniewski. « Nous savons généralement qui sont les criminels. Nous partageons ces informations avec le FBI, Europol ou une autre instance compétente. Je suppose qu’ils savent exactement où ils se trouvent et qui ils sont, mais ils ne peuvent souvent pas faire grand-chose. »
lire aussi
« Ne pas payer en cas de ransomware ? Plus facile à dire qu’à faire »
De plus, les ransomwares connaissent une nouvelle dimension depuis quelques années. L’intelligence artificielle permet de réaliser des attaques de ransomware plus facilement et à grande échelle. Ainsi, Kaspersky a récemment examiné de près le ransomware de FunkSec. L’entreprise a découvert que de grandes parties du code ont été développées avec de l’IA générative. L’IA a beaucoup à offrir aux attaquants, mais les défenseurs peuvent tout aussi bien utiliser cette arme.