Pour la majeure partie du monde, 2020 a été catastrophique, une année enlisée dans de nombreuses crises. Mais dans un secteur au moins, 2020 a été une année faste ! Les cybercriminels ont connu une année extrêmement productive et rentable, avec des opportunités uniques de cibler les millions de personnes qui travaillent soudainement à domicile. La plupart des sociétés n’étaient pas préparées à sécuriser une main-d’œuvre entièrement à distance, s’en remettant au protocole de bureau à distance (RDP) et à des infrastructures VPN saturées, exposant ainsi les travailleurs à des attaques.
Les ransomwares ont été particulièrement efficaces, les attaques ayant coûté, selon les estimations, 20 milliards de dollars aux entreprises dans le monde en 2020. Malheureusement, les ransomwares sont désormais à la fois lucratifs et faciles à déployer, des kits sophistiqués se trouvent sans peine sur le dark web et ne nécessitent qu’un modeste investissement et fort peu de compétences en matière de codage.
Les ransomwares constituent également une attaque hautement probable du point de vue de l’attaquant ; inévitablement, un employé/sous-traitant/partenaire se laissera berner par un e-mail d’apparence convaincante contenant un lien ou une pièce jointe malveillante qui, une fois exécuté, déclenche un programme malveillant. Ce dernier verrouille alors les fichiers sur l’ordinateur de l’utilisateur et/ou tente de se greffer sur les exécutables et les chemins existants dans le réseau pour trouver, accéder et chiffrer les bases de données critiques de l’entreprise.
En cas d’attaque réussie, les entreprises impactées sont confrontées à des pertes de données, à des perturbations du système, à l’impossibilité de servir les clients pendant de longues périodes et, dans certains cas, à un arrêt complet des opérations jusqu’à ce que les systèmes, les réseaux ou les données soient rétablis à un niveau de service acceptable. Inutile de préciser que toute société victime de ce type d’attaque s’expose à des conséquences financières, opérationnelles, de réputation et éventuellement de réglementation. En d’autres termes, les dommages causés par une attaque de ransomware vont bien au-delà du seul impact sur le réseau.
Méthodes conventionnelles de traitement des ransomwares
Il est plus efficace de se protéger contre une attaque de ransomware que de devoir en gérer les conséquences. Malgré cela, certains experts persistent à affirmer que le meilleur conseil pour gérer la menace des ransomwares est de former les utilisateurs à ne pas cliquer sur n’importe quoi et de conserver des sauvegardes de toutes les données et informations critiques de l’entreprise.
Il est vrai que si personne ne cliquait jamais sur des liens ou ne téléchargeait de pièces jointes, les entreprises seraient plus à l’abri des incidents. Cependant, la réalité des entreprises est toute autre : tout le monde clique, télécharge, sans scruter le contenu et les en-têtes de chaque e-mail ni remettre en question chaque correspondance reçue au cours de la journée. Empêcher les utilisateurs de cliquer sur un lien ou de télécharger une pièce jointe est une façon d’aborder le problème, mais cela a des répercussions qui vont au-delà de la cybersécurité. Aux yeux d’un dirigeant d’entreprise, la probabilité d’une attaque par ransomware activée par le clic d’un utilisateur est bien moindre que l’incapacité de cette personne à faire son travail efficacement si elle ne peut pas accéder à des informations importantes. Même si les ransomwares font la une des journaux, la plupart des cadres non spécialisés dans la sécurité (du moins ceux qui n’en ont pas vécu les retombées) diraient que la productivité de leurs équipes passe avant l’éventualité d’une cyberattaque.
Quant aux sauvegardes et aux plans de reprise après sinistre, il ne fait aucun doute que chaque société devrait en disposer. Ne pas en disposer est, au mieux, une négligence. Toutes les sociétés, à un certain niveau, seront victimes d’un incident de sécurité ou d’une interruption de leurs systèmes, même si la cause est involontaire et n’est pas le fait d’un cybercriminel. Cependant, le fait de se préparer minutieusement à un sinistre ne dispense en aucun cas pas de renforcer sa protection contre les ransomwares.
En d’autres termes, même si une société peut se remettre rapidement d’une cyberattaque (ce qui est peu probable), cela ne signifie pas que les mesures de récupération doivent être la stratégie par défaut. Une stratégie de sécurité à plusieurs couches implique que la société fera de son mieux pour mettre en œuvre des contrôles préventifs, car mieux vaut prévenir que guérir.
Pour en savoir plus, consultez ce livre blanc : Se protéger des ransomwares grâce à Zscaler Workload Segmentation.