[Tribune] La réalité des ransomwares pour les petites et moyennes entreprises

Adrien Merveille, expert Cybersécurité chez Check Point Software, estime que l’attaque par rançongiciel est une menace omniprésente dans les discussions mais dont nous aimerions rester éloignés. Elle touche tous les secteurs et sa fréquence comme sa sophistication ne cessent de croître. Pourtant, peu de PME réalisent à quel point elles sont tout aussi, voire plus vulnérables que les grandes entreprises. Selon l’ANSSI, en 2022, les TPE/PME/ETI constituent la première catégorie de victime la plus affectée par des attaques de rançongiciels.

Adrien Merveille, expert Cybersécurité chez Check Point Software

Adrien Merveille, expert Cybersécurité chez Check Point Software

Rien qu’en 2021, en Europe, 28% en moyenne des PME ont fait l’objet d’une cyberattaque. Les attaques par rançongiciel avaient alors augmenté de 60% sur les 6 premiers mois de 2021, après avoir augmenté de 255 % en 2020, toujours selon l’ANSSI. Les entreprises doivent être prêtes à modifier leur approche au même rythme.

Parce que les PME détiennent une mine d’informations confidentielles, depuis les dossiers médicaux aux comptes bancaires, elles sont une cible de choix pour les cybercriminels. De plus, au-delà du coût initial d’une attaque par ransomware, qui peut les paralyser, elles sont susceptibles d’être soumises à des amendes si les lois sur la confidentialité sont violées lors d’une attaque.

A lire aussi : Ransomware : au sein de la rédaction Alliancy, CIO et CISO se frottent à l’atelier « Save the Data » imaginé par Rubrik

A mesure que les PME adoptent de nouvelles technologies dans le cadre de leur transformation numérique, leur vulnérabilité s’accroît. Depuis la transition vers le cloud à l’utilisation de plateformes SaaS pour faciliter le travail à distance, les terminaux exposés à Internet sont plus nombreux que jamais. Alors, comment les PME peuvent-elles renforcer leur cyber-résilience pour éviter une attaque par ransomware ?

Une entreprise criminelle hyper rentable

Les ransomwares ont la faveur des cybercriminels car ils sont rapides à déployer et très lucratifs. Le principe : ils accèdent aux données de grande valeur et les chiffrent le temps que leur soit versée la rançon, souvent sous la forme de crypto-monnaies intraçables, en échange du code de déverrouillage. En 2021, les attaques par ransomware ont coûté $1,2 milliards aux entreprises et particuliers américains quand le coût total de la cybercriminalité mondiale a dépassé les $6 000 milliards (1 % du PIB mondial) dont un cinquième a visé l’Europe (source : Clusit, association pour la sécurité numérique en Italie, équivalent du Clusif en France). Les entreprises doivent donc être prêtes à modifier leur approche au même rythme. Sachant que les données peuvent ne pas être débloquées une fois la rançon payée. Certains cybercriminels tentent en effet la double voire la triple extorsion ou divulguent certaines données volées pour faire monter les enchères.

Des cibles faciles

Avec le travail à distance, les acteurs de la menace profitent de l’augmentation de la surface d’attaque des PME et de la faiblesse des budgets alloués. Elles sont des proies faciles puisque les pirates rencontrent moins d’obstacles qu’avec les grandes entreprises, qui disposent de plus de ressources pour déployer les dernières technologies de détection et de prévention des menaces.

Pour une PME, l’impact d’une seule attaque peut avoir un effet disproportionné. En effet, si le montant financier d’une attaque par ransomware est souvent plus élevé pour une grande entreprise, la PME n’a pas forcément les ressources nécessaires pour se rétablir et peut vite se retrouver en faillite.

Comment les attaques sont-elles lancées ?

Le canal le plus courant est l’e-mail d’hameçonnage (phishing), qui vise à attirer l’attention d’une personne dans un moment de forte activité et à l’inciter à prendre une décision malencontreuse. Les pirates utilisent généralement une marque de confiance ou usurpent l’adresse électronique d’un collègue pour rendre le message crédible, et conduisent la victime à cliquer sur un lien frauduleux qui peut déployer un ransomware. D’autres techniques font appel à l’ingénierie sociale, qui permet au pirate de recueillir des informations sur une victime afin d’établir une relation avec elle et d’obtenir ses identifiants de connexion qu’un autre criminel pourra ensuite utiliser pour lancer une attaque.  

La plupart des petites entreprises protègent leurs points d’accès comme les ordinateurs portables, les serveurs et les ordinateurs de bureau, mais les dispositifs IoT tels que les caméras de sécurité ou les mobiles et iPads personnels utilisés pour le travail sont peu, voire pas sécurisés du tout. Un rapport récent a révélé que 80 % de tous les BYOD dans une entreprise ne sont pas gérés.

Un seul appareil, un seul téléchargement de fichier malveillant ou un seul clic sur un mauvais lien suffisent pour que l’ensemble du réseau de l’entreprise soit à portée de main. Il est donc important que les PME s’engagent auprès de leur personnel et le sensibilisent au risque, afin de réduire la probabilité d’une escroquerie. 

Comment les PME peuvent-elles se protéger ?

En premier lieu, les organisations doivent se tenir au courant des correctifs de sécurité et les déployer sur tous les postes via des mises à jour dès qu’elles sont disponibles. Deuxièmement, assurez-vous que les sauvegardes ne sont pas enregistrées sur le même serveur que toutes leurs autres données, les rendant de fait disponibles lors d’une attaque. Choisissez une sauvegarde réseau totalement isolée, hors site, afin de garantir aux équipes l’accès aux fichiers clés, même en cas d’attaque par ransomware.

Avant de chercher à mettre en œuvre de nouvelles technologies, la priorité doit être donnée à la réduction du nombre de solutions en place et à la consolidation vers une plateforme ou un fournisseur unique. En réduisant le nombre de fournisseurs impliqués, vous diminuerez les redondances et le coût total de possession (TCO), réduirez la surface d’attaque et fournirez une vue unifiée de l’ensemble du réseau, ce qui facilitera le repérage d’activité inhabituelle.

Les cas de ransomwares iront croissants en 2023 et les méthodes des pirates vont se sophistiquer encore davantage. Afin de se préparer au mieux, les PME doivent anticiper dès maintenant cette nouvelle période de changements. Elles doivent donc être prêtes à modifier leur approche au même rythme. Tout retard dans cette démarche pourrait avoir un effet dévastateur. La mise en place d’une stratégie de cybersécurité agile s’impose donc afin de pouvoir s’adapter à cette évolution annoncée des menaces.