[Tribune] Recrudescence des rançongiciels : votre organisation est-elle prête ?

Centres hospitaliers, grands groupes, PME, collectivités locales…en pleine épidémie, le fléau des rançongiciels n’a rien épargné. Une machine infernale qui touche toutes sortes d’organisations. Dernièrement, le groupe Colonial Pipeline en a fait les frais, en payant 4,4 millions d’euros suite à une attaque lancée par un groupe de cybercriminels baptisé DarkSide. Cette attaque avait provoqué des ruées vers les pompes à essence et créé des pénuries localisées.

Ghaleb Zekri, Lead Security Architect & CTO Ambassador, VMware France

Ghaleb Zekri, Lead Security Architect & CTO Ambassador, VMware France

Face à l’ampleur des attaques visant les infrastructures critiques et l’impact de cet incident sur le quotidien des citoyens, les autorités américaines ont décidé de muscler leur dispositif de lutte contre la cybercriminalité. Plus inquiétant encore, le phénomène montant du « ransomware as a service » (RaaS) permet à n’importe qui de diffuser des rançongiciels disponibles sur des plateformes mises à disposition par des cybercriminels.

Les rançongiciels : une des principales causes de piratage des entreprises

D’après l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information), les signalements de ransomwares ont augmenté de 255 % sur l’année écoulée. Les cybercriminels ont ainsi profité de la pandémie et des failles des systèmes informatiques déployés à la hâte par les entreprises pour permettre le télétravail. En outre, cette période a été plus que propice aux attaques d’ingénierie sociale, où la victime est manipulée psychologiquement à des fins d’escroquerie.

A lire aussi : [Chronique] Ransomware : faut-il mieux payer un voyou ou laisser crever une entreprise ?

Et aucune industrie n’est épargnée : le secteur de la santé (déjà aux prises avec la gestion de la pandémie) a même été ciblé de façon disproportionnée par les ransomwares en 2020 : un piratage sur cinq ayant été signalé sur cette période aurait été provoqué par des ransomwares. À l’image de DarkSide, qui a ciblé une infrastructure nationale critique, les groupes de ransomwares ont davantage cherché à extorquer des fonds aux entreprises qui seraient plus enclines à payer, en raison du caractère vital de leurs activités. 

La « double extorsion » : toujours plus de pression sur les victimes

Les hackers ne s’arrêtent malheureusement pas là et inventent de nouvelles tactiques à un rythme effréné, afin de rendre leurs ransomware toujours plus subtils. Ainsi, au lieu de bloquer les systèmes directement, les pirates cherchent à s’infiltrer en passant inaperçus et en s’installant durablement sur le réseau de leurs cibles. De cette façon, ils peuvent se déplacer à leur guise et peuvent extraire des données pouvant être monétisées, même si aucune rançon n’est demandée en fin de compte. Ils ne procèdent à aucun chiffrement de système et ne font aucune demande de rançon avant d’avoir effacer leurs traces et mis en place une solution afin de pouvoir revenir sur le réseau de leur cible.

Les pirates ont ainsi une meilleure prise sur leurs victimes : outre le fait de devoir déchiffrer leurs systèmes, les entreprises doivent également faire face à la possibilité que des actifs critiques, à l’image de données clients ou de secrets industriels, soient mis en vente sur le dark web, et que la fuite soit rendue publique. Compte tenu des risques pour leur réputation et sur le plan réglementaire, les entreprises se sentent souvent contraintes de payer la rançon. Cependant, à moins que le pirate ait totalement disparu du réseau ciblé, il est susceptible de frapper à nouveau après avoir constaté que sa victime était prête à obtempérer.

Renforcer ses systèmes de défense face aux ransomwares

À l’heure où les entreprises s’adaptent afin de soutenir le nomadisme de leurs employés, les RSSI doivent redoubler d’efforts pour renforcer leurs systèmes de défense contre les ransomwares et se protéger. Dans un premier temps, ils doivent contrôler les endpoints et le réseau pour que les employés puissent télétravailler depuis n’importe quel appareil et sur n’importe quel réseau. Ensuite, vous devez assurer une meilleure visibilité sur les endpoints et workloads pour obtenir des informations contextuelles et sur chaque situation, ce qui permettra d’aider les cibles d’attaques à hiérarchiser et remédier aux risques en toute confiance.

De manière générale, les RSSI doivent avoir une vision à 360 de leur périmètre d’activités. En analysant les comportements anormaux, ils seront en mesure de détecter des incursions silencieuses et la présence d’individus malveillants dans leur infrastructure. Il faut partir du principe que les cybercriminels disposent d’une multitude de moyens pour accéder à l’environnement informatique d’une entreprise, c’est pourquoi il est important de prendre le temps d’analyser avant d’agir dans l’urgence. Bloquer les logiciels malveillants ou à arrêter les processus des systèmes de commande et de contrôle ne suffit pas si vous n’êtes pas sûr de connaître toutes les voies par lesquelles les pirates pourraient se réinfiltrer.

La question n’est pas de savoir si, mais quand les organisations seront ciblées. Il est donc essentiel qu’elles se tiennent prêtes en mettant en place un plan de la gestion des incidents et faire en sorte de pouvoir le mettre en œuvre lorsque nécessaire. Celui-ci doit inclure des capacités de gestion et d’analyse post-incident, afin d’éliminer toute trace restante d’un antagoniste, et d’éviter de subir une succession d’attaques.

À l’heure où les organisations revoient leur approche en matière de sécurité, et compte tenu de l’impact et de l’ampleur croissants des attaques, la protection contre les ransomwares doit être une priorité. En s’appuyant sur une stratégie de sécurité capable de prendre en charge et de protéger les employés, les entreprises pourront travailler en toute sécurité et de façon productive, sans risque pour l’infrastructure, la réputation et la compétitivité de leur entreprise.