Accueil Cybersécurité 2022 : il va falloir revoir la définition du mot ransomware

2022 : il va falloir revoir la définition du mot ransomware

Cybersécurité : que nous réserve 2022 ? Voici l’analyse de Raphaël Marichez, CSO Europe du Sud chez Palo Alto Networks. Entre autres tendances, à ses yeux, il va falloir revoir la définition de ransomware.

Ransomware est devenu un mot valise dans lequel on met tout et n’importe. Les ransomwares recouvrent des réalités très diverses. L’exemple de la quadruple extorsion illustre bien cela. Les RSSi doivent également éduquer l’interne, initiés et non initiés, sur les conséquences métier d’une telle attaque. Chantage, menaces de dévoiler les données volées à la concurrence, menace sur le salarié (qui a cliqué sur le mauvais lien et à qui on fait croire que sa carrière est mise en danger, et qu’il ne faut d’ailleurs pas blâmer mais plutôt accompagner) pour le retourner contre sa propre organisation, copie des données et partage avec d’autres groupes de hackers, bref, ce sujet n’a pas fini de faire couler de l’encre et de faire de nouvelles victimes. Il faut préparer le COMEX, les équipes, éduquer encore et encore, car un EDR, c’est utile mais cela ne suffit pas.

 

Le problème posé par les ransomwares est évolutif – Ne vous y trompez pas !

Alors que le montant moyen des demandes de rançons a grimpé pour passer à 5,3 M$ en 2021 (soit un bond de 518 % par rapport aux chiffres observés par l’Unit 42 sur l’ensemble de l’année 2020) et que la rançon moyenne versée s’élevait à 570 000 $, en hausse de 82 % par rapport à 2020, il est à noter que la signification du terme rançongiciel devient insaisissable, et englobe aujourd’hui une multitude de techniques d’attaques différentes en provenance d’un large éventail d’acteurs de la menace. Un exemple: pour nos consultants de l’Unit 42 (unité de conseil et de recherches/analyse sur les menaces), « la quadruple extorsion » est en plein essor. Ce phénomène désigne les quatre stratégies utilisées par les pirates pour convaincre leurs victimes de payer. Ce nouveau scénario marque une intensification de la pression exercée par les cybercriminels qui, en 2020, n’utilisaient que deux méthodes, et aujourd’hui, choisissent et adaptent les méthodes au regard de l’effet qu’ils cherchent à obtenir et des caractéristiques de leur cible. Les RSSI doivent former leurs collègues non-informaticiens aux effets des différents types d’attaques et aux ripostes stratégiques à adopter.

“Rendez-moi mes données ! »

Les données irriguent nos économies, nos entreprises et nos vies quotidiennes. Les cybercriminels comprennent aujourd’hui mieux leur valeur et comment monétiser celle-ci. Ils continueront de les dérober et les exploiteront selon des stratégies variées et fonction de leur cible : menace de publication, pression sur les clients, chantage sur les salariés… . De ce fait, il ne suffit pas de rétablir le fonctionnement du système : les entreprises et les particuliers traquent les données qui leur ont été dérobées, comme de véritables détectives de la donnée.

Données personnelles : du global au local

L’infrastructure cloud continuera à se segmenter en s’imposant comme un enjeu géopolitique. On se demande même si, au final, les effectifs des équipes juridiques et de conformité en charge de la souveraineté des données ne deviendront pas supérieurs à ceux des équipes de sécurité ayant pour mission de sécuriser celles-ci.

Les mots de passe vont disparaître

Le nombre d’identifiants que possède chaque utilisateur explose. Les mots de passe faibles et mal gérés constituent une cible de choix pour les pirates informatiques. Pour éradiquer cette faille, les entreprises misent de plus en plus sur des applications à l’authentification sans mot de passe.

Être piraté chez soi

Le modèle de travail hybride étant là pour durer, le réseau de son domicile privé est aujourd’hui une cible privilégiée des pirates informatiques. Une récente étude de l’Unit 42 révèle d’ailleurs que 35 % des répondants à l’étude ont convenu que leurs employés contournent ou désactivent délibérément les mesures de sécurité à distance qu’ils ont mises en œuvre (en France, 21 % le déclarent). Moins sûrs en règle générale, les réseaux résidentiels abritent des appareils IoT grand public dépourvus de correctifs, et leurs mécanismes de défense ont été affaiblis encore davantage par le nécessaire assouplissement des contrôles de sécurité visant à faciliter la collaboration à distance.

L’enseignement de la cybersécurité doit s’adapter aux nouvelles façons de travailler

Nous devons réfléchir aux moyens de pérenniser la cyberformation dans un univers numérique plus agile, moins binaire. Cela passe par des programmes de formation reposant sur des principes solides, à l’épreuve du temps, plutôt que de se focaliser sur des actions ou technologies du moment ou des principes fermés (exemple : se croire protégé parce que le mot de passe à la longueur prescrite par la règle). En France, L’ANSSI, CyberMalveillance.gouv.fr et bien d’autres organismes (ex: CESIN) participent activement, et doivent le renforcer, à ce travail d’éducation, de formation et d’évangélisation. La cybersécurité est l’affaire de tous. 

Cyber-hygiène  : les choses vont-elles empirer avant d’aller mieux ?

Tout change tellement vite dans le milieu de l’IT en entreprise. L’approche DevSecOps n’est pas encore parvenue à maturité et les « bonnes pratiques » sectorielles sont encore rares. Les RSSI doivent laisser le raisonnement tactique au profit d’une réflexion stratégique pour tirer avantage des réglementations et autres politiques. Ils doivent faire de la réglementation leur allié et non leur ennemi.

La cybersécurité doit faire sa mue

Pour aller plus loin et passer à l’échelle, il sera obligatoire d’alléger et simplifier les dispositifs techniques en place. Mais l’humain est attaché aux technologies dont il a l’habitude, même si elles sont compliquées à utiliser. Or ce qui fonctionnait auparavant ne sera plus suffisant, et les équipes de cybersécurité ne pourront accomplir de miracles en étant corsetées par un écosystème de solutions propriétaires/héritées.

L’entreprise « Zero Trust » devient la référence en matière de sécurité

Toujours vérifier avant d’accorder sa confiance. Dans un monde en quête de satisfaction immédiate, il est piégeux de chercher à déployer une solution “Zero Trust” de court terme. Ce serait ne pas avoir compris que l’approche Zero Trust est une stratégie, et non un produit ou un projet.