Ces deux dernières années, les attaques de ransomware augmentent de manière significative et il ne semble pas y avoir de signe de relâchement. Si, entre 2019 et 2020, le nombre d’attaques avait augmenté de 150 %, il a encore doublé l’année suivante. Par ailleurs, si leur nombre est en hausse, elles évoluent également dans les méthodes de déploiement et la façon dont les acteurs de la menace se comportent après l’attaque. Il est donc de plus en plus difficile de se défendre contre les attaques et de les gérer, en particulier dans les secteurs à haut risque qui ont connu un nombre élevé d’attaques ces derniers temps.
En parallèle de cette intensification de la menace, les organisations peinent à répondre aux exigences requises pour se défendre correctement contre les ransomwares. Elles sont nombreuses à dépendre encore des sauvegardes, qui n’offrent pas le niveau de protection requis. Dans un scénario d’attaque, les sauvegardes peuvent même ne pas contribuer aux efforts de récupération promis, ce qui met les organisations en danger si c’est la seule défense contre les ransomwares qu’elles ont mise en place. En effet, il y a aujourd’hui une dissonance majeure entre ce que les entreprises attendent des sauvegardes et ce qu’elles peuvent vraiment faire face à une attaque ransomware.
Quand la promesse des sauvegardes ne tient pas la route
Les sauvegardes sont conçues pour aider les entreprises à se rétablir plus rapidement après avoir subi une attaque de ransomware en permettant de récupérer leurs fichiers et leurs systèmes plus rapidement, ce qui évite le verrouillage et les temps d’arrêt. Dans l’idéal, cela évitera même de devoir payer la rançon. Cependant, ce scénario ne tient pas la route face à une attaque réelle.
Dans les faits, face à une attaque, les équipes de sécurité et chefs de service doivent gérer un certain nombre de priorités et de tâches qui doivent être résolues immédiatement et ne pouvant attendre des jours ou des semaines avant que l’attention nécessaire ne soit accordée aux sauvegardes. C’est pourquoi, une sauvegarde peut ne pas servir l’organisation dans le bon délai, affectant ainsi son efficacité.
Les sauvegardes ciblées par les acteurs de la menace
Les pirates connaissent bien les sauvegardes et conçoivent des méthodes d’exploitation pour les contourner permettant ainsi de verrouiller et cibler en priorité les informations utiles, tout en s’assurant qu’ils peuvent désactiver ou supprimer les sauvegardes.
Par exemple, de nombreux auteurs de ransomware se tournent vers les attaques à double et triple extorsion et menacent les entreprises de divulguer les données verrouillées si une rançon n’est pas payée. Certains logiciels de ransomware sont conçus pour attaquer les sauvegardes. Le groupe de pirates Conte les a spécifiquement ciblé afin de les rendre inefficaces pour de nombreuses organisations. Plusieurs vulnérabilités ont déjà été découvertes dans le logiciel de sauvegarde Veeams, ce qui pourrait entraîner d’éventuelles attaques.
Des sauvegardes non maintenues et non testées
On entend parler de sauvegardes ne fonctionnant pas lors d’une attaque de ransomware, ce qui s’explique en partie par des complications excessives et des négligences involontaires. La sauvegarde d’un seul appareil est très différente de la sauvegarde de l’ensemble du réseau d’une entreprise car il faut tenir compte de dépendances multiples et de centaines ou milliers de dispositifs. Cela peut se traduire par des sauvegardes inefficaces, ou qui ne sont pas maintenues ou testées régulièrement pour s’assurer qu’elles fonctionnent correctement. Si une entreprise est touchée par un ransomware, elle peut se rendre compte que la sauvegarde ne fonctionne tout simplement pas ou qu’elle a été configurée trop tôt pour être utilisable.
Plus de services préventifs et proactifs
En se fiant uniquement aux sauvegardes, les entreprises prennent le risque de s’exposer à des ransomwares. Elles ne sont pas inutiles mais ne devraient pas être la seule ligne de défense, mais la dernière. Si une entreprise peut être touchée par une attaque, c’est le signe d’une vulnérabilité pouvant conduire à d’autres cyberattaques. En effet, 80 % des entreprises victimes d’une attaque sont à nouveau visées.
Les entreprises doivent investir dans des technologies qui détectent et éliminent les menaces. Ces outils doivent s’appliquer à tous les environnements, en particulier ceux en hybrides, où la surface d’attaque est assez importante. Pour lutter contre les attaques, les entreprises devraient se tourner vers des services de détection qui tirent parti de la reconnaissance et la détection de patterns d’attaque pour repérer les ransomwares et les supprimer immédiatement.
Associée à d’autres services de détection et de prévention, ainsi qu’à des sauvegardes, une entreprise peut mettre en place un dispositif de sécurité à plusieurs niveaux, complet et efficace pour prévenir les attaques tout en réduisant les dommages qu’elles peuvent causer. En plaçant la protection en priorité, l’entreprise peut économiser du temps, de l’argent et des ressources en réduisant considérablement l’impact qu’une attaque. Même si une sauvegarde fonctionne, l’entreprise devra toujours gérer et traiter l’attaque par ransomware jusqu’à ce que l’environnement se rétablisse, quelle que soit la sauvegarde utilisée, en entraînant toujours une perte de ressources et de revenus.