Récemment visé par un ransomware, le service de santé irlandais (Health Service Executive) a annoncé qu’il ne se pliera pas à la demande de rançon des cybercriminels. Une prise de position forte, et recommandée par les acteurs du secteur de la cybersécurité. En effet, le règlement d’une somme suite à une attaque de rançongiciel alimenterait la cybercriminalité et inciterait les hackers à poursuivre leurs campagnes malveillantes. Pierre-Louis Lussan, Country Manager France et directeur South-West Europe chez Netwrix, développe son point de vue pour les lecteurs de SOlutions Numériques.
Ainsi, selon Johanna Brousse, vice-procureur chargée des dossiers de cybersécurité au parquet de Paris, lors d’une audition au Sénat le 15 avril 2021, la France est l’un des pays les plus attaqués en matière de ransomware car « nous payons trop facilement les rançons ». Une position soutenue par une étude de Wavestone qui indique que 20 % des demandes de rançons reçues par des multinationales françaises sont réglées.
Pourquoi les entreprises paient
Certaines organisations pensent que régler une rançon demeure la meilleure stratégie à adopter afin de récupérer les données chiffrées et de redémarrer l’activité au plus vite. Tout jour chômé peut en effet potentiellement mettre en péril la pérennité d’une entreprise, en particulier pour les PME. Autre raison, le paiement en catimini d’une rançon est parfois une solution envisagée par l’organisation pour passer sous silence la cyberattaque en cours, afin de ne pas subir d’atteinte à l’image et de potentielles amendes pour manquement au RGPD au sein de l’Union Européenne. Une stratégie à double tranchant si les négociations ne se déroulent pas comme prévu et perdurent trop longtemps, ou si l’attaque est finalement dévoilée au grand jour.
Mais selon Guillaume Poupard, directeur général de l’ANSSI, c’est aussi la souscription à des cyber-assurances qui poussent les victimes à payer la rançon. Des compagnies d’assurance affirment ainsi que remettre l’entreprise sur pied s’avère au final beaucoup plus coûteux, et cette dernière est assurée d’être remboursée du montant versé aux cybercriminels. Les contrats de cyber-assurance sont ainsi de plus en plus répandus et les dédommagements versés explosent : selon l’Association pour le management des risques et des assurances de l’entreprise (AMRAE), le montant des indemnisations a été multiplié par trois entre 2019 et 2020, pour atteindre 217 millions d’euros.
4 étapes clés pour se protéger des ransomwares
Qu’importe les causes poussant les organisations à céder au chantage des hackers, il ne s’agit jamais d’une stratégie viable sur le long terme. En effet, il n’est pas rare que les pirates informatiques ne rendent jamais l’accès aux données ou ne les mettent à disposition par la suite sur le Dark Net. En outre, payer les rançons est un cercle vicieux qui légitimise les campagnes malveillantes des cybercriminels, en confirmant leur profitabilité. L’unique moyen de faire face à une attaque de ransomware est par conséquent de protéger efficacement ses données en amont, en développant et testant un plan pour réagir rapidement afin de limiter les dommages potentiels. Une stratégie efficace nécessite ainsi une détection, une réponse et une récupération des données rapides.
- Les données d’inventaire et qui y a accès. Pour minimiser le risque de perdre l’accès à des données sensibles, telles que les informations personnellement identifiables des clients et des employés, les organisations doivent savoir exactement quels types de données elles stockent et les sécuriser en fonction de leur valeur. La classification automatisée aidera à mieux comprendre quelles données existent, qui y a accès et à quel point elles sont sensibles ; afin de choisir en conséquence les mesures appropriées pour protéger les actifs les plus critiques. De plus, comme les ransomwares reposent sur les accès détenus par l’utilisateur compromis, l’application rigoureuse du principe du moindre privilège réduit drastiquement le volume de données pouvant être compromis et chiffré lors d’une attaque.
- La détection des anomalies et les alertes. Les entreprises doivent surveiller le comportement des utilisateurs sur tous les systèmes et avec les données critiques, à la fois sur site et dans le cloud, en recherchant activement toute activité anormale pouvant indiquer une attaque en cours ; telle qu’une modification de la liste des extensions de fichiers restreintes ou un nombre élevé de fichiers modifiés ou téléchargés. Mieux encore, les équipes de sécurité peuvent recevoir des alertes sur les activités suspectes, afin de pouvoir répondre à une attaque avant qu’une quantité substantielle de données ne soit compromise.
- Optimiser la récupération de données. Grâce à des informations détaillées sur les fichiers qui ont été modifiés ou supprimés lors d’une attaque de ransomware, l’équipe informatique peut restaurer ces données rapidement pour minimiser les interruptions de service. Cela suppose néanmoins d’avoir instauré au préalable une politique de sauvegardes récurrentes de l’ensemble des données et de s’assurer qu’elles sont stockées dans un endroit hautement sécurisé dès lors qu’il est question d’informations sensibles et critiques.
- Développer et tester régulièrement un plan de réponse aux incidents. Enfin, les entreprises doivent documenter précisément les étapes à suivre en cas d’attaque de ransomware, y compris qui est responsable de quoi. Étant donné que le personnel, l’environnement informatique et le paysage des menaces sont en constante évolution, ce plan doit être réévalué et testé régulièrement, afin d’être mis à jour si nécessaire.
La recrudescence des attaques de ransomware peut laisser les organisations désemparées quant à la position à adopter pour y faire face. Si le paiement de la rançon peut sembler l’unique alternative en cas de compromission avérée, il ne s’agit pas d’une stratégie optimale sur le long terme. En effet, cela incite les cybercriminels à perpétrer de nouvelles campagnes.
Les entreprises doivent par conséquent être préparées en amont, et ne doivent pas se reposer exclusivement sur une cyber-assurance. Il faut y préférer la mise en place une cyber-hygiène rigoureuse, s’armer d’outils pour pouvoir surveiller les activités sur le réseau en temps réel, sauvegarder régulièrement les données, ainsi que déployer et tester régulièrement un plan de remédiation. Alors, seulement, les entreprises seront efficacement protégées contre les attaques de ransomware.