Pourquoi les petites et moyennes entreprises font aussi partie des cibles d’attaques ? Un avis d’expert de Mathieu Mondino, Ingénieur Avant-ventes Senior et Expert cybersécurité de Carbonite Webroot.
Les attaques par ransomware font désormais partie de notre actualité, celles qui retiennent le plus notre attention impliquent souvent de grandes organisations et des groupes de pirates informatiques notoires. Dans les faits, aucune liste du “Top 10” des incidents liés aux ransomwares ne donne une image exhaustive de l’impact des ransomwares au cours de l’année dernière. En effet, les PME et les organisations à but non lucratif ont été durement touchées. Pour comprendre pourquoi les petites et moyennes entreprises font aussi partie des cibles d’attaques, il convient de prendre en compte un certain nombre de facteurs clés.
Le manque de ressources en cybersécurité est un facteur aggravant
Les taux d’infection globaux augmentent plus rapidement dans les secteurs des soins de santé, des organismes à but non lucratif et du divertissement. De même, les écoles, les collectivités locales et les hôpitaux font partie des institutions les plus fréquemment visées, représentant quelque 2 400 brèches en 2020 (rapport 2021 de la Ransomware Task Force (RTF)).
Ces organisations sont des cibles de choix pour les cybercriminels car elles manquent de ressources informatiques alors qu’elles gèrent des réseaux complexes et difficiles à sécuriser. Techniquement ces institutions sont souvent réparties sur plusieurs sites et responsables de centaines, voire de milliers de dispositifs (facteurs appelés “surface d’attaque” en sécurité de l’information), avec pour facteurs aggravants, la pénurie de professionnels dédiés à la cybersécurité et des contraintes budgétaires.
Le coût moyen d’un ransomware peut être trompeur pour les PME
De nombreuses entreprises de sécurité tentent, à juste titre, de quantifier le coût des ransomwares. Si presque toutes s’accordent à dire que le nombre d’attaques et les rançons demandées sont en hausse, ces statistiques peuvent masquer la réalité. En effet, les entreprises ont tendance à ne pas systématiquement divulguer les incidents liés aux ransomwares pour éviter d’une part, une publicité négative et d’autre part, des amendes de la part des organismes de réglementation ; Cependant, quelques incidents très médiatisés font grimper les moyennes et déforment les perceptions des PME qui ne sentent plus concernées. Pourtant, selon les résultats d’un rapport récent la demande de rançon médiane en 2021 était de 70 000 dollars. Bien qu’il puisse entraîner une faillite, ce montant reste encore à la portée d’un grand nombre d’entreprises et les cybercriminels en ont bien conscience.
Le ransomware as a Service a changé les cibles
Les hackers d’aujourd’hui ne sont plus forcément les petits génies d’autrefois, la pratique s’est largement « démocratisée ». Le ransomware as a service (RaaS) est un devenu un modèle commercial de plus en plus populaire parmi les geeks malveillants qui peuvent acheter à un développeur des “produits” de ransomware tel qu’un code pour chiffrer les fichiers d’une cible.
Selon la RTF, en 2020, deux tiers des attaques par ransomware ont été perpétrées par des cybercriminels utilisant un modèle RaaS.
Si les attaques de la supply chain et les violations majeures des droits des entreprises internationales nécessitent toujours une bonne dose de sophistication technique, il n’en est plus de même pour le piratage du cabinet du dentiste du quartier. Aujourd’hui il suffit d’une bonne connaissance du dark web, d’un contact avec un développeur malhonnête et d’un capital de départ pour acheter un code, et rançonner des entreprises ou des institutions moins averties.
Un ensemble de facteurs convergent pour augmenter les risques de cybersécurité des entreprises de toutes tailles. Heureusement, il existe quelques mesures, relativement faciles à mettre en œuvre pour réduire les risques ou limiter la portée de toute attaque réussie. Parmi les plus efficaces, le verrouillage des protocoles de bureau à distance (RDP), la sensibilisation des utilisateurs finaux contre le phishing, l’installation un logiciel de cybersécurité reconnu, et la mise en place d’un solide plan de sauvegarde et de reprise après sinistre.