Auteur : Sebastian Nölting, PDG RNT Rausch
Vous avez certainement eu écho de ravages causés par des attaques de rançongiciel sur des entreprises, ou vous en avez peut-être fait l’expérience vous-même. Le récent rançongiciel Onyx, détruit des fichiers au lieu de les chiffrer. Les rançongiciels constituent l’une des plus grandes menaces en matière de cybercriminalité et, pour tout dire, ils continuent d’évoluer. L’entité IC3 (Internet Crime Complaint Center) du Bureau fédéral d’enquête (FBI) américain a signalé une croissance de 62 % des rançongiciels par rapport à 2021.
On parle d’attaque fructueuse par rançongiciel lorsqu’un appareil ou un réseau est détourné et que le code malveillant verrouille, chiffre ou supprime les données de l’entreprise stockées sur les systèmes et les conserve sous forme de « rançon » jusqu’au paiement des frais exigés par le pirate. Les rançongiciels constituent l’une des plus grandes menaces pour les entreprises internationales comme pour les petites organisations. Le risque de rançongiciel est particulièrement croissant dans les petites entreprises, car elles ont tendance à investir beaucoup moins dans la protection des données, bien que survivre à une attaque par rançongiciel n’ait rien à voir avec la taille de l’entreprise.
Vous vous demandez certainement ce qu’est un rançongiciel et comment il fonctionne.
Les cybercriminels peuvent accéder aux appareils de l’entreprise par le biais de malspam (courriels avec pièces jointes malveillantes), de malvertising (publicité malveillante) et de harponnage (courriels ciblés avec téléchargements ou liens obligatoires).
Dès lors que les fichiers sont chiffrés, une rançon est demandée (souvent en cryptomonnaie) et les données sont prises en otage. Être la cible d’une attaque par rançongiciel peut être un revers majeur pour les entreprises, car cela suspend la productivité et entraîne une perte de données et de revenus. Une telle attaque peut également entraîner la perte de clients si leurs données volées sont mal exploitées ou vendues, ce qui entraîne une perte de confiance et une atteinte à la réputation de l’entreprise.
Selon le rapport de Sophos sur l’État des rançongiciels 2022, « les rançongiciels ont frappé 66 % des entreprises interrogées en 2021, contre 37 % en 2020 ». Le rapport révèle également que « le montant moyen des rançons payées par les organisations dont les données ont été chiffrées lors de leur plus importante attaque par rançongiciel a presque quintuplé pour atteindre 812 360 $ et que la proportion d’organisations payant des rançons d’un million de dollars ou plus a pratiquement triplé ».
Le plus souvent, exiger une rançon n’est pas la seule forme de chantage que les cybercriminels imposent aux entreprises. Ils menacent d’appliquer une double, voire une triple extorsion. En d’autres termes, les pirates ne se contentent pas de chiffrer les données, mais les volent et menacent de divulguer publiquement les informations de l’entreprise si la rançon n’est pas payée, mettant ainsi en péril la réputation de l’entreprise et la confiance des clients. Une grande partie de ces données volées, y compris des informations confidentielles sur les clients, finissent par être vendues sur le Dark Web, ce qui expose les clients à des activités criminelles ou à la prochaine attaque par rançongiciel.
Certains cybercriminels menacent également d’effacer ou d’écraser les données, les rendant ainsi irrécupérables. Selon les données d’une étude menée par le fournisseur de sécurité Venafi, 83 % des attaques fructueuses reposent sur une tactique de double ou triple extorsion de fonds.
Même après le paiement d’une rançon, il n’y a aucune garantie que les données seront déchiffrées : l’étude de Boyd note que d’ici 2021, seuls 8 % des victimes de rançongiciel se verront restituer l’intégralité de leurs données.
Dans un monde exposé à la cybercriminalité et aux failles de sécurité, le mieux est de protéger vos données et de prévenir toute attaque potentielle au sein de votre entreprise.
Il est impératif de disposer d’une stratégie de récupération éprouvée en cas de demande de rançon, de veiller à la cyberhygiène, de faire en sorte que le personnel effectue régulièrement des sauvegardes de données à distance et d’être formé à repérer les courriels frauduleux et les contenus suspects en ligne qui pourraient être l’œuvre d’un cybercriminel.
Les données sont l’élément vital de toute entreprise, peu importe le volume. La prévention est la clé ; et le plus souvent, l’erreur humaine et la confiance dans les appareils de stockage ne suffisent pas. Toutes les entreprises doivent prendre au sérieux la protection de leurs données et mettre en œuvre des plans de résilience, tant pour la prévention que pour la récupération.
Le stockage immuable est le meilleur moyen de se prémunir du chiffrement des données si le cybercriminel a pénétré dans le réseau.
L’ajout d’un stockage immuable à la stratégie globale de prévention est un élément essentiel pour garantir la récupération des données après une attaque par rançongiciel. Il s’agit souvent de la toute dernière ligne de défense qui protège les données contre le chiffrement après l’infiltration des pirates dans le réseau.
Fondamentalement, le stockage immuable rend la sauvegarde résistante au chiffrement ou à la suppression pendant une période de conservation définie par l’utilisateur, ce qui signifie que les entreprises peuvent récupérer leurs données à partir d’une copie propre sans avoir à payer de rançon.
Selon moi, les solutions de stockage doivent au moins fournir :
Immutabilité : garantir que les données sont stockées de manière sécurisée dans un stockage immuable, de sorte qu’en cas d’attaque, elles ne sont ni cryptées, ni supprimées, ni manipulées et récupérées à partir d’une copie propre dans un délai raisonnable.
Simplicité : les solutions de sauvegarde et de sécurité des données doivent être simples, faciles à déployer et directes à la fois dans leur mise en œuvre et dans leur compréhension. Ceci dans le but de permettre à une entreprise de se remettre en selle lors des procédures de récupération.
Rien ne garantit qu’une entreprise ne sera pas ciblée ou infiltrée par des attaques par rançongiciel, mais prendre ces mesures en faveur d’un stockage immuable garantit une stratégie de prévention plus stricte et un processus de récupération plus fluide.
Il existe deux types d’entreprises : celles qui ont déjà été attaquées et celles qui le seront dans un avenir proche. Dans les deux cas, il est important de faire en sorte qu’il soit aussi difficile que possible pour un intrus d’infiltrer le réseau et que les données de l’entreprise puissent être récupérées rapidement en cas d’attaque.
Les stratégies de stockage et de récupération des données permettent aux entreprises de récupérer et de relancer rapidement les systèmes, minimisant ainsi le choc d’une attaque par rançongiciel. La mise en place de ces stratégies de pointe, ainsi que l’implication des employés et leur accès aux systèmes, sont primordiaux.
En particulier dans un environnement de travail hybride, il est essentiel de protéger vos données et votre entreprise afin de réduire les coûts opérationnels à long terme.