Avec une augmentation de 95% en 2021, les attaques par ransomware constituent la principale menace contre les entreprises et les administrations françaises. Compte tenu de la sophistication croissante de ces intrusions, aucune solution miracle ne peut garantir que le périmètre d’une entreprise est protégé à 100 %. En revanche, il est possible d’accroître la résilience de l’ensemble de l’organisation en minimisant le temps d’immobilisation et en mettant l’accent sur une récupération rapide.
La seule façon de garantir que votre entreprise est totalement immunisée contre le ransomware est de ne jamais utiliser internet. Mais cela est bien entendu impossible. Des terminaux de paiement des petits cafés de quartier aux processus basés sur l’IA et la robotique, notre dépendance à l’égard des technologies numériques est bien trop importante. Une fois ce constat lucide effectué, il est peut-être temps pour les entreprises de réfléchir différemment. Au-delà des habituels contrôles de périmètre, il s’agit désormais de se concentrer sur la meilleure manière de remédier rapidement à une situation d’attaque, le cas échéant, et de remettre l‘entreprise en état de marche après l’événement. Pour surmonter cette épreuve, il est important de comprendre les deux méthodes utilisées par les attaquants pour perturber les entreprises et les forcer à négocier : le chiffrement et l’exfiltration.
Une entreprise ne peut fonctionner sans données. C’est en partant de ce constat que les attaques par ransomware se sont multipliées depuis leur apparition en 1989, avec la toute première souche, PC Cyborg. Distribué par disquette, ce ransomware rudimentaire exigait un paiement d’environ 500 dollars. Ses auteurs avaient déjà compris qu’il suffisait de verrouiller les données critiques d’un individu, pour que celui-ci paie pour y avoir accès à nouveau. Depuis lors, toute une économie a vu le jour. Celle-ci se nourrit du désespoir de milliers d’entreprises qui se retrouvent du jour au lendemain, pendant des jours, des semaines, parfois des mois, sans aucun accès aux données et aux systèmes dont elles ont besoin pour fonctionner. En France, les coûts moyens de remédiation, qui incluent les temps d’arrêt, les commandes perdues, les coûts opérationnels et de nombreux autres paramètres, sont passés de 390 000 euros à 921 000 euros en un an.
Pour ne pas rester sans connexion, de nombreuses entreprises françaises paient la rançon. Le nombre est passé de 19% à 25% entre 2020 et 2021. Le montant moyen des rançons versées par ces entreprises atteint 128 000 euros. Ce chiffre est de 7 à 8 fois inférieur aux coûts engagés pour la remédiation et la reprise d’activité. Pourtant, parmi ces organisations seules 6% ont pu récupérer l’ensemble de leurs données, ce qui prouve bien que le pari est risqué. En effet, il n’y a aucune garantie que les attaquants décryptent les données. Sans compter le fait que payer les rançons encourage des attaques contre d’autres organisations. Il existe une bien meilleure solution. La clé d’une reprise rapide, sans négociation avec les criminels, est de disposer de sauvegardes complètes et à jour. Celles-ci vous permettront de revenir en arrière et de relancer les opérations à partir d’un "point de sauvegarde" antérieur à l’infection.
Les attaquants de ransomware ont bien compris que les sauvegardes ruinent leur modèle économique. Ce n’est pas un hasard si désormais, afin de paralyser les efforts de récupération et augmenter la probabilité que la victime paie, les souches les plus sophistiquées recherchent activement les données de sauvegarde. A ce titre, les données de sauvegarde immuables, disponible sur des espaces de stockages « air-gapped » c’est à dire déconnectés de l’internet, offrent aux organisations une "police d’assurance contre les ransomwares". Ces dernières sont ainsi en mesure de reprendre leurs activités habituelles aussi rapidement que possible avec des délais de récupération qui passent de 16 jours en moyenne à seulement quelques heures.
L’une des plus grandes évolutions des ransomwares a été l’introduction de capacités d’exfiltration. Celles-ci ont été observées pour la première fois fin 2019 avec la variante Maze. Les pirates à l’origine de cette souche avaient mis en place une double extorsion, une manœuvre en tenaille, qui consistait à la fois à voler et à chiffrer des données. Cette technique est désormais la tactique préférée des groupes de ransomware du monde entier. En menaçant de publier les données volées, les attaquants augmentent l’urgence de la réponse de la victime. Dans les suites immédiates d’un tel événement, les premiers jours se passent généralement dans la panique la plus totale, l’entreprise tentant d’identifier les données qui ont été subtilisées.
Avoir une visibilité sur les fichiers qui ont été volés permet à l’entreprise de comprendre si des informations personnelles identifiables (PII), des données financières ou de la propriété intellectuelle ont été confisquées, et quelles autres autorités ou organismes de réglementation doivent être notifiés. Les modèles d’apprentissage automatique appliqués aux données de sauvegarde peuvent contribuer à réduire le temps nécessaire à la compréhension de l’ampleur d’une attaque, en passant de de plusieurs jours à quelques minutes. Les organisations sont ainsi en mesure de prévenir rapidement les clients concernés afin que ces derniers puissent prendre les mesures appropriées pour se protéger de toute fraude découlant des données volées.
Ces attaques vont continuer à évoluer. Elles deviendront plus sophistiquées et plus perturbatrices, les attaquants cherchant à rendre la récupération aussi difficile et coûteuse que possible. Néanmoins, même si les entreprises ne sont jamais totalement à l’abri des risques de ransomware, elles peuvent minimiser les perturbations et s’assurer que leurs opérations reprennent le plus rapidement possible.