Que faut-il penser des signaux contradictoires ?

Il n’est pas simple de répondre à cette question. En 2022, le nombre d’attaques par ransomware à l’échelle mondiale a considérablement diminué (sachant qu’il avait doublé en 2021) et l’analyse de Chainalysis, le spécialiste de la blockchain, montre que le montant total des rançons versées à la suite d’une attaque a également fortement baissé en 2022 – deux signes positifs qui semblent indiquer que les ransomwares connaissent un ralentissement à l’échelle mondiale.

Pourtant, de nombreuses études peignent un tout autre tableau, avec une augmentation du nombre d’entreprises ayant été victimes d’au moins une cyberattaque cette année. Alors pourquoi existe-t-il une telle différence entre les résultats à l’échelle mondiale et ce que déclarent la majorité des entreprises à titre individuel ?

Si les enquêtes ciblées donnent un bon aperçu de l’état d’une région ou d’un secteur en particulier, les statistiques à l’échelle mondiale sont plus difficiles à confirmer. Naturellement, l’échelle à laquelle ces études sont réalisées joue indéniablement un rôle, mais lorsqu’il s’agit de ransomwares, les entreprises peuvent également se montrer réticentes à l’idée d’admettre que leurs données ont été compromises. Certaines polices d’assurance leur interdisent explicitement de le faire. Par ailleurs, il est difficile de retracer les paiements en cryptomonnaies, étant donné que de nombreuses adresses sur la blockchain ne sont pas identifiées et peuvent ne pas être prises en compte dans des données à l’échelle mondiale. Dans certaines régions, comme la zone EMEA, les entreprises ont de plus en plus tendance à favoriser la transparence lorsqu’il s’agit de ransomwares, à mesure que les dirigeants prennent conscience du fait que la collaboration et le partage d’informations peuvent les aider à faire progresser la sécurité en tant que secteur et à bâtir ensemble une meilleure résilience.

Analyse des facteurs de changement

Alors qu’est-ce qui a réellement changé au milieu de toutes ces zones grises ? Les menaces sont perpétuellement en évolution et deviennent de plus en plus sophistiquées. Il s’agit de l’une des données fondamentales en matière de cybersécurité. Pour y répondre, les spécialistes redoublent d’efforts en matière de protection des données et de résilience et le jeu du chat et de la souris se poursuit sans fin. Avec les ransomwares en particulier, les approches en matière de paiement des rançons continuent d’osciller d’un extrême à l’autre. Il y a deux ans, l’un des montants les plus élevés jamais versés à la suite d’une attaque par ransomware a été payé simplement « pour prévenir tout risque potentiel ». Depuis, les formations qui montrent qu’une telle stratégie peut être à la fois peu fiable, contraire à l’éthique et inopportune se sont multipliées sur l’ensemble du secteur, mais deux nouveaux facteurs se sont ajoutés à l’équation, compliquant davantage encore l’objectif de mettre un terme à tout paiement de rançons.

Le premier est la cyberassurance. Ce domaine a connu une transformation radicale depuis l’avènement des ransomwares et demeure à ce jour encore très volatile. La cyberassurance n’est évidemment pas une mauvaise chose : elle offre aux entreprises un certain degré de résilience financière face à des menaces quasi certaines. Toutefois, elle donne également aux organisations les moyens de répondre favorablement aux demandes de rançons. L’augmentation continue du montant des primes pourrait cependant contribuer à mettre un terme à ces pratiques, tout comme le nombre croissant de polices qui excluent spécifiquement les ransomwares de leur couverture.

Mais le principal facteur – et la raison pour laquelle les entreprises pensent qu’elles n’ont pas d’autre choix que de payer la rançon – réside peut-être dans le fait que les attaques ciblent de plus en plus fréquemment les référentiels de sauvegarde. Lorsque les entreprises ne disposent pas de copies hors site de leurs données ou n’ont tout simplement pas la capacité de se remettre assez rapidement d’une attaque avec les moyens dont elles disposent, le conseil d’administration peut être tenté de céder aux exigences de cyberattaquants. Même si les dirigeants souhaitent évidemment adopter le meilleur comportement possible au regard de la sécurité, leur principale priorité demeure la préservation de la continuité d’activité de l’entreprise.

Qu’est-ce qu’il reste à faire ?

Alors quelles sont les transformations à opérer afin d’influencer l’issue du combat contre les ransomwares ? Que faut-il changer pour en finir définitivement avec ces attaques et les demandes de rançons qui les accompagnent ? Cela se résume à la question de la formation et de la préparation des entreprises – en particulier des collaborateurs qui ne font pas partie des équipes en charge de la sécurité ou de la sauvegarde. A titre d’exemple, le chiffrement des données n’intervient pas immédiatement après que le collaborateur ait cliqué sur un lien de phishing malveillant – cela peut prendre des mois, voire un an, aux cybercriminels pour pénétrer au sein du système, verrouiller les données et envoyer une demande de rançon. De la même manière, le déchiffrement ne débute pas forcément dès le versement de la rançon. En faisant abstraction du fait d’une bonne partie des entreprises qui versent une rançon ne parviennent pas à récupérer leurs données, même dans le meilleur des cas, le processus de déchiffrement et de récupération des données peut se révéler extrêmement lent. Cela fait même partie du business model, sachant que la plupart des cybercriminels proposent aux victimes d’acheter des clés de déchiffrement en plus de celle remise en échange de la rançon afin d’accélérer le processus !

La première étape pour se préparer à faire face à une attaque consiste à bien comprendre la nature de la menace. Un plan de reprise d’activité après une attaque par ransomware doit comporter trois étapes :

1. Préparation – Planifier la reprise d’activité, s’assurer de disposer de sauvegardes fiables (en s’appuyant sur la règle du 3-2-1-1-0), avoir défini un emplacement de restauration prêt à l’emploi pour la reprise d’activité après le sinistre, renforcer la formation et organiser des exercices pour s’assurer que les équipes métier sont bien préparées, de même que l’ensemble de l’organisation.
2. Réponse – Après avoir prédéfini et testé un processus de réponse aux incidents, repérer et contenir l’incursion, tout en scannant les sauvegardes afin de s’assurer que celles-ci ne sont pas contaminées.
3. Reprise d’activité – Restaurer les systèmes sans réintroduire au cours du processus le logiciel malveillant ou des données infectées au sein de l’environnement de production et permettre à l’entreprise de reprendre son activité.

Pour conclure, même si une part d’incertitude plane concernant le statut de la lutte contre les ransomwares à l’échelle planétaire, de telles attaques demeurent inévitables pour la plupart des entreprises. Cela ne signifie pas que tout espoir de contrer les cybercriminels qui emploient ces méthodes est vain. Il est important d’avoir bien conscience du fait que, si les entreprises sont bien préparées et si elles ont mis en place un plan de reprise d’activité adapté, elles peuvent atteindre un taux de résilience de 100 % face aux ransomwares. Cela ne veut pas dire que de telles attaques n’auront aucun impact sur l’activité de l’entreprise, mais qu’il sera possible de s’en remettre plus rapidement et de refuser de céder aux demandes de rançons.