« Les responsables de la sécurité et de la gestion des risques ne doivent pas se contenter de surveiller les endpoints pour protéger leur entreprise des attaques de ransomwares. »
— Comment se préparer aux attaques de ransomwares, Gartner
Les ransomwares représentent un risque considérable pour les entreprises. Ces attaques, souvent déclenchées par un simple clic sur un email ou un lien en apparence inoffensif, peuvent entraîner l'arrêt complet des activités d'une entreprise jusqu'au paiement de la rançon. Nous sommes aujourd'hui à un tournant, car les ransomwares sont devenus un problème de sécurité mondial. Les entreprises et les États cherchent de solutions pour se protéger de manière optimale contre cette coûteuse menace.
Dans le rapport de Gartner, How to Prepare for Ransomware Attacks (Comment se préparer aux attaques de ransomwares), les analystes Mark Harris, Brad LaPorte et Paul Furtado proposent des conseils pour aider les entreprises à se préparer à de telles attaques.
Les attaques de ransomwares nécessitent désormais une intervention humaine
Dans ce rapport, Gartner souligne que « les attaques récentes, au lieu de se propager automatiquement, comme dans le cas des ransomwares WannaCry et NotPetya, sont devenues plus ciblées et s'en prennent à une entreprise spécifique plutôt qu'à des endpoints individuels ». Dans de nombreuses attaques de ransomwares récentes, le cybercriminel a obtenu un accès initial grâce à un malware, à des identifiants de connexion compromis ou à un service Web vulnérable. D'après l'équipe de recherche sur les cybermenaces de Proofpoint, les opérateurs de ransomwares achètent souvent des accès auprès de courtiers d'accès initial ou d'affiliés, lesquels infiltrent les entreprises cibles, puis vendent les accès en échange d'une part des profits illicites.
Pour se protéger des ransomwares, une approche multicouche intégrée est nécessaire
Comme les attaques de ransomwares nécessitent désormais une intervention humaine, le rapport Gartner recommande aux entreprises de mettre en place une stratégie multicouche pour s'en protéger. Selon le rapport, « la prévention de ces attaques ne doit pas se limiter à la protection des endpoints et doit s'appuyer sur de nombreux outils et contrôles de sécurité différents ».
Les attaques de ransomwares commencent par une compromission initiale (attaque ciblée ou de phishing, dans la plupart des cas) ayant pour but de distribuer un malware ou de dérober des identifiants de connexion. Selon une étude de Unit 42, l'équipe de threat intelligence de Palo Alto Networks, l'email demeure le principal vecteur des attaques de ransomwares, 75 % de celles-ci passant par ce canal. Il est donc essentiel d'investir dans une solution de sécurité avancée de la messagerie permettant d'identifier et de bloquer toute tentative d'accès initial. Gartner précise par ailleurs que « des technologies comme l'isolation du Web permettent également de limiter l'impact » des attaques ciblées et de phishing.
La plupart des attaques de ransomwares commencent par l'ouverture d'une pièce jointe ou d'un lien malveillant transmis par email. D'après notre rapport State of the Phish 2021, le taux d'échec moyen (utilisateurs qui sont tombés dans le piège) est de 11 %. C'est pourquoi le rapport de Gartner souligne qu'il est « également essentiel de sensibiliser les utilisateurs à la sécurité informatique ». L'implémentation d'un programme ciblé et efficace de formation et de sensibilisation à la sécurité informatique vous permet de sensibiliser vos utilisateurs aux ransomwares et de leur permettre de protéger votre entreprise en signalant les attaques de phishing. La formation des utilisateurs les plus ciblés et interagissant avec des menaces réelles est la meilleure défense contre les attaques de ransomwares. Les collaborateurs constituent en effet la dernière ligne de défense de l'entreprise.
Les équipes de sécurité sont souvent en sous-effectif et submergées d'alertes, qu'il leur faut trier et analyser rapidement. L'utilisation d'outils d'automatisation et de fonctionnalités d'orchestration, d'automatisation et de réponse aux incidents de sécurité visant la messagerie (mSOAR) permet d'accélérer le délai de réponse et de réduire la charge de travail des équipes de sécurité. Les clients Proofpoint constatent une diminution allant jusqu'à 90 % des ressources d'investigation et de réponse nécessaires pour traiter les messages malveillants. Ce client a ainsi économisé 345 000 dollars en équivalents temps plein sur trois ans.
Dans son rapport, Gartner passe en revue les principales étapes nécessaires pour lutter contre les attaques de ransomwares et détaille les mesures à prendre avant, pendant et après une attaque :
- Avant l'incident : élaboration d'une stratégie de préparation et mise en place de mesures de prévention multicouche ne se limitant pas à la protection des endpoints
- Pendant l'incident : détection des attaques en cours et utilisation de techniques d'atténuation afin d'en limiter l'impact
- Après l'incident : restauration des systèmes et analyse des causes premières en vue d'intégrer les conclusions au plan de préparation
Faut-il payer ?
En cas d'attaque de ransomware, les entreprises se trouvent face à dilemme : faut-il ou non payer la rançon ? Le rapport Gartner tente de répondre à cette question fondamentale. Une chose est cependant certaine : les entreprises doivent trouver la réponse à cette question avant d'être victime d'une attaque de ransomware.
Pour en savoir plus sur la préparation aux attaques de ransomwares, téléchargez le rapport de Gartner, How to Prepare for Ransomware Attacks(Comment se préparer aux attaques de ransomwares).
Gartner, How to Prepare for Ransomware Attacks, Mark Harris, Brad LaPorte, Paul Furtado, 16 novembre 2020
Gartner est une marque déposée de Gartner, Inc. et/ou de ses sociétés affiliées aux États-Unis et dans d'autres pays ; elle est citée dans ce document avec l'autorisation du détenteur des droits. Tous droits réservés.