Attention acheteurs : Passez en revue ces cinq grands mythes entourant les rançongiciels
Alors que les attaques par rançongiciel continuent de progresser et d’avoir des répercussions sur la cybersécurité et la cyberassurance, il est important que les acheteurs corrigent certaines faussetés courantes sur la manière dont travaillent les auteurs de menaces.
Lorsque vous pensez à des attaques par rançongiciel, vous imaginez peut-être une scène digne d’Hollywood dans laquelle des centaines d’ordinateurs tombent soudainement en panne au siège social mondial d’une entreprise figurant au palmarès du Fortune 500. Pourtant, ces attaques se déroulent rarement ainsi. En fait, la plupart des auteurs de menaces s’en prennent aux petites entreprises de services professionnels – et le font par le biais du téléchargement d’un fichier ou d’un courriel contenant un lien malveillant[1].
Alors que les atteintes à la cybersécurité continuent de faire les manchettes, il devient de plus en plus important que de telles perceptions soient passées au crible, particulièrement quand les acheteurs se préparent à discuter avec les assureurs. Le nombre d’attaques par rançongiciel a augmenté de 715 % de 2019 à 2020[2], et les paiements ont grimpé de 60 % depuis 2019[3]. Par conséquent, il est important d’apprendre à distinguer la réalité de la fiction pour que les entreprises puissent réfléchir à la manière dont elles peuvent se protéger contre la prochaine atteinte à la cybersécurité.
Voici cinq des principaux mythes auxquels les acheteurs doivent prendre garde en ce qui a trait aux rançongiciels :
1. Mon entreprise n’est pas une cible pour les rançongiciels
Les établissements de soins de santé, les écoles, les municipalités et les grandes organisations sont souvent les cibles de choix des rançongiciels, mais toutes les entreprises, peu importe leur taille, sont dans la ligne de mire des auteurs de menaces[4], et ces derniers prendront souvent le chemin le plus facile pour atteindre leurs objectifs – soit attaquer les entreprises vulnérables qui présentent des lacunes sur le plan de la cyberdéfense et de la préparation[5]. Et ces proies faciles sont souvent les petites et moyennes entreprises. En effet, selon une estimation (en anglais), 70 % des incidents impliquant un rançongiciel ont touché des entreprises de moins de 1 000 employés, et 60 % de ces entreprises avaient des revenus inférieurs à 50 millions de dollars.
En outre, ce sont les attaques plus fréquentes et plus graves ciblant les petites et moyennes entreprises qui entraînent les augmentations observées dans les primes sur le marché de la cyberassurance ces jours-ci. C’est pourquoi il est essentiel que les petites entreprises s’assurent d’avoir en place des mesures de sécurité comme l’authentification à facteurs multiples sur des systèmes protégés par mot de passe, un contrôle de l’accès aux renseignements sensibles, et des plans d’intervention en cas d’incident qui énoncent les étapes que l’entreprise doit suivre pour se rétablir après une attaque.
2. Il suffit de sauvegarder et de chiffrer les données
Puisque les attaques sont devenues plus sophistiquées, il ne suffit plus de sauvegarder et de chiffrer les données; en fait, les auteurs de menaces exploitent maintenant les données de sauvegarde pour exercer davantage de pression sur leurs victimes. Les auteurs de menaces :
- chiffrent les données de sauvegarde, pour empêcher la victime de restaurer l’information au lieu de payer la rançon;
- saisissent des données sensibles, les retiennent en otage, et menacent de les rendre publiques si la rançon n’est pas payée.
En cas d’attaque, il est essentiel qu’une équipe de cyberprofessionnels constituée à l’avance soit déployée pour déterminer minutieusement les données auxquelles les auteurs de menaces ont accédé et examiner les systèmes de sauvegarde des données afin d’identifier et d’extraire le logiciel malveillant suspect.
3. Les pertes occasionnées par les rançongiciels se limitent aux paiements de rançon
Selon une étude réalisée par la firme de sécurité Sophos, le coût moyen global pour remédier à une attaque par rançongiciel est de 761 106 $ – et le paiement de la rançon multiplie ce coût par deux pour un total de 1,45 million de dollars en moyenne[6]. Mais pour la plupart des organisations, le plus grand impact est l’arrêt des activités et la perte de productivité associés à une attaque par rançongiciel. Au cours des cinq dernières années, les pertes associées à l’interruption des activités ont représenté 60 % des réclamations de cyberassurance[7]. En outre, 70 % des attaques par rançongiciel incluent maintenant la menace de divulguer des données sensibles, ce qui pourrait entraîner des dépenses additionnelles pour l’entreprise en raison de l’atteinte à la sécurité des données, y compris les coûts potentiels associés au respect des lois sur le signalement des atteintes, les amendes et les pénalités découlant de l’atteinte à la protection des renseignements personnels, et des répercussions beaucoup plus graves sur les plans financier et de la réputation.
4. Le logiciel de sécurité assure une protection suffisante
À lui seul, un logiciel de sécurité ne protégera pas une organisation. Souvent, les entreprises n’utilisent pas toutes les capacités du logiciel, ce qui entraîne des lacunes qui permettent aux auteurs de menaces de contourner le logiciel. Pour se protéger contre cela, les entreprises doivent créer une culture de cybersécurité fournissant les garde-fous nécessaires pour que les gens y pensent à deux fois avant d’ouvrir un courriel, ou hésitent avant de cliquer sur une pièce jointe provenant d’un expéditeur inconnu. En fin de compte, il incombe à chaque employé de protéger l’organisation.
5. Les auteurs de menaces attaquent immédiatement
Les pirates deviennent de plus en plus patients, et ont souvent infiltré les systèmes d’une entreprise depuis plusieurs mois avant de déclencher une attaque. Bon nombre d’entre eux utilisent des stratégies selon lesquelles ils planifient une attaque plus importante en commençant par des perturbations mineures et en apprenant d’elles. Et plus les renseignements recherchés sont précis – par exemple, s’ils s’intéressent à des entités gouvernementales – plus ils sont disposés à attendre le moment idéal pour frapper ou à essayer un éventail de techniques jusqu’à ce qu’ils trouvent le point faible dans une organisation.
Sachant cela, les entreprises peuvent demeurer vigilantes en procédant à des évaluations et à des essais périodiques de leurs programmes et procédures de cybersécurité. À tout le moins, les organisations doivent mettre en place des stratégies d’atténuation des risques, y compris des lignes directrices pour l’accès aux systèmes et l’utilisation de l’authentification à facteurs multiples.
Ce document a été préparé à des fins d’information seulement et ne doit pas être considéré pour toute autre fin. Vous devez consulter vos propres conseillers juridiques et responsables des technologies et de la sécurité de l’information avant de mettre en œuvre toute recommandation ou orientation fournie dans les présentes.
[1] Coveware. Why Small and Medium-sized Professional Service Firms are a Big Target for Ransomware Attacks (en anglais seulement)
[2] Rapport de mi-année 2020 de Bitdefender sur les menaces (en anglais seulement), page 1
[3],[4] Rapport de Coveware sur les rançongiciels (en anglais seulement), le 3 août 2020
[5] The Ransomware Epidemic (en anglais seulement)
[6] The State of Ransomware (en anglais seulement)
[7] Business interruption drives 60% of cyber losses: Allianz (en anglais seulement)