Ne rien verser pour anéantir le modèle commercial
Tout un chacun est la cible potentielle d’une attaque par rançongiciel. C’est pour cette raison qu’il est important que les entreprises collaborent, tant au niveau sectoriel qu’avec les autorités publiques, et que les victimes fassent part de leur expérience. Dans ces conditions, il sera possible à tous de mieux s’armer face aux attaques futures.
” On constate clairement une augmentation des rançongiciels “, explique Vito Rallo, Director Threat & Response Management chez PwC. ” Et aussi un déplacement de la tendance. Autrefois, il s’agissait d’attaques entièrement automatisées, mais aujourd’hui, l’attaque est davantage manuelle, sur-mesure et avec un niveau de complexité clairement supérieur. ” De même, les attaquent visent très clairement les entreprises. L’appât du gain reste dans de nombreux cas la motivation principale des attaques. ” D’où la tendance à viser également les PME qui sont aujourd’hui moins bien sécurisées et peuvent plus facilement se laisser abuser par de l’ingénierie sociale. “
Les cybercriminels exploitent non seulement l’ingénierie sociale, mais également les points faibles dans la sécurité des systèmes IT. Et une fois que le rançongiciel est activé, l’entreprise se retrouve entre le marteau et l’enclume. Vito Rallo : ” Si vous versez la rançon, vous récupérerez vos données. Les pirates vous aideront dans le processus de récupération. C’est la base de leur modèle commercial. Si une entreprise paie et ne récupère rien, le modèle devient bancal. ” Désormais, certains groupes de pirates atteignent un tel niveau de professionnalisme qu’ils proposent un helpdesk de support aux victimes.
Payer une ou deux fois ?
Mais le versement rapide d’une rançon est-il la seule option ? ” L’alternative est de faire intervenir une response team qui cherchera à récupérer les données sans verser de rançon “, poursuit Vito Rallo. ” Une autre possibilité consiste à négocier le montant de la rançon et les garanties. Vous pouvez par exemple demander aux pirates de prouver qu’ils peuvent effectuer correctement le décryptage. Mais même dans ce cas, vous ne saurez jamais s’ils quitteront ensuite effectivement l’entreprise. A moins qu’ils ne reviennent par après ou que d’autres pirates ne pénètrent votre réseau en utilisant les privilèges que les premiers pirates ont entre-temps revendus au marché noir. “
Ce dernier aspect se révèle particulièrement important. ” Si vous décidez de ne pas répondre aux exigences des cybercriminels et de ne pas verser la rançon, une reconstruction de l’environnement IT se révélera nécessaire “, indique encore Vito Rallo. ” En revanche, si l’entreprise choisit de payer, elle reçoit certes ses données en retour, mais se retrouve toujours avec un environnement corrompu. Pour s’assurer qu’aucune nouvelle attaque ne soit possible, un rebuild est tout aussi indispensable. En d’autres termes, l’entreprise qui verse une rançon ne doit pas oublier de tenir compte des coûts de reconstruction, et paie donc deux fois. “
L’entreprise qui verse la rançon lors d’une attaque par rançongiciel ne doit pas oublier de tenir compte des coûts de reconstruction, et paie donc deux fois.
Partage de l’information
Dans le même temps, refuser de verser la rançon est un moyen important d’anéantir le modèle commercial lié au rançongiciel. ” Mais la victime peut également aller plus loin “, estime Vito Rallo. ” En partageant l’information et en collaborant en toute transparence, les entreprises peuvent s’entraider à détecter plus rapidement et à contrer toute attaque potentielle par rançongiciel. ” C’est ainsi que les connexions étroites – également sur le plan de l’IT – existantes entre entreprises revêtent à cet égard une importance cruciale. ” De très nombreuses attaques par rançongiciel sont le résultat de connexions avec d’autres entreprises, qu’il s’agisse de clients ou de fournisseurs. ”
Les incidents consécutifs à un rançongiciel – et à un maliciel en général – démontrent que la cybersécurité ne revêt désormais plus une importance tactique, mais bien stratégique. ” La sécurité commence par une bonne sécurisation de la messagerie “, note encore Vito Rallo. ” L’homme reste le maillon faible et nombre de maliciels tentent encore et toujours de pénétrer le réseau via le courriel. Veillez par ailleurs à assurer une bonne protection du point final. ” Il est important de bien préparer les équipes IT ainsi que de mettre au point les divers scénarios possibles et de les tester. C’est ainsi qu’en cas d’incident, elles doivent par exemple immédiatement savoir quels serveurs seront prioritaires lors de la reprise. ” Dans le même temps, le métier doit également prévoir une gestion de crise et un plan de continuité d’activité. “
Se mettre en chasse
En outre, au niveau du rançongiciel, il importe souvent de réagir sans retard. La détection d’intrusion et la prévention d’intrusion doivent donc rester à l’ordre du jour. En effet, un maliciel génère du trafic sur le réseau. En surveillant correctement son infrastructure, le gestionnaire du réseau peut être informé de toute situation délicate. ” Un bon threat hunter parvient à identifier un problème avant qu’il ne se pose “, conclut Vito Rallo. ” En intervenant directement, il a plus de chances d’arrêter l’attaque avant qu’il ne soit trop tard. ”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici