Lutter contre les nouvelles attaques de ransomware et autres logiciels malveillants

Les cyberattaques constituent un défi permanent pour les entreprises de toutes tailles à travers le monde, en particulier quand elles prennent la forme de ransomwares.

Il y a quelques semaines, à la fin du mois d’octobre, un haut fonctionnaire de la Maison Blanche a déclaré que 40 pays, dont la France, s’étaient engagés à ne plus payer de rançon aux cybercriminels. Les campagnes de ransomwares font aujourd’hui partie des principales menaces. Dans un récent rapport, l'ANSSI a fait un point sur l'évaluation des menaces en cybersécurité sur les grands événements sportifs, y compris les Jeux Olympiques 2024 qui se dérouleront à Paris, et confirmé les ransomwares dans le top 3 des potentielles attaques majeures.  

En effet, les vecteurs d’attaque les plus courants incluent les ransomwares, le phishing ou d’autres logiciels malveillants, ainsi que la compromission de comptes d’utilisateurs. Selon notre récente étude, 68 % des professionnels interrogés ont subi au moins un incident de sécurité au cours des 12 derniers mois au sein de leur organisation. Cependant, les entreprises de plus de 1 000 employés ne font pas face aux mêmes dangers que les structures plus petites. En effet, les grandes organisations sont victimes d’un plus grand nombre d’attaques de malwares et subissent un impact financier plus important en cas d’incident. Leurs responsables informatiques et leurs équipes de sécurité doivent garder cela à l’esprit pour évaluer les risques, établir des projections sur l’impact potentiel des attaques et définir les priorités de leurs stratégies de neutralisation. 

Incidents de sécurité dans les grandes entreprises  

Si l’on s’en tient aux résultats concernant les grandes organisations, 65 % d’entre elles ont subi au moins une cyberattaque au cours des 12 derniers mois. Ces attaques ont davantage visé les environnements sur site que le cloud. Par exemple, 84 % des entreprises ont été victimes de phishing sur site, tandis que 64 % ont détecté des tentatives similaires dans le cloud. De plus, celles-ci ont constaté un plus grand nombre d’incidents de sécurité que la moyenne. La différence la plus marquée concerne les ransomwares et autres logiciels malveillants : 48 % des entreprises de plus de 1 000 employés ont fait les frais de ce type d’incident localement, contre 37 % en moyenne pour l’ensemble des entreprises.  

Cette statistique n’a rien de surprenant. En effet, plus une structure est importante, plus le coût d’une interruption d’activité sera élevé. Il est donc normal que les hackers désirant maximiser leurs profits s’en prennent en priorité à celles qui ont le plus de chances d’accepter de payer une rançon pour reprendre leur activité. 

Neutraliser le risque posé par les ransomwares et autres logiciels malveillants  

Pour faire face à la menace d’une attaque par ransomware, il faut d’abord sensibiliser les équipes internes et leur proposer des formations à jour sur la cybersécurité. Il est en effet essentiel que l’ensemble du personnel comprenne et respecte certaines précautions de base afin d’éviter les infections par des logiciels malveillants et de réduire les chances de réussite des campagnes de phishing.  

La deuxième étape consiste à réduire la surface d’attaque d’une entreprise en prenant le contrôle de ses droits d’accès. L’une des principales raisons pour lesquelles les environnements sur site sont plus vulnérables que les systèmes SaaS est que ceux-ci souffrent d’une prolifération des privilèges. Par exemple, lorsque trop d’utilisateurs disposent de droits d’administrateurs sur leurs ordinateurs ou quand il existe un nombre excessif de comptes détenant des privilèges élevés. Ceci se traduit par une absence de contrôle qui permet aux ransomwares de se propager rapidement à travers l’ensemble d’un réseau informatique à partir d’un point d’accès initial compromis.  

C’est pour cette raison que les entreprises doivent restreindre strictement les droits d’accès de chaque utilisateur. Pour les professionnels, cela signifie qu’il est important d’appliquer le principe du moindre privilège dans le cadre d’une gestion globale des identités et des accès (IAM). Pour y parvenir, il est nécessaire de rechercher des solutions qui fournissent des flux opérationnels de validation automatisés, permettant aux utilisateurs de demander les droits d’accès dont ils ont besoin et aux responsables de l’entreprise d’approuver ou de refuser ces demandes. Il faut également passer régulièrement en revue les droits d’accès aux données et aux applications dont ils sont responsables. 

La meilleure façon de reprendre la main sur les accès à privilèges est d’en imposer une gestion efficace (PAM), idéalement par le biais d’une approche Zéro Privilège Permanent (ZSP), qui consiste à éliminer le plus grand nombre possible de comptes disposant de privilèges permanents et présentant un risque. Au lieu de cela, ces privilèges sont uniquement accordés au gré des besoins, et seulement pour la durée requise.  

Enfin, les entreprises doivent se préparer aux attaques qui pourraient déjouer leurs défenses en élaborant un plan complet de réponse aux incidents, qu’il sera important de passer en revue et de tester régulièrement. Un tel plan doit inclure des contrôles automatisés capables de désactiver instantanément l’accès d’un utilisateur compromis à des données sensibles et de mettre fin à tout comportement suspect. Cette approche permet de neutraliser une attaque en cours avant qu’elle n’occasionne une compromission de données coûteuse. 

Une cyberassurance pour les entreprises  

En effet, pour 28 % des grandes entreprises, les dommages financiers causés par les cyberattaques atteignent ou dépassent les 45 000 euros. Ce chiffre n’est que de 16 % pour la moyenne de toutes les entreprises. Pour limiter ce risque financier, 58 % des organisations ont déjà souscrit une cyberassurance ou prévoient de le faire au cours des 12 prochains mois.  

Mais une telle démarche ne va pas de soi, puisque l’étude révèle que 50 % des entreprises ayant souscrit une cyberassurance n’ont pu le faire qu’à condition d’implémenter des mesures de sécurité supplémentaires. En tout état de cause, l’examen de la posture de sécurité d’une entreprise par une compagnie d’assurance fournira à son équipe informatique des informations précieuses qui l’aideront à combler certaines lacunes.  

Dès lors, en cas d’incident, une indemnité d’assurance peut atténuer l’impact financier subi, voire sauver une entreprise de la faillite, mais aucune police ne peut restaurer des données perdues ou des opérations interrompues. C’est la raison pour laquelle la sécurité des données doit être la principale priorité des services informatiques.