Verrons-nous un jour l'aube du "zéro ransomware" ?

Nous vivons l'âge d'or du ransomware. Ceci est une bonne nouvelle pour les cybercriminels, une mauvaise pour tous les autres. Car le nombre d'attaques par ransomware a augmenté de pas moins de 40 % en 2020, le coût total des ransomwares étant estimé à 20 milliards de dollars en 2021. Cette année a également vu la plus grande demande de rançon jamais faite, les attaquants qui ont compromis Kaseya réclamant la somme de 70 millions de dollars.

Durant la pandémie, les gouvernements et les institutions ont souvent discuté du concept de “zéro Covid” visant à faire en sorte que le nombre de contaminations tombe à zéro, ou du moins aille dans le sens d’une baisse notoire. L'histoire dira si cette stratégie a été couronnée de succès.

En tout état de cause, le concept nous a fait réfléchir. Verrons-nous un jour un monde sans ransomware, ou s'agit-il d'un idéal utopique ? À quoi pourrait alors ressembler une stratégie "zéro ransomware" ?

Première étape : Vérifiez le rayon d’exposition de vos données

De nombreuses recherches mettent en évidence le problème de la sécurité des données. Encore et toujours, les entreprises donnent tout simplement à leurs employés un trop grand accès aux données sensibles. Cela signifie que le rayon d'action d'une attaque par ransomware peut être énorme.

Les enquêtes montrent que l'utilisateur moyen peut accéder à 17 millions de fichiers, soit 20 % des données de son employeur. Lorsqu'un compte est compromis avec un tel niveau d'accès, cela permet aux pirates de faire beaucoup plus de dégâts. Dans l’idéal, un utilisateur ne doit accéder qu'aux informations dont il a besoin pour faire son travail.

Il est très facile pour les entreprises de perdre le contrôle de leur patrimoine de données, qui devient de plus en plus vaste et tentaculaire jour après jour. S'ils ne sont pas surveillés, les fichiers peuvent alors être surexposés, via des autorisations excessives, y donnant alors accès à un trop grand nombre de personnes. Cela signifie qu'une attaque par ransomware aura un plus grand rayon d'action et causera plus de dégâts, car les criminels seront en mesure de chiffrer de grandes quantités de données.

En gardant cela à l'esprit, une première étape clé vers l'objectif "zéro ransomware" serait d'adopter un modèle Zero Trust. Cela dit, la correction de la surexposition due à des autorisations excessives et inutiles est une tâche qui prend trop de temps pour le personnel humain, mais l'automatisation peut être utilisée pour remédier à cela. Si l’accès aux données est protégé, le rayon d'action des ransomwares sera alors considérablement réduit.

Les premières mesures à prendre devraient ainsi être l'analyse des autorisations du système de fichiers ainsi que des interactions entre les utilisateurs et les groupes.

Mettre en place un système de détection rapide

Si nous visons l'objectif "zéro ransomware", nous devons disposer d'un système de détection qui repère les signes précurseurs des attaques pour les empêcher d'aller plus loin, voire d’un système qui prédit les attaques avant même qu'elles ne se produisent.

Une méthode fiable pour identifier une attaque en cours consiste à surveiller l'activité du système de fichiers. L'idéal est de passer par une plate-forme qui offre un audit via ses API et d'utiliser des filtres de système de fichiers pour capturer les métadonnées dans des plates-formes populaires qui n'offrent pas d'audit approfondi, comme Windows ou SharePoint.

Un comportement anormal peut indiquer qu'une attaque est en cours, tandis qu'un chiffrement important est un signe évident. Une fois que le ransomware a dépassé un point d'accès et commence à crypter des fichiers sur les systèmes informatiques centraux, les comptes compromis doivent être fermés avant qu'ils ne causent de graves dommages. Là encore, ce processus doit être automatisé.

Tout système de détection et de réponse rapide doit être suffisamment intelligent pour faire face aux “jours zero”, en utilisant des analyses comportementales avancées pour repérer rapidement les comportements inhabituels et prendre les mesures nécessaires.

Préparer la reprise

Si les organisations se sont préparées correctement et ont pris des mesures en amont tel que la réalisation d’un audit de leurs données par exemple, il sera alors plus facile de se remettre plus rapidement d'une attaque. La clé ici est la visibilité. Avoir accès à toutes les modifications de fichiers effectuées par les utilisateurs au fil du temps, par exemple, permet de remédier plus rapidement à la situation grâce à l'amélioration des fichiers affectés.

Le “zero ransomware” est-il alors possible ?

Pour l'instant, la réponse à cette question est probablement non. Mais c'est un projet qui en vaut la peine, c'est évident. À l'heure actuelle, on peut avoir l'impression que le problème risque de s'aggraver avant de s'améliorer. Les prédictions vont en effet dans ce sens : selon une estimation, les ransomwares coûteront aux entreprises 265 milliards de dollars dans le monde d'ici à 2031.

Il est possible qu'une avancée technique de pointe puisse combattre définitivement les ransomwares. Pourtant, les criminels seront toujours là et tenteront de trouver un autre moyen de cibler leurs victimes. Nous avons déjà vu l'essor des rançongiciels de grande envergure entraîner un changement de comportement des criminels. Les groupes de cyberattaquants concentrant leur attention sur des cibles importantes et rentables plutôt que sur des organisations plus petites et moins riches qui ne sont pas en mesure de payer de grosses rançons.

Face à l’interdiction de payer les rançons, les attaquants ayant l'esprit commercial passeront à un autre type de cybercrime plus rentable. Il y a bien peu de chances que les cybercriminels renoncent à leurs activités.

Il est donc clair que nous ne sommes pas près de voir la fin des ransomwares. Tout comme la pandémie de Covid-19, nous devons apprendre à vivre avec. Ce qui nous laisse tout le temps de perfectionner nos compétences et ainsi de les combattre.