Pourquoi les entreprises ne devraient pas se sentir démunies dans la lutte contre les rançongiciels

Peu d'entreprises échappent au phénomène des ransomwares et nombre d'entres elles semblent se résigner à devoir être victimes. Il existe pourtant des moyens efficace de se protéger.

Selon des rapports récents, les rançongiciels rapportent aujourd'hui des milliards de dollars aux cybercriminels. Les pirates s'attaquent aux points faibles des organisations : le comportement humain et des techniques de cyberprotection inefficaces fondées sur une analyse statique. Par exemple, ils peuvent persuader un employé d'ouvrir un e-mail de phishing, ou simplement attendre qu'un utilisateur clique sur un site Web compromis pour exécuter des logiciels malveillants qui altèrent les données et corrompent ou suppriment les sauvegardes.

Ces chiffres indiquent que les cybercriminels tirent profit d'une forme d'attaque très lucrative. Les ransomwares (ou rançongiciels en français) sont ainsi devenus un des moyens les plus prisés de cibler les organisations. Si l'on en croit nos propres conclusions, près de la moitié des entreprises ont rapporté avoir été victime d'une attaque par rançongiciel au cours de l'année passée, 81 % d'entre elles indiquant avoir subi au moins trois attaques. Les rançongiciels sont, semble-t-il, en plein essor. 

Compte tenu de la fréquence des attaques par rançongiciel et de l'impact qu'elles peuvent avoir, il n'est pas surprenant que les organisations expriment désormais un sentiment d'impuissance et soient prêtes à reconnaître que les cybercriminels ont une longueur d'avance. De fait, un tiers d'entre elles déclarent aujourd'hui se sentir démunies face à ces attaques. 

Sommes-nous face à une nouvelle réalité ? S'agissant de se protéger contre les différentes variantes de rançongiciels, les utilisateurs sont-ils condamnés à se sentir livrés à eux-mêmes, ou peuvent-ils espérer pouvoir s'armer contre ce type d'attaque et éviter son cortège de conséquences opérationnelles et financières ?

Pour les victimes de rançongiciel qui ont vu leurs données et, de fait, leur société prises en otage, une telle attaque peut avoir de graves répercussions, avec l'activité paralysée ou l'obligation d'appliquer un plan d'urgence. Elles peuvent perdre des données irremplaçables ou subir les conséquences financières des temps d'arrêt, auxquelles s'ajoutent les heures de travail et les ressources humaines consacrées au décryptage des données ou à leur restauration à partir de sauvegardes. 

En novembre, des pirates ont infecté, pour en prendre le contrôle, plus de 2 000 ordinateurs servant à la gestion du système de transport public de San Francisco. Conséquence : les portes des transports gérés par la Municipal Transportation Agency (MTA) se sont ouvertes, permettant aux usagers de voyager gratuitement. Les attaques par rançongiciel peuvent même compromettre la sécurité des personnes, comme on a pu le constater lorsque le réseau du Hollywood Presbyterian Medical Centre aux Etats-Unis est resté déconnecté pendant une semaine, entraînant des perturbations majeures de ses systèmes de santé. Au Royaume-Uni, une attaque sur le réseau informatique du Northern Lincolnshire and Goole NHS Trust (un hôpital) en octobre a entraîné le cryptage de plusieurs de ses serveurs, provoquant l'annulation d'opérations et de rendez-vous.

 Outre la réputation de l'organisation qui s'en trouve ternie, une attaque semble également avoir des répercussions directes sur les équipes de sécurité en menaçant des emplois. Notre enquête a révélé que près d'un quart des organisations ayant subi une attaque en ont imputé la responsabilité directe au responsable de la sécurité et qu'un haut cadre de l’équipe de sécurité avait perdu son emploi suite à un événement de ce type. 

Contrairement aux autres formes de cyberattaques, c'est peut-être la nature même d'une attaque par rançongiciel qui veut que les organisations se résignent à voir les cybercriminels l'emporter. La perte de données et de revenus, les temps d'arrêt et l'impact humain peuvent avoir des effets dévastateurs. Néanmoins, en dépit du sentiment d'impuissance généralisé, les organisations doivent-elles pour autant renoncer à lutter ? Les rançongiciels sont-ils en quelque sorte moins évitables que d'autres formes de logiciels malveillants ?

Le fait que les organisations soient si nombreuses à être attaquées, à de maintes reprises, met en évidence l'inadéquation des méthodes de détection traditionnelles basées sur la reconnaissance des signatures, qui examinent les caractéristiques identifiant un logiciel malveillant (telles que les serveurs avec lesquels il communique), dans la protection contre les rançongiciels. 

Toutefois, lorsqu'on étudie les caractéristiques de ces logiciels malveillants, on constate que ceux-ci ne sont en réalité pas si différents des autres. Ils se distinguent uniquement par leur charge utile et par leurs répercussions sur une entreprise.

 Tout comme d'autres virus, un rançongiciel est conçu pour échapper à la détection, à travers le cryptage ou des techniques d'évasion comme les wrappers (qui protègent les fichiers exécutables), lui permettant ainsi de contourner tous les mécanismes de sécurité. Les méthodes basées sur la reconnaissance des signatures ne peuvent pas identifier un logiciel malveillant qui a été modifié ou obscurci. Elles ne peuvent pas non plus détecter un logiciel malveillant conçu pour reconnaître un environnement virtualisé (technique utilisée par le rançongiciel Cryptowall). Les pirates peuvent rapidement s'adapter et créer des variantes autour d'un thème, ce qui rend ces techniques statiques inutiles. 

Par conséquent, nous devons chercher d'autres moyens de nous protéger contre ces menaces et identifier les nouvelles variantes des logiciels malveillants. Les approches qui utilisent l'analyse du comportement de ces logiciels et déterminent la prochaine action d'une menace en se basant sur les schémas et techniques d'attaque, ainsi que sur les renseignements sur les menaces collectés grâce au crowd-sourcing, sont efficaces, car elles éliminent cet angle mort de la détection et de la protection. En nous concentrant sur le comportement des logiciels malveillants, nous évitons de nous reposer sur des indicateurs statiques qui peuvent être facilement modifiés.

Si les rançongiciels se multiplient, il existe cependant des approches susceptibles d'aider les organisations à riposter face à cette menace furtive en pleine expansion. Les cybercriminels mettent certes au point de nouvelles techniques, mais des approches innovantes capables de déceler et d'arrêter ces menaces d'un nouveau genre démontrent que le combat est loin d'être perdu.