Ransomwares : bataille perdue ! Vraiment ?
76 % des entreprises reconnaissent payer les auteurs de ransomwares. Néanmoins un tiers d’entre elles ne parvient pas à récupérer leurs données…
Selon le Veeam 2022 Ransomware Trends Report, les entreprises sont en train de perdre la bataille contre les ransomwares. Cette étude sans précédent examine leur impact ainsi que les mesures prises pour la mise en œuvre de stratégies de protection.
« Les ransomwares ont mis le vol de données à la portée du plus grand nombre. Ils exigent des entreprises qu’elles redoublent d’efforts collaboratifs pour remédier aux attaques et s’en remettre sans payer de rançon, observe Danny Allan, CTO, Veeam. Payer les cybercriminels pour restaurer ses données n’est pas une stratégie de protection des données. Il n’existe en effet aucune garantie de récupérer les données. De même, les risques d’atteinte à la réputation et de perte de confiance des clients sont élevés. Qui plus est, cela alimente une prophétie autoréalisatrice qui récompense une activité criminelle. »
Payer la rançon n’est pas une stratégie de récupération des données
Parmi les entreprises interrogées, la majorité (76 %) des victimes de cyberattaques a payé la rançon pour y mettre fin. Les 52 % ayant cédé au chantage ont pu récupérer leurs données, les 24 % restantes n’y sont malheureusement pas parvenues. Ce qui signifie que, dans un cas sur trois, le versement de la rançon ne permet pas de retrouver ses données. Il est à noter que 19 % des entreprises n’ont pas eu à payer : elles ont pu restaurer leurs sauvegardes. C’est précisément l’objectif de 81 % des victimes de cyberattaques.
« L’une des caractéristiques d’une stratégie solide de protection moderne des données est l’engagement d’appliquer une politique claire selon laquelle l’entreprise ne payera jamais de rançon mais fera tout ce qui est en son pouvoir pour prévenir, résoudre et récupérer des attaques, ajoute Danny Allan. En dépit de la menace omniprésente et inévitable que représentent les ransomwares, le discours affirmant que les entreprises sont impuissantes pour y faire face est erroné. Il faut former les collaborateurs afin qu’ils respectent une cyber-hygiène impeccable. Il faut aussi procéder régulièrement à des tests rigoureux des solutions et protocoles de protection des données. Et établir des plans détaillés de continuité d’activité qui préparent les acteurs clés aux pires scénarios. »
La prévention contre les ransomwares requiert la diligence de l’IT comme des utilisateurs
La « surface d’attaque » des cybercriminels est variée. Ceux-ci commencent le plus souvent par accéder à des environnements de production en profitant des erreurs d’utilisateurs qui cliquent sur des liens malveillants, consultent des sites web non sécurisés ou répondent à des e-mails de phishing. Ce qui met encore une fois en évidence le caractère évitable de nombreux incidents. Une fois obtenu l’accès à l’environnement, il existe très peu de différence entre les taux d’infection des serveurs de datacenter, des plateformes de télétravail et des serveurs hébergés dans le cloud.
Dans la plupart des cas, les intrus exploitent des vulnérabilités connues, notamment dans des systèmes d’exploitation et hyperviseurs courants ou encore des plateformes NAS et des serveurs de base de données, n’épargnant aucun logiciel non corrigé ou non mis à jour qu’ils peuvent trouver. Il est à noter que des taux d’infection nettement supérieurs ont été signalés par les professionnels de la sécurité et les administrateurs de sauvegarde par rapport aux responsables des opérations informatiques ou aux CISO, signe que « ceux qui sont plus près du problème sont témoins d’un nombre encore plus élevé d’incidents ».
Le premier remède est l’immuabilité des données
Les participants à l’enquête indiquent que 94 % des auteurs d’attaques ont tenté de détruire des répertoires de sauvegarde et que, dans 72 % des cas, ils sont arrivés à leurs fins au moins en partie. Cette stratégie consistant à éliminer la bouée de sauvetage d’une entreprise est répandue dans les attaques car elle augmente la probabilité que les victimes n’aient d’autre choix que de payer la rançon.
Le seul moyen de se prémunir de ce scénario est de disposer d’au minimum un niveau de protection immuable ou en mode « Air Gap » (isolé physiquement du réseau), ce qui est aujourd’hui le cas de 95 % des entreprises interrogées. De fait, nombre d’entre elles déclarent que leur stratégie de sauvegarde sur disque, dans le cloud et sur bande comporte plusieurs niveaux d’immuabilité ou de protection Air Gap.
Le rapport Veeam 2022 Ransomware Trends Report dans son intégralité est disponible en téléchargement.