En matière de cybersécurité, le monde de la cybercriminalité a pris tout son sens au cours de la dernière décennie. Aujourd’hui, c’est l’une des plus grandes industries du monde, valant des centaines de milliards de dollars par an, et elle a évolué en fonction de ses bénéfices à un niveau de sophistication qui a surpris de nombreuses personnes et entreprises. Le vol des détails de la carte, le jacking de machines pour la crypto-extraction et le vol d’identité restent des défis majeurs, mais peu de domaines sont devenus aussi lucratifs pour les criminels, ou aussi prodigieux, que les ransomwares.
Comme pour toute entreprise axée sur le marché, les pirates de ransomware ont continué à développer leurs approches à un niveau jusqu’alors ignoré. Les méthodologies d’ingénierie sociale ont accéléré la vitesse et un monde rempli de désinformation et de peur autour du COVID-19 a ouvert une multitude d’opportunités d’abus aux cybercriminels.
Plus récemment, les hackers de ransomware ont également introduit de nouveaux types de menaces. Partout dans le monde, les entreprises sont de plus en plus soumises à des lois sur la protection des données, comme celles initiées dans toute l’UE avec l’introduction du RGPD en 2018. De telles mesures signifient que ce n’est pas seulement la perte, mais aussi l’exposition des données des clients, qui est devenue une sujet de préoccupation pour les services informatiques et les membres du conseil. Cela a été démontré par le rapport Veritas 2020 UK Databerg, qui a montré la peur de la perte de données et des violations de conformité comme étant les principales préoccupations liées au cloud computing pour le moment (55% et 54% respectivement).
Sommaire
Attaques de cybercriminalité
La non-conformité légale, combinée à la crainte supplémentaire de dommages financiers et de marque, est devenue un levier central dans les attaques de cybercriminalité lorsque l’on cherche à extorquer de l’argent aux entreprises. En plus des attaques de ransomwares rendant les données critiques indisponibles via le cryptage, il est de plus en plus populaire pour les criminels d’exfiltrer des données et de menacer leur exposition en ligne comme moyen de faire chanter les entreprises. Selon certains rapports, plus de 11% des attaques de ransomwares au deuxième trimestre 2020 impliquaient le vol de données par des criminels plutôt que le simple cryptage des données.
Ce n’est pas non plus la seule façon dont les ransomwares ont évolué – le type de données ciblées par les pirates est également en train de changer. Le virus EKANS qui a affecté Honda début juin en est un parfait exemple. Plutôt que de cibler les données d’application, qui sont plus susceptibles d’être protégées, EKANS cible spécifiquement les données ICS, qui, historiquement, ne faisaient peut-être pas partie d’une stratégie de protection contre les ransomwares. En tant que tel, la question doit être posée: combien d’autres types de données pourraient devenir des cibles de ransomwares et comment les protéger avec succès?
Parmi les autres nouvelles tendances, citons les enchères sur le dark web de données qui ont été exfiltrées, éventuellement pour être utilisées par des concurrents ou simplement pour les exploiter à des fins d’identification personnelle. Les attaques après les heures normales sont également devenues de plus en plus populaires, pour assurer une présence minimale du personnel de sécurité pour aider à lutter efficacement contre la situation. La pire extrémité de cette évolution est probablement une augmentation de la tendance à la création d’attaques parrainées par l’État pour saper l’infrastructure commerciale même d’un pays.
La prévention ne suffit pas
La protection contre les ransomwares se présente sous diverses formes, mais dans sa plus simple expression, elle est divisée entre empêcher les logiciels malveillants de s’installer sur le réseau en premier lieu (logiciel antivirus, surveillance des données et formation des employés grâce à des cours de cybersécurité), puis être en mesure de réagir proprement. et rapidement lorsqu’une attaque réussit.
Pendant longtemps, les entreprises et les particuliers ont consacré la majeure partie de leur temps et de leur énergie aux premiers, avec un certain succès. Malheureusement, l’évolution des ransomwares, y compris des méthodologies d’ingénierie sociale de plus en plus sophistiquées, signifie que les entreprises ne peuvent pas se fier uniquement à la prévention. La sécurité informatique sera toujours vitale mais, surtout, c’est l’aspect humain de l’équation qui ouvre les risques. Cela peut être un mauvais calcul des données à sauvegarder ou des données à chiffrer; ou simplement une erreur humaine en étant pris par une attaque de phishing et en autorisant le logiciel malveillant dans le réseau en premier lieu. Les entreprises doivent présumer que les attaques seront couronnées de succès et s’y préparer. La protection des données sous la forme d’une sauvegarde fiable et testée est la réponse évidente, mais même cela ne protège pas contre l’exfiltration et l’abus des données. Pour cela, la seule réponse est le cryptage.
L’utilisation du cryptage au repos comme défense contre les logiciels malveillants est quelque chose qui n’aurait jamais dû être démodé lorsque les données sont en transit, le cryptage est toujours la meilleure pratique. Cependant, de solides arguments suggèrent que les données ne sont pas chiffrées au repos, un rapport suggérant que moins de 10% des fournisseurs de services cloud chiffrent les données une fois qu’elles sont sur leurs serveurs. Cela peut sembler évident, mais cela signifie que c’est une saison ouverte sur plus de 90% des données stockées dans le cloud en cas de piratage.
Le défi des données
Il y a toujours un défi bien sûr. Un très grand nombre d’entreprises ne savent pas quelles données elles possèdent. L’étude Veritas UK Databerg 2020 montre que 80% des données sont soit sombres, soit ROT (redondantes, obsolètes ou triviales). Cela rend presque impossible de savoir quoi sauvegarder, où et comment, et encore moins quelles données doivent être considérées comme suffisamment sensibles ou suffisamment risquées pour être chiffrées dans le cadre du processus de stockage et de sauvegarde. Cela est clairement reflété dans une étude réalisée en 2019 par le Ponemon Institute dans laquelle 69% des entreprises ont déclaré que le simple fait de déterminer où résident les données sensibles dans l’organisation était le plus grand défi pour la mise en œuvre du cryptage.
Une combinaison d’informations sur les données, (incorporant l’identification, le marquage et la classification), le cryptage des données et une sauvegarde fiable semble être la seule manière sensée de se protéger contre les attaques de ransomwares. Les entreprises ont besoin de savoir quelles données elles possèdent et de les protéger activement de la bonne manière sans omettre les charges de travail associées aux risques. Ensuite, lorsque tout ce dur travail est fait, ils doivent tester leurs systèmes pour trouver des lacunes ou des points faibles inattendus.
Que peuvent faire de plus les entreprises?
Au-delà de cela, il y a encore des précautions que les entreprises doivent prendre. Les attaques de ransomware sont également de plus en plus ciblées dans leurs méthodologies, comme le montre l’augmentation des attaques de spear-phishing ou de compromission de courrier électronique d’entreprise par rapport aux attaques de base par pulvérisation et par proie. Lorsque le gain pourrait être de plusieurs millions de dollars non imposables, les recherches supplémentaires nécessaires à l’attaque en valent bien la peine. La formation des employés à tous les niveaux est vitale. Pouvez-vous être sûr que tous vos employés, du niveau C au niveau d’entrée, connaissent la différence comment reconnaître une tentative d’escroquerie liée aux ransomwares?
La gestion et le stockage des clés de chiffrement eux-mêmes sont également essentiels. Cela peut sembler évident, mais trop souvent, les clés de chiffrement sont stockées au même endroit que les données chiffrées elles-mêmes. Cela revient à laisser la clé de la maison de rechange sous le pot de fleurs de la porte d’entrée. Il n’est peut-être pas visible à l’œil nu, mais les recherches les plus superficielles le découvriront.
L’histoire des ransomwares est un jeu constant de chat et de souris où les outils d’attaque et de protection évoluent constamment dans une bataille pour se surpasser. La première moitié de 2020 a déjà été une période d’opportunités pour les pirates informatiques, où les changements forcés des architectures d’entreprise ont ouvert une riche vague de nouvelles vulnérabilités à cibler. Il est impératif que les entreprises dépassent désormais les pirates informatiques dans leurs propres capacités, revenant avec des stratégies de données immuables et protégées qui assurent la sécurité de leurs entreprises.
- Ian Wood, directeur principal, responsable de la technologie UK&I, Veritas.
