L’analyse de Robert Hannigan, Head of International Business EMEA, chez BlueVoyant
Les statistiques sont impressionnantes et les conséquences sont réelles. La prévalence des ransomwares évolue au même rythme que la technologie. Alors que les experts en sécurité continuent de développer des environnements plus sûrs, les hackers cherchent constamment des moyens de compromettre les systèmes. Selon Cybersecurity Ventures, d’ici à 2031, une entreprise, un consommateur ou un appareil pourrait subir une attaque liée à un ransomware toutes les deux secondes, contre 11 secondes l’année dernière. La même étude a également révélé que les coûts des ransomwares devraient monter en flèche, passant de 20 milliards de dollars l’année dernière à plus de 265 milliards de dollars d’ici 2031.
Une vue d’ensemble
L'ampleur du problème est tout à fait stupéfiante. Si les attaques par ransomware font souvent la une des journaux, les coûts plus importants supportés par les entreprises et les particuliers ciblés ou victimes sont souvent cachés sous la surface. Les hauts responsables et les conseils d'administration entendent parler des attaques par ransomware et de leur fréquence, mais comprennent rarement comment se déroule un incident, du triage immédiat à la reprise durable des activités.
Ainsi, si les chefs d'entreprise reconnaissent que les ransomwares sont perturbateurs, la longue traîne de ces attaques et leurs véritables implications ont tendance à être moins bien comprises. De même, la plupart des gens pensent aux attaques et à leur impact sur l'organisation victime uniquement, ou à la restauration de leurs systèmes habituels, mais les attaques touchent également les clients de la victime, les tiers et l'écosystème plus large des parties prenantes. Il faut reconnaître les ransomwares comme une menace systémique qui peut également perturber la vie au niveau personnel. Les victimes sans méfiance subissent également les conséquences des ransomwares, telles que des licenciements, des retards dans les traitements médicaux, des perturbations dans les voyages, l'impossibilité d'accéder à des fonds, et bien plus encore.
Les États-Unis ont subi 65 000 attaques de ransomware en 2021
Selon certaines recherches, les États-Unis ont connu plus de 65 000 attaques par ransomware en 2021, l'une des plus importantes celle de Colonial Pipeline ayant entraîné la vidange d'une flopée de stations-service dans le sud-est du pays. Colonial Pipeline a payé les pirates 4,4 millions de dollars pour un outil de décryptage qui a rétabli les opérations pétrolières, malgré les recommandations du FBI et du ministère américain de la sécurité intérieure selon lesquelles les entreprises devraient éviter de payer des rançons.
Les attaques par ransomware mettent les victimes en faillite, obligent les hôpitaux à refuser des patients, empêchent l'accès à des services essentiels, paralysent les opérations commerciales et bien plus encore. Bien que chaque attaque soit unique, ces attaques ciblées ont des points communs : activités perturbatrices, paiements élevés et parfois techniques d'extorsion doubles ou triples, qui deviennent de plus en plus courantes, les pirates cherchant à soutirer le plus d'argent possible à leurs victimes. Aujourd'hui, les organisations risquent non seulement de voir leurs données verrouillées et de devoir payer pour les restaurer, mais une fois que les attaquants ont accès aux données pour les verrouiller, ils les exfiltrent par le biais de la double extorsion. Dans le cas de la triple extorsion, les pirates demandent également à toute personne susceptible d'être touchée par les données volées de payer elle aussi. Cela signifie que les attaquants ne demandent pas seulement d'être payés pour déverrouiller les données, mais aussi pour ne pas les diffuser sur le Web. Malheureusement, les attaquants s'adressent ensuite aux clients, aux partenaires, aux fournisseurs et à l'écosystème étendu, et demandent à ces organisations de payer pour ne pas divulguer leurs données.
Prendre les bonnes décisions
Les organisations de fournisseurs sont confrontées à toute une série de décisions lorsqu'elles répondent à une attaque en cours. Ils peuvent avoir à déterminer s'ils doivent cesser leurs activités, en particulier s'ils ne connaissent pas l'ampleur de l'attaque et cherchent à empêcher les adversaires de pénétrer plus avant dans leurs systèmes. Les décisions sur la manière de réagir peuvent devoir être soumises à une autorisation supérieure. Si une décision rapide n'est pas prise, les attaques peuvent pénétrer plus avant dans les systèmes et les réseaux avant que l'organisation ne puisse commencer ses réponses défensives. Si l'organisation décide d'arrêter ou de stopper les opérations ou les réseaux, cela crée un effet domino et d'autres décisions doivent être prises. La direction de l'entreprise est obligée de déterminer comment aller de l'avant sur le plan opérationnel sans accès aux systèmes internes, et ce, avant même que l'entreprise ait déterminé si elle va payer ou négocier avec les hackers.
Le fait de forcer l'arrêt des opérations signifie que certaines entreprises vont de l'avant et négocient avec les attaquants. Selon une étude réalisée par Proofpoint en 2022, 82 % des entreprises britanniques qui ont été victimes d'attaques par ransomware ont payé une rançon pour récupérer leurs données. Cependant, la coopération avec les attaquants peut conduire à d'autres méthodes d'exploitation, tandis que les dirigeants doivent également s'occuper de la remédiation de tous les réseaux affectés. Si des procédures de sécurité établies ont permis de sauvegarder des informations et des systèmes essentiels, une entreprise dispose généralement d'une plus grande marge de manœuvre face à une extorsion criminelle, mais ce n'est pas toujours le cas.
Les entreprises sont confrontées à des décisions cruciales concernant leur stratégie de communication publique après une attaque et la gestion non seulement de l'atteinte à la réputation, mais aussi de la perte de confiance des clients à plus long terme. En cas de violation d'informations personnelles identifiables (IPI) ou de données clients sensibles, les entreprises sont généralement tenues de le divulguer publiquement. Certaines organisations choisissent de ne pas révéler la violation et de payer la rançon pour éviter l'embarras. Il s'agit toutefois d'une stratégie très risquée, qui pourrait entraîner des problèmes futurs et une perte de confiance des clients. Au cours de la période qui suit une attaque, les organisations peuvent également être confrontées à un examen juridique, réglementaire et gouvernemental de la part de l'Information Commissioner's Office (ICO) du Royaume-Uni. Immédiatement après une attaque, la croissance réglementaire est déprimée par la perte opérationnelle, et la reprise des activités peut inclure le coût du remaniement des systèmes et des processus, la mise en place d'améliorations de la sécurité et la restructuration des priorités commerciales.
La gestion d'une violation entraîne une série de décisions qui peuvent conduire l'organisation sur un chemin qu'elle ne souhaiterait pas emprunter. C'est pourquoi il est important de faire appel à des experts et de s'assurer que l'entreprise reçoit le bon niveau de conseil et d'orientation. Après tout, vous avez affaire à des criminels qui n'ont souvent pas le même sens moral ni la même éthique que ceux que nous attendons des entreprises. Les ransomwares resteront prolifiques en 2022 et au-delà. Il ne s'agit donc pas de savoir si, mais quand, et dans quelle mesure l'entreprise est préparée à faire face à l'incident et à ses conséquences.