L’équipe Sophos Rapid Response propose une analyse qui remet en cause chacune d’entre elles sur la base de l’expérience et des observations des professionnels situés en première ligne en cas d’attaque.
De nombreuses entreprises victimes de cyberattaques pensent qu’elles sont trop petites, qu’elles exercent dans un secteur qui ne présente pas d’intérêt ou qu’elles ne disposent pas d’actifs lucratifs qui attireraient un attaquant. Dans les faits, il n’en est rien, car dès lors qu’elles disposent d’un outil de traitement et d’une présence numérique, elles sont des cibles potentielles. Contrairement à une croyance répandue, la plupart des attaques ne sont pas perpétrées par des nations-états cybercriminels qui disposent de capacités avancées ; elles sont menées par des opportunistes en quête de proies faciles ou de fruits mûrs qu’ils n’auraient qu’à cueillir en tendant la main. Ces derniers ciblent avant tout les entreprises qui présentent des failles, des erreurs ou de mauvaises configurations de sécurité facilement exploitables.
Dès lors qu’une entreprise ne se considère pas comme une cible potentielle, elle aura probablement moins tendance à être activement à l’affût d’activités suspectes sur son réseau. La probabilité qu’elle passe à côté des signes annonciateurs d’une attaque est donc beaucoup plus forte.
Selon l’étude « État des ransomwares 2021 », 22 % des entreprises pensent qu’elles seront victimes d’une attaque par ransomware au cours des 12 prochains mois, car il est quasiment impossible d’empêcher les utilisateurs de compromettre la sécurité. Et ce, en partie, du fait du perfectionnement des attaques en question.
En effet, les tactiques d’ingénierie sociale, à l’image des e-mails de phishing, sont de plus en plus difficiles à repérer. Les messages sont souvent rédigés sans faute, persuasifs et soigneusement ciblés. Les collaborateurs doivent être capables de repérer ces messages suspects et d’enclencher les bonnes pratiques lorsqu’ils en reçoivent. Par exemple : qui informer en priorité pour que les autres collaborateurs soient en alerte ?
Selon les conclusions de l’étude « État des ransomwares 2021 », une entreprise qui paie la rançon exigée récupère en moyenne un peu moins de deux tiers (65 %) de ses données. À peine 8 % parviennent à restaurer l’intégralité de leurs données et 29 % en récupèrent moins de la moitié. Payer la rançon ; même si cela semble l’option la plus commode et si le paiement est couvert par une police de cyberassurance, ne permet pas forcément de récupérer ce qui a été perdu.
De plus, restaurer les données n’est qu’une partie du processus de reprise d’activité après sinistre, car dans la plupart des cas, le ransomware rend les ordinateurs entièrement inexploitables et les systèmes doivent être reconstitués souvent à partir de rien avant de pouvoir restaurer les données. Selon les conclusions de l’étude 2021, les dépenses liées à la reprise d’activité représentent en moyenne dix fois le montant de la rançon exigée.
S’il est essentiel de mettre en place des politiques de sécurité pour les applications et les utilisateurs, celles-ci doivent être examinées et mises à jour constamment, à mesure que de nouvelles caractéristiques et fonctionnalités s’ajoutent aux appareils connectés au réseau. Il est, par conséquent, recommandé de vérifier et de tester ces politiques, à l’aide de techniques comme les tests de pénétration, des exercices sur table ou des tests préliminaires sur les plans de reprise d’activité après sinistre.
C’est très peu probable, car désormais les attaquants ne commettent que très peu d’erreurs et le processus de chiffrement s’est très nettement perfectionné. Il est très rare que les équipes en charge de la réponse aux incidents trouvent une faille qui leur permette de réparer les dégâts causés. Les sauvegardes automatiques, comme les clichés instantanés des volumes Windows (Windows Volume Shadow Copies), sont également effacées par la plupart des ransomwares modernes et les données originelles stockées sur le disque sont écrasées, ce qui rend impossible toute récupération de données sans payer la rançon.