Rapport sur les risques liés aux ransomwares : Accepter la possibilité d'une brèche

78% des victimes touchées à plusieurs reprises ont payé la rançon

Une étude mondiale menée auprès de 900 professionnels de l'informatique et de la sécurité révèle que 74 % des organisations ciblées par des ransomwares ont été attaquées plusieurs fois et que 78 % des organisations victimes ont payé une rançon, ce qui met en évidence un cycle de violations qui entraîne des dommages croissants en termes de pertes de revenus, de coûts opérationnels et, dans certains cas, de santé et de sécurité des personnes.

Nous devons partir du principe que la menace est toujours présente. Il ne s'agit pas seulement des cas notoires dont nous entendons parler tous les trimestres ou presque. Cela se produit tous les jours dans toute une série d'entreprises.

Chris Inglis Conseiller stratégique, Semperis et premier directeur national du cyberespace aux États-Unis, ancien directeur adjoint de la NSA

Fréquence, gravité et conséquences alarmantes des attaques

Les rançongiciels, autrefois une menace sporadique, sont devenus des adversaires implacables. Les groupes criminels orchestrent de multiples attaques en succession rapide, en exploitant les vulnérabilités des organisations. Les systèmes critiques, y compris Microsoft Active Directory, sont une cible privilégiée.

Le rapport 2024 Ransomware Risk Report révèle des statistiques inquiétantes pour les chefs d'entreprise, les responsables informatiques et les responsables de la sécurité.

Obtenir le rapport
83%
des organisations interrogées ont été victimes d'une attaque par ransomware au cours des 12 derniers mois
74%
des victimes de ransomware ont été attaquées plusieurs fois
78%
des victimes ont payé une rançon (32% ont payé 4 fois ou plus)
35%
des victimes ayant payé une rançon n'ont pas reçu de clés de décryptage ou n'ont pas pu récupérer leurs fichiers et leurs biens

Lorsque des attaques multiples se produisent, elles ont tendance à se succéder rapidement. Ces données suggèrent que plusieurs bandes criminelles exploitent les vulnérabilités des organisations pour déclencher une deuxième ou une troisième attaque malveillante - dans certains cas, simultanément.

Simon Hodgkinson Conseiller stratégique de Semperis et ancien RSSI de bp

Faire face aux ransomwares

Les entreprises subissent des attaques réussies de ransomware plusieurs fois au cours de la même année, ce qui entraîne des fermetures, des licenciements, une perte de revenus et de confiance de la part des clients, ainsi que l'annulation de la cyber-assurance.

74%

des entreprises ont été attaquées par un ransomware non pas une fois, mais plusieurs fois - 54 % le même jour et la plupart en l'espace d'une semaine.

78%

des organisations ciblées ont payé la rançon - 72 % ont payé plusieurs fois et 32 % ont payé quatre fois ou plus.

Mickey Bresman, PDG de Semperis

Le coût de ce que vous payez à un groupe de ransomware ne signifie pas que les dommages s'arrêteront là. Certaines attaques ne sont pas motivées par l'argent, mais visent plutôt à provoquer le chaos et des perturbations.

Mickey Bresman PDG de Semperis

Les attaques entraînent des pertes de données et des interruptions d'activité, même pour les victimes disposant de sauvegardes générales.

Les attaques par ransomware provoquent des perturbations étendues et généralisées, même pour les organisations qui ont mis en place des sauvegardes générales. Les attaquants s'introduisent dans les systèmes par le biais de systèmes d'exploitation intégrés, de technologies obsolètes qui n'ont pas fait l'objet de mises à jour de sécurité régulières et de portes dérobées oubliées depuis longtemps.

D'une manière générale, la complexité augmente et on ne peut pas faire grand-chose en une journée. Le cloud computing n'a pas allégé le fardeau ni réduit la complexité opérationnelle. Vous devez partir du principe que des activités malveillantes se déroulent sur votre réseau, et vous devez être en mesure de les détecter et de les annuler.

Guido Grillenmeier Technologue principal de Semperis (EMEA)

Les entreprises peuvent-elles dire "non" aux ransomwares ?

Bien que 70 % des personnes interrogées aient mis en place un plan de récupération des identités, seules 27 % d'entre elles disposaient de systèmes de sauvegarde dédiés et spécifiques à AD. 61 % des victimes de ransomware ont eu besoin de plus d'une journée pour récupérer des fonctionnalités informatiques minimales, ce qui a prolongé les interruptions d'activité.

72%

des victimes ont payé la rançon plusieurs fois

32%

ont payé la rançon 4 fois ou plus

Pourquoi les entreprises ont-elles payé la rançon ?

De nombreuses personnes interrogées ont indiqué qu'elles avaient payé une rançon parce qu'elles souhaitaient reprendre leurs activités normales le plus rapidement possible. D'autres, en particulier dans le secteur des technologies de l'information et des télécommunications, ont payé parce qu'ils disposaient d'une cyber-assurance pour couvrir les coûts. D'autres encore ont estimé que la menace pesant sur les patients, les clients, leur entreprise ou leur réputation valait le prix de la rançon. Malheureusement, le paiement d'une rançon ne garantit pas la réception de clés de décryptage utilisables. En outre, les attaquants utilisent souvent les ransomwares pour diffuser des logiciels malveillants qui peuvent réinfecter les systèmes ou causer d'autres dommages.

Menace pour l'entreprise, les clients ou la réputation
Accès à l'assurance cybernétique
Rétablir rapidement les activités de l'entreprise
Les faiblesses systémiques font d'AD une cible facile
Question de vie ou de mort

Le coût réel des ransomwares

Dans toute organisation complexe, les décisions relatives au budget, au personnel et aux ressources en matière de sécurité sont un exercice d'équilibre. Toutefois, dans le cas des ransomwares, il se peut que les dirigeants prennent ces décisions sans avoir une connaissance complète des coûts potentiels d'une attaque. Le paiement d'une rançon ne garantit pas la réception de clés de décryptage utilisables. En outre, les attaquants utilisent souvent les ransomwares pour diffuser des logiciels malveillants qui peuvent réinfecter les systèmes ou causer d'autres dommages. Une attaque réussie coûte généralement beaucoup plus cher que le paiement d'une rançon.

Les attaques de ransomware causent des dommages collatéraux qui vont bien au-delà du paiement de la rançon

Le paiement de la rançon n'est que le début des coûts engendrés par une attaque de ransomware.

"Le coût du paiement de la rançon n'est pas la somme totale des dommages réels", déclare Mickey Bresman, PDG de Semperis. "Certaines attaques ne sont pas motivées par l'argent, mais visent plutôt à provoquer le chaos et des perturbations. En outre, l'argent que vous payez est utilisé pour d'autres activités criminelles, comme le trafic d'êtres humains, de drogues et d'armes".

Chris Inglis fait remarquer qu'une attaque par ransomware n'est pas un événement ponctuel ou limité dans le temps auquel vous pouvez rapidement remédier et que vous pouvez ensuite oublier.

"Il s'agit d'un événement qui change la vie et qui a des effets durables. La perte de confiance des clients, la perte de la cyber-assurance, les poursuites réglementaires... cette surveillance ne disparaît jamais".

Les faiblesses systémiques font d'AD une cible facile
Perturbation des activités
Fermetures temporaires ou permanentes
Dommage à la marque
Perte de revenus ou de clients
Amendes, poursuites et annulation de l'assurance cybernétique
Plus de 80 % de toutes les violations impliquent un abus d'identifiants
Licenciements et démissions

Peu d'entreprises se consacrent à la protection de l'identité

Le système d'identité, en particulier Active Directory, est désormais le périmètre de sécurité des entreprises. La numérisation de l'entreprise moderne a éliminé l'idée d'un périmètre défendable, créant un paysage complexe pour les professionnels de la sécurité et une vaste surface d'attaque pour les cybercriminels. En l'absence de sauvegardes spécifiques à AD, exemptes de logiciels malveillants, et d'un plan de reprise d'activité cyber-spécifique testé, la reprise d'activité sera prolongée, ce qui augmentera le risque que l'organisation décide de payer une rançon pour rétablir ses activités.

Au centre de toute cette discussion se trouve la viabilité de l'entreprise : la capacité de l'entreprise à réaliser ses aspirations et ses engagements au nom de ses actionnaires et de ses clients. Les attaquants tentent de la mettre en péril afin de pouvoir vous convaincre de les racheter. S'ils parviennent à attaquer l'identité, ils détiennent alors un privilège qu'ils peuvent utiliser à leur avantage.

Chris Inglis Conseiller stratégique de Semperis et premier directeur national du cyberespace aux États-Unis

Tout est lié au cœur de l'accès. Une fois qu'un attaquant obtient un accès de niveau 0, vous disposez d'un temps limité pour protéger le reste de l'infrastructure.

Jeff Wichman Directeur principal de la réponse aux incidents

Chaque minute d'indisponibilité du système d'identité est extrêmement pénible. J'ai discuté avec un client qui a testé le plan de reprise d'Active Directory (AD) avec les systèmes qu'il avait mis en place. Il a conclu que l'atténuation d'une attaque lui prendrait sept jours. C'est inacceptable, car cela signifie que tout le reste de l'organisation sera également en panne pendant sept jours.

Mickey Bresman PDG de Semperis

Je ne suis pas surpris que la majorité des ransomwares ciblent le système d'identité. Si un attaquant veut créer un impact maximal pour extorquer de l'argent, il veut prendre le contrôle de votre environnement - et il voudra absolument posséder Active Directory. Une fois Active Directory compromis, les acteurs de la menace détiennent les clés de votre royaume.

Simon Hodgkinson Conseiller stratégique de Semperis et ancien RSSI de bp

Pourquoi les organisations ne donnent-elles pas la priorité à la défense contre les ransomwares ?

Les organisations sont confrontées à de multiples défis pour mettre en place une stratégie de défense contre les ransomwares. La plupart des personnes interrogées ont indiqué que leur principal obstacle à la résilience était le manque de soutien de la part du conseil d'administration.

Chris Inglis note qu'une cybersécurité efficace nécessite une approche en trois volets comprenant la doctrine de l'entreprise, le renforcement des compétences et la technologie. Première étape : Expliquer la valeur de la sécurité fondée sur l'identité en termes commerciaux

"La technologie peut nous aider à analyser et à évaluer ce qui se passe, instant après instant", explique Chris Inglis. "Elle peut nous aider à réagir et à récupérer plus rapidement. Mais ce dont nous avons le plus besoin aujourd'hui, c'est d'une prise de conscience collective que nous avons tous un rôle à jouer. Cela commence par le conseil d'administration, et non par l'atelier informatique. Le conseil d'administration est responsable ; la SEC l'a clairement indiqué. Les réglementations sont de plus en plus claires : la cybersécurité est une question commerciale.

Manque de soutien du conseil d'administration
Contraintes budgétaires
Systèmes obsolètes ou anciens
Manque de personnel
Réglementation en matière de cybersécurité

Les gens ont tendance à consacrer leurs ressources et leurs efforts à la protection des points d'accès. Mais les acteurs de la menace passeront le point d'accès. Et une fois qu'ils sont à l'intérieur du réseau, ils passent par l'ensemble du système d'identité. Quelle défense avez-vous lorsque cela se produit ? Parce qu'une fois qu'ils possèdent votre système d'identité, ils ont tous les pouvoirs. Si votre système d'identité tombe en panne, aucune de vos autres solutions ne fonctionnera.

Sean Deuby Technologue principal de Semperis (Amérique du Nord)