Selon une tude de Semperis, les entreprises sont confrontes une grave pidmie de ransomware : 87 % des attaques ont perturb l’activit de l’entreprise, 49 % des personnes interroges ont eu besoin d’un sept jours pour rtablir les oprations commerciales et les fonctionnalits informatiques minimales aprs une attaque par ransomware. L’tude montre qu’on ne peut jamais dire « je suis en scurit » ou prendre un moment de repos.
Une nouvelle tude mondiale sur les ransomwares, mene auprs de prs de 1 000 organisations de divers secteurs d’activit, rvle que la plupart des entreprises sont confrontes une srie ininterrompue de violations, une grave pidmie qui les place en permanence dans le collimateur des gangs de ransomwares. L’tude de Semperis montre galement que 39 % des entreprises attaques aux tats-Unis, au Royaume-Uni, en France et en Allemagne ont pay une ranon quatre fois ou plus au cours des 12 derniers mois.
Plus de 80 % des attaques de ransomware ont fini par compromettre le systme d’identit d’une entreprise, tel que Microsoft Active Directory (AD) ou Entra ID, alors que seulement 27 % des entreprises n’ont pas mis en place de plan de rcupration ddi AD ou Entra ID. Le rapport montre que 87 % des attaques ont perturb l’activit de l’entreprise, mme pour ceux qui ont pay la ranon, notamment en raison de la perte de donnes et de la ncessit de mettre les systmes hors service. Pour 16 % des personnes interroges, l’attaque a cr un dilemme de vie ou de mort.
Le paiement d’une ranon ne garantit pas non plus le retour des activits normales : 35 % des victimes qui ont pay une ranon n’ont pas reu de cls de dchiffrement ou ont reu des cls corrompues. Les dlais de rtablissement sont galement mdiocres : 49 % des personnes interroges ont eu besoin d’un sept jours pour rtablir les oprations commerciales et les fonctionnalits informatiques minimales aprs une attaque par ransomware, et 12 % d’entre elles ont eu besoin de sept jours ou plus.
« Pour que la direction et le conseil d’administration dcident en connaissance de cause de ne pas payer la ranon, ils doivent savoir combien de temps prendra la reprise et avoir confiance dans le processus. Cela signifie que vous devez tester votre plan dans un scnario aussi proche que possible de la ralit et le prsenter au conseil d’administration avant qu’une attaque ne se produise. Ainsi, en cas de catastrophe, les dcideurs auront eu confiance dans leur capacit dire « non » aux attaquants« , dclare Mickey Bresman, PDG de Semperis.
Chris Inglis, conseiller stratgique de Semperis et premier directeur national de la cyberscurit (NSA) aux tats-Unis dclare « tant donn que les organisations d’aujourd’hui sont menaces 24 heures sur 24 et 7 jours sur 7, on ne peut jamais dire « je suis en scurit » ou prendre un moment de repos. Le mieux que vous puissiez faire est de rendre votre environnement dfendable, puis de le dfendre« .
Rapport sur les risques lis aux ransomwares
L’tude de Semperis rvle que 74 % des organisations cibles par des ransomwares ont t attaques plusieurs reprises et que 78 % des organisations victimes ont pay une ranon, ce qui met en vidence un cycle de violations qui entrane des dommages croissants en termes de pertes de revenus, de cots oprationnels et, dans certains cas, de sant et de scurit des personnes.
Chris Inglis ajoute : « Nous devons partir du principe que la menace est omniprsente. Il ne s’agit pas seulement des cas notoires dont nous entendons parler tous les trimestres ou presque. Cela se produit tous les jours, tous les jours, dans un grand nombre d’entreprises.«
Frquence, gravit et consquences alarmantes des attaques
Les ransomwares, qui taient autrefois une menace sporadique, sont devenus des adversaires implacables. Les groupes criminels orchestrent de multiples attaques en succession rapide, en exploitant les vulnrabilits des organisations. Les systmes critiques, y compris Microsoft Active Directory, sont une cible privilgie.
L’tude rvle des statistiques inquitantes pour les responsables des entreprises, de l’informatique et de la scurit :
- 83% des organisations interroges ont t victimes d’une attaque par ransomware au cours des 12 derniers mois
- 74% des victimes de ransomware ont t attaques plusieurs fois
- 78% des victimes ont pay une ranon (32% ont pay 4 fois ou plus)
- 35% des victimes qui ont pay une ranon n’ont pas reu de cls de dchiffrement ou n’ont pas pu rcuprer leurs fichiers et leurs biens.
Simon Hodgkinson, Conseiller stratgique de Semperis, commente : « Lorsque des attaques multiples se produisent, elles ont tendance se succder rapidement. Ces donnes suggrent que de nombreuses bandes criminelles exploitent les vulnrabilits des organisations pour dclencher une deuxime ou une troisime attaque malveillante – dans certains cas, simultanment.«
Faire face aux ransomwares
Les entreprises subissent des attaques russies de ransomware plusieurs fois au cours de la mme anne, ce qui entrane des fermetures, des licenciements, une perte de revenus et de confiance de la part des clients, et l’annulation de la cyber-assurance.
- 74% des entreprises ont t attaques par un ransomware non pas une fois, mais plusieurs fois – 54 % le mme jour et la plupart en l’espace d’une semaine.
- 78% des organisations cibles ont pay la ranon – 72 % l’ont paye plusieurs fois et 32 % l’ont paye quatre fois ou plus.
Mickey Bresman, PDG de Semperis, dclare : « Le cot de ce que vous payez un groupe de ransomware ne signifie pas que les dommages s’arrteront l. Et certaines attaques ne sont pas motives par l’argent ; elles visent plutt provoquer le chaos et des perturbations.«
Les attaques entranent des pertes de donnes et des interruptions d’activit, mme pour les victimes disposant de sauvegardes gnrales
Les attaques par ransomware provoquent des perturbations gnralises et omniprsentes, mme pour les organisations qui ont mis en place des sauvegardes gnrales. Les attaquants s’introduisent dans les systmes par le biais de systmes d’exploitation intgrs, de technologies obsoltes qui n’ont pas fait l’objet de mises jour de scurit rgulires et de portes drobes oublies depuis longtemps.
Guido Grillenmeier, Technologue principal de Semperis (EMEA), commente : « D’une manire gnrale, la complexit augmente et on ne peut pas faire grand-chose en une journe. L’informatique en nuage n’a pas allg le fardeau ni rduit la complexit oprationnelle. Vous devez partir du principe que des activits malveillantes se droulent sur votre rseau, et vous devez tre en mesure de les trouver et de les annuler.«
Les entreprises peuvent-elles dire « non » aux ransomwares ?
Bien que 70 % des personnes interroges aient mis en place un plan de rcupration des identits, seules 27 % d’entre elles disposaient de systmes de sauvegarde ddis et spcifiques. 61 % des victimes de ransomware ont eu besoin de plus d’une journe pour rcuprer des fonctionnalits informatiques minimales, ce qui a prolong les interruptions d’activit.
- 72% des victimes ont pay la ranon plusieurs fois
- 32% ont pay la ranon 4 fois ou plus
Ainsi, pourquoi les entreprises ont-elles pay une ranon ? De nombreuses personnes interroges ont indiqu qu’elles avaient pay une ranon parce qu’elles souhaitaient reprendre leurs activits normales le plus rapidement possible. D’autres, en particulier dans le secteur des technologies de l’information et des tlcommunications, ont pay parce qu’elles disposaient d’une cyber-assurance pour couvrir les cots. D’autres encore ont estim que la menace pesant sur les patients, les clients, leur entreprise ou leur rputation valait le prix de la ranon.
Malheureusement, le paiement d’une ranon ne garantit pas la rception de cls de dchiffrement utilisables. En outre, les attaquants utilisent souvent les ransomwares pour diffuser des logiciels malveillants qui peuvent rinfecter les systmes ou causer d’autres dommages.
Le cot rel des ransomwares
Dans toute organisation complexe, les dcisions relatives au budget, au personnel et aux ressources en matire de scurit sont un exercice d’quilibre. Toutefois, dans le cas des ransomwares, il se peut que les dirigeants prennent ces dcisions sans avoir une connaissance complte des cots potentiels d’une attaque. Le paiement d’une ranon ne garantit pas la rception de cls de dchiffrement utilisables. En outre, les attaquants utilisent souvent les ransomwares pour diffuser des logiciels malveillants qui peuvent rinfecter les systmes ou causer d’autres dommages. Une attaque russie cote gnralement beaucoup plus cher que le paiement d’une ranon.
Les attaques par ransomware causent des dommages collatraux qui vont bien au-del du paiement de la ranon. Le paiement de la ranon n’est que le dbut des cots engendrs par une attaque de ransomware.
« Le cot du paiement de la ranon n’est pas la somme totale des dommages rels« , dclare Mickey Bresman, PDG de Semperis. « Certaines attaques ne sont pas motives par l’argent, mais visent plutt provoquer le chaos et des perturbations. En outre, l’argent que vous payez est utilis pour d’autres activits criminelles, comme le trafic d’tres humains, de drogues et d’armes« .
Chris Inglis a fait remarquer qu’une attaque par ransomware n’est pas un vnement ponctuel ou limit dans le temps auquel on peut rapidement remdier et que l’on peut ensuite oublier. « Il s’agit d’un vnement qui change la vie et qui a des effets durables. La perte de confiance des clients, la perte de la cyber-assurance, les poursuites rglementaires… cette surveillance ne disparat jamais« .
Voici les consquences majeurs d’une attaque :
- Perturbation des activits
- Fermetures temporaires ou dfinitives
- Atteinte la marque
- Perte de revenus ou de clients
- Amendes, poursuites judiciaires et annulation de la cyber-assurance
- Plus de 80 % de toutes les brches impliquent un abus d’informations d’identification
- Licenciements et dmissions
Peu d’entreprises disposent d’une protection ddie l’identit
Le systme d’identit, en particulier Active Directory, est dsormais le primtre de scurit des entreprises. La numrisation de l’entreprise moderne a limin l’ide d’un primtre dfensif, crant un paysage complexe pour les professionnels de la scurit et une vaste surface d’attaque pour les cybercriminels. En l’absence de sauvegardes spcifiques AD, exemptes de logiciels malveillants, et d’un plan de reprise d’activit cyber-spcifique test, la reprise d’activit sera prolonge, ce qui augmentera le risque que l’organisation dcide de payer une ranon pour rtablir ses activits.
Chris Inglis souligne : « Au centre de toute cette discussion se trouve la viabilit de l’entreprise : la capacit de l’entreprise raliser ses aspirations et ses engagements au nom de ses actionnaires et de ses clients. Les attaquants tentent de la mettre en pril afin de pouvoir vous convaincre de les racheter. S’ils parviennent attaquer l’identit, ils dtiennent alors un privilge qu’ils peuvent utiliser leur avantage.«
Jeff Wichman, Directeur principal de la rponse aux incidents, ajoute : « Tout est li au cur de l’accs. Une fois qu’un attaquant obtient un accs de niveau 0, vous disposez d’un temps limit pour protger le reste de l’infrastructure.«
Mickey Bresman confirme : « Chaque minute d’indisponibilit du systme d’identit est extrmement pnible. J’ai discut avec un client qui a test le plan de reprise d’Active Directory (AD) avec les systmes qu’il avait en place. Il a conclu que l’attnuation d’une attaque lui prendrait sept jours. C’est inacceptable, car cela signifie que tout le reste de l’organisation sera galement en panne pendant sept jours.«
Du mme avis, Simon Hodgkinson dclare : « Je ne suis pas surpris que la majorit des ransomwares ciblent le systme d’identit. Si un attaquant veut crer un impact maximal pour extorquer de l’argent, il veut prendre le contrle de votre environnement – et il voudra absolument possder Active Directory. Une fois Active Directory compromis, les acteurs de la menace dtiennent les cls de votre royaume.«
Pourquoi les organisations ne donnent-elles pas la priorit la dfense contre les ransomwares ?
Les organisations sont confrontes de multiples dfis pour mettre en place une stratgie de dfense contre les ransomwares. La plupart des personnes interroges ont indiqu que leur principal obstacle la rsilience tait le manque de soutien de la part du conseil d’administration.
Chris Inglis fait remarquer qu’une cyberscurit efficace ncessite une approche en trois volets comprenant la doctrine de l’entreprise, le renforcement des comptences et la technologie. Premire tape : Expliquer la valeur de la scurit fonde sur l’identit en termes commerciaux.
« La technologie peut nous aider analyser et valuer ce qui se passe, instant aprs instant« , explique Chris Inglis. « Elle peut nous aider ragir et rcuprer plus rapidement. Mais ce dont nous avons le plus besoin aujourd’hui, c’est d’une prise de conscience collective que nous avons tous un rle jouer. Cela commence par le conseil d’administration, et non par l’atelier informatique. Le conseil d’administration est responsable ; la SEC l’a clairement indiqu. Les rglementations sont de plus en plus claires : la cyberscurit est une question commerciale.«
Voici les principaux obstacles la cyberscurit dans les entreprises :
- Manque de soutien du conseil d’administration
- Contraintes budgtaires
- Systmes obsoltes ou anciens
- Manque de personnel
- Rglementation en matire de cyberscurit
Sean Deuby, Technologue principal de Semperis, conclut : « Les gens ont tendance consacrer leurs ressources et leurs efforts la protection des points d’accs. Mais les acteurs de la menace passeront par-dessus le point d’accs. Et une fois qu’ils sont l’intrieur du rseau, ils passent par tout le systme d’identit. De quelle dfense disposez-vous lorsque cela se produit ? Parce qu’une fois qu’ils possdent votre systme d’identit, ils ont tous les pouvoirs. Si votre systme d’identit tombe en panne, aucune de vos autres solutions ne fonctionnera.«
A propos de Semperis
En tant que leaders de la cyberscurit et experts en Active Directory (AD), Semperis admet que la scurit de l’identit est la cl de la rsilience oprationnelle. Pour plus de 90 % des entreprises d’aujourd’hui, si AD n’est pas scuris, rien ne l’est. De nombreuses entreprises parmi les plus importantes au monde font confiance Semperis pour les aider protger AD et Azure AD contre l’escalade des cyber-menaces.
Source : Semperis
Et vous ?
Pensez-vous que cette tude est crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :