Discussion :

[Sandra Coret]

La France, 4ème pays le plus touché au monde en 2021 - le ransomware sera-t-il le virus le plus menaçant en 2022 ?

Les attaques par ransomware (ou rançongiciel) ont augmenté de 255% depuis 2020 d’après l’ANSSI. Parmi les secteurs les plus touchés, la finance et l’assurance arrivent en première place, suivis par l’industrie, l’énergie puis le retail.

Parce que cette attaque n’arrive pas qu’aux autres, trois étapes sont essentielles pour s’en prémunir : connaître la menace ; prendre conscience de ses conséquences sur les organisations ; mettre en place des solutions technologiques et pédagogiques.

Retour sur cette cyberattaque qui s’annonce comme la plus menaçante de l’année 2022 avec Cassie Leroux, Cheffe Produit chez Mailinblack.

Cassie Leroux

Un virus à la propagation exponentielle

Le ransomware est un logiciel malveillant qui bloque l’accès à vos outils informatiques et à vos données en les chiffrant. Une fois cryptées, ces dernières peuvent être bloquées, détruites ou exploitées sur des marchés parallèles à prix d’or. Pour récupérer ces données, le cybercriminel demande le paiement d’une rançon en échange d’une clé de décryptage.

Menace importante en 2021, le ransomware constitue 60% des attaques observées par le CERT-Wavestone. La France est le 4ème pays le plus touché au monde après le Canada, le Royaume-Uni et les Etats-Unis. Dans 56% des cas, les victimes n'avaient pas anticipé être la cible potentielle d'une cyberattaque et dans 90% des cas, des données ont été perdues irrémédiablement.

Des conséquences lourdes sur les organisations

Le coût moyen d’une attaque par ransomware est estimé à 7 000€ pour une TPE et à 300 000€ pour une PME très affectée. Au-delà du coût de la rançon (222 000€ en moyenne) s’ajoutent des coûts indirects comme la réparation et le rachat de matériel, l’intervention d’équipes compétentes, et l’interruption de l’activité qui sont 5 à 10 fois plus élevés que le montant de la rançon.

En moins d’un an, le coût moyen de reprise d’activité après une attaque par ransomware a plus que doublé. Les organisations touchées subissent également une dégradation de leur réputation : 61% des utilisateurs ont perdu confiance en elles, et 31% ont mis fin à leurs relations avec elles.

L’humain : cible numéro 1 des cyber attaquants

Le ransomware est majoritairement véhiculé par email et se cache dans une pièce-jointe vérolée ou derrière un lien malveillant. Les pirates informatiques exploitent des failles technologiques et humaines telles que le manque de connaissance en cybersécurité des collaborateurs. Ils misent également sur la détresse des victimes pour obtenir le paiement de la rançon. La sauvegarde de données, la mise à jour des outils digitaux et les technologies de protection de messagerie sont essentiels mais ne suffisent aujourd’hui plus à se prémunir de ce type d’attaque.

Dans 99 % des cas (Harvard Business Review), l'humain est la cible prioritaire des cyber attaquants. Avec plus de 80% des attaques qui transitent par email, la sensibilisation et la formation des collaborateurs sont essentielles à la pérennité des organisations. Des outils pédagogiques tels que des simulations d'attaques inopinées et régulières permettent de tester, d’éduquer et de faire prendre conscience aux collaborateurs des conséquences potentielles sur leur organisation.

À propos de Mailinblack

Fondée en 2003, Mailinblack est société française qui rend la cybersécurité accessible à toutes les organisations. Ses équipes, constituées de 70 collaborateurs basés à Marseille, conçoivent, développent et hébergent en France ses solutions de cybersécurité. Parmi elles, la solution Protect (protection de messagerie contre malware, phishing, ransomware, spam, scam...) ou encore l’outil de sensibilisation et de formation Phishing Coach.

Source : Mailinblack

Et vous ?

Trouvez-vous cette étude pertinente ?
Pensez-vous que le ransomware sera la plus grande menace pesant sur les entreprises en 2022 ?
Comment les entreprises doivent-elles s'y prendre pour se prémunir au maximum des attaques de ransomware ?

Voir aussi :

Les ransomwares et les effets économiques à long terme de la COVID-19 sur les marchés et les organisations sont les principaux problèmes des auditeurs en 2022, selon Gartner

Tendances cybersécurité : 2022 devrait voir un renforcement des législations et des normes de sécurité, mais aussi une inquiétante montée en puissance des ransomwares et des risques technologiques

Les attaques par ransomware ont augmenté de 250 % au cours du premier semestre de 2021, les utilisateurs seront confrontés à une attaque toutes les 11 secondes au cours du second semestre

Le risque organisationnel lié aux attaques de ransomware perpétrées durant les week-end et jours fériés se confirme, ainsi que le manque de préparation des entreprises françaises, selon Cybereason

[GLDavid]

Bonjour

La tendance ne pourra que s'accentuer. Au cours de 2021, mes équipes ont été appelés par 2 clients touchés par des ransomwares dont une big-pharma française.
Et à chaque fois, tout part d'une ouverture malheureuse d'un mail. Et comme est au tout-réseau dans les entreprises, je vous laisse imaginer les dégâts.
Comment s'en prémunir? Je dirais:
1) Former le personnel du CEO au stagiaire sur les hameçonnages et les risques
2) Revoir les architectures réseaux pour au moins endiguer la menace
3) Mettre à jour les postes autant que faire se peut

@++

[Fagus]

Comment les entreprises doivent-elles s'y prendre pour se prémunir au maximum des attaques de ransomware ?

Sinon il y a mettre le courriel et le navigateur dans une VM ou une sandbox. C'est moins pratique, mais c'est compliqué d'en sortir pour le malware...
Faut aussi des logiciels qui détectent les courriels douteux (genre les pièces jointes exécutables ou avec macro, les URL qui pointent vers autre chose que ce qui est affiché...)

L'éducation c'est indispensable, mais moi qui estime connaître vaguement le sujet (pour avoir déjà forgé des courriels spoofés, testé des charges), ça m'est arrivé de me faire avoir comme tout le monde et c'est un logiciel qui a détecté la menace.

Il suffit que le courriel soit visuellement parfait et indistinguable de l'authentique, qu'il contienne des infos personnelles, que les domaines soient crédibles... (franchement, vous connaissez tous les domaines légitimement contrôlés par les diverses boîtes ? personne n'a de politique à ce sujet, ça se crée, ça se révoque en silence. jeu : devinez quel(s) domaine(s) est légitime bnppvoyage.spb.eu ; mabanque.bnpparibas ; bnp.fr ; bnp.net ; bnpparibas-am.fr )

[Karadoc]

Sinon il y a mettre le courriel et le navigateur dans une VM ou une sandbox.

Ça a ses limites. Essentiellement parce que l'utilisateur a besoin d'utiliser ce qui lui est transmis par mail hors de l'environnement sandboxé, mais aussi parce que la sandbox a, de fait, besoin d'accéder au réseau.
Il n'y a pas tellement de solution efficace. Les EDR sont un début, mais posent d'autres questions critiques suivant les technologies (en particulier sur les données effectivement analysées par ceux-ci, sur la protection du secret industriel et des affaires lorsqu'on met intègre un agent tiers qui a quasi tous les droits sur un postes, sur la possibilité qu'ils portent eux-mêmes des failles de sécurité...).
La seule solution pérenne, c'est la sauvegarde hors-ligne, externalisée et redondée, mais les volumes de données sont parfois tels qu'il est difficile d'avoir l'infrastructure pour la faire (en terme d'espace disque, mais aussi de débit réseau et de temps).
L'autre point assez critique est que de nombreuses attaques par ransomware ne sont pas automatisées, mais l'œuvre d'humains, qui font de l’ingénierie sociale (parfois basique) pour optimiser leurs attaques (en particulier en connaissant les périodes de congés, ce qui leur permet de prendre le temps d'étudier les réseaux attaqués depuis l'intérieur afin de cibler non seulement les données, mais aussi les sauvegardes, y compris en démarrant via le WoL des postes éteints et en reprogrammant des jeux entiers de cartouches de sauvegarde pour les monter une à une et les chiffrer.
Ils ont l'habitude des topologies réseau d'entreprise, savent rapidement où chercher et où faire des dégâts, n'ont besoin que d'une poignée d'heures pour lancer des actions qui, elles, peuvent prendre tout un weekend pour se propager à l'intégralité des systèmes.

[calvaire]

au boulot si l'url semble valide je clique.

mais sinon j'ai une astuce qui marche à 100% chez soit:
quand je reçois un mail des impots, ma banque, d'amazon, d'amelie de mon assurance ou autre, je vais sur le site (que j'ai mis dans mon historique) et je regarde. Je clique jamais sur l'url contenue dans le mail
au boulot c'est pas de la mauvaise foi mais c'est souvent des fichiers stocké dans un sharepoint, onedrive ou dans des sous section de gitlab, bref c'est introuvable à la main.

[cassieleroux]

1) Former le personnel du CEO au stagiaire sur les hameçonnages et les risques

Mailinblack rejoins totalement votre constat @GLDavid. Pour preuve, nous fêtons les 1 ans de notre solution Phishing coach, et l'entrainement commence à porter ses fruits. Nos clients les plus actifs, ayant simulé au minimum 5 attaques (Phishing ou Ransomware) par collaborateurs, ont vu leur vulnérabilité diminuer de 40%. Le risque zéro n'existe pas certes, mais la formation des collaborateurs semble être la meilleure défense.

Sinon il y a mettre le courriel et le navigateur dans une VM ou une sandbox.

@Fagus @Karadoc, je vous rejoins : la formation doit bien évidemment être accompagné de barrières technologiques. Mailinblack propose la solution Protect : un antispam et antivirus puissant pour accompagner les entreprises au quotidien. Les sandbox et EDR apparaissent comme de très bonnes solutions complémentaires, mais montrent toutes leurs limites.