37% des organisations ont été la cible d’une ou plusieurs attaques de ransomware ces douze derniers mois. Seules 13 % disent ne pas avoir payé…

«Les ransomwares ont évolué. Ils sont plus sophistiqués, se déplacent latéralement, élèvent les privilèges, échappent activement à la détection, exfiltrent les données et tirent parti de l’extorsion multiforme», commente Frank Dickson, Program Vice President, Security & Trust, IDC.

Selon plusieurs rapports cette année, les ransomwares font rage, quel que soit le pays ou le secteur. Et le mouvement n’est pas près de faiblir. Certaines statistiques montrent que le nombre d’attaques mondiales par ransomware a augmenté de 50 % par rapport à l’année dernière. Les attaques par ransomware rencontrent donc un franc succès.

Payer ou pas… Qui dit la vérité ?

Selon le cabinet Vanson Bourne, plus d’un quart des victimes paient la rançon, une situation qui encourage les attaquants à continuer dans leur méfait. Dans son dernier rapport, paru voici quelques jours, IDC, relève que seules 13% des organisations qui ont subi une attaque ayant bloqué l’accès à leurs systèmes ou données disent «ne pas avoir payé» une rançon. Pour d’autres qui indiquent avoir payé dans l’espoir de reprendre le contrôle de leurs actifs, le montant moyen versé a atteint 250 000 USD par demande de rançon.

Toujours selon IDC, les entreprises actives dans les secteurs de la production manufacturière et de la finance ont enregistré les taux d’incident les plus élevés sur la période étudiée. Et pour ceux qui ont été victimes d’un ransomware, il n’est pas rare d’avoir connu plusieurs événements…

Systèmes de sauvegarde, environnements virtualisés…

Dernières victimes majeures en date, Accenture et Kayesa. Sans compter les centaines de millions d’attaques par force brute au quotidien… Les attaquants ne manquent pas de ressources. Ces derniers mois, nombre d’attaques visent les systèmes de sauvegarde. La faute, en général, à une adhérence au domaine Active Directory trop prononcée. Autrement dit : après avoir mis la main sur un contrôleur de domaine, l’attaquant peut accéder aux systèmes de sauvegarde et les saboter.

Ce n’est pas tout. Un nombre croissant d’assaillants s’en prennent délibérément aux environnements virtualisés. La motivation derrière cette tactique est la furtivité. Afin d’éviter d’éveiller les soupçons ou de déclencher les logiciels antivirus, la charge utile du ransomware se ‘cache’ dans une VM tout en chiffrant les fichiers de l’ordinateur hôte…

Diverses actions en réponse

Une plus grande sensibilisation aux incidents de ransomware a incité les organisations à entreprendre diverses actions en réponse. Il s’agit notamment de :

– examiner et de certifier les pratiques de sécurité et de protection/récupération des données avec les partenaires et les fournisseurs;

– tester périodiquement les procédures de cyber-réponse;

– encourager le partage accru des renseignements sur les menaces avec d’autres organisations et/ou agences gouvernementales.

L’expérience digitale fait la différence

Une plus grande sensibilisation aux incidents a également incité les conseils d’administration à revoir les pratiques de sécurité et les procédures de réponse aux ransomwares.

L’analyse des résultats de l’enquête a également montré que les organisations qui sont plus avancées dans leurs efforts de transformation numérique étaient moins susceptibles d’avoir connu un événement de ransomware. Ce sont des organisations qui se sont engagées dans un plan d’investissement d’expérience digitale à long terme avec une approche pluriannuelle liée à la stratégie d’entreprise.