Ransomware : 9 idées reçues contredites par la réalité des cyberattaques

Idée reçue n° 1, relevée par Allan Liska : les acteurs du rançongiciel « visent » certains secteurs d’activité plus que d’autres 

Les cyberdélinquants ne visent pas un secteur d’activité plutôt qu’un autre. Ils attaquent des organisations pour lesquelles ils ont obtenu des « accès » : une porte d’entrée dans le système d’information. La surreprésentation de certains secteurs d’activité par rapport à d’autres, parmi les victimes, traduit surtout des écarts de maturité en matière de cybersécurité, de préparation, et de moyens techniques et humains. Brett Callow souligne que cela n’empêche pas que les cyberdélinquants puissent se montrer sélectifs quant aux systèmes d’information qu’ils choisissent d’attaquer, ne serait-ce que pour maximiser leurs chances de monétisation de leurs méfaits.

• Ransomware : les chiffres d’un phénomène explosif
• 2020 : l’Anssi et Acyma tirent le bilan d’une année explosive sur le front des cyberattaques
• Ransomware : les dépôts de plainte ne sont pas encore systématiques

Idée reçue n° 2, relevée par Allan Liska : la plupart des attaques avec ransomware touchent aujourd’hui des entreprises ou des organisations professionnelles

Les particuliers continuent d’être touchés par des cyberattaques avec ransomware. Particuliers et PME constituent la majorité des victimes, relève Brett Callow. Mais ces attaques ont un impact considérablement plus faible et moins visible. Elles sont dès lors bien moins médiatisées. En outre, elles n’impliquent généralement pas de groupes de cyberdélinquants pratiquant la double-extorsion et menaçant de divulguer des données dérobées lors de l’intrusion. Enfin, les données de cybermalveillance.gouv.fr suggèrent que, soit les attaques contre des particuliers se sont raréfiées, soit ceux-ci demandent rarement de l’aide.

• Ransomware : ceux qui font le plus parler d’eux ne sont (toujours) pas les plus répandus

Idée reçue n° 3, relevée par Brett Callow : notre entreprise est trop petite pour intéresser des attaquants

Les cybermalfaiteurs s’attaquent aux organisations de toutes tailles. Cela ne signifie pas que certains ne sont pas spécialisés, à titre individuel, sur certains profils d’organisations plutôt que sur d’autres, du fait de leurs ambitions, de leur expérience et de leurs compétences. Mais globalement, il n’y a pas d’entreprise trop petite pour être intéressante pour les attaquants. Des victimes de toutes tailles ont été observées au cours des années passées.

• Ransomware : ces rançons payées qui plaident en faveur de la cyberassurance
• À quel point la cyberassurance fait-elle le jeu du ransomware ?

Idée reçue n° 4, relevée par Allan Liska : la cyberassurance paiera la rançon, alors je n’ai pas besoin de me préparer à l’éventualité d’une attaque

Faire indemniser le paiement d’une rançon par son assurance cyber, ne doit pas permettre de faire l’économie d’un nettoyage en profondeur du système d’information. Des attaquants ont montré qu’ils conservaient des données d’authentification volées chez leurs victimes. Celles-ci peuvent leur permettre de revenir. En outre, rien n’assure que d’autres cybermalfaiteurs ne disposaient pas aussi de portes d’entrée : un second groupe peut passer à l’attaque après un premier. Enfin, relève Allan Liska, un nombre croissant de cyberassurances ont indiqué ne plus vouloir, explicitement, couvrir le paiement de rançons, dont Axa et récemment Generali, en France.

• Sodinokibi : ce ransomware que le groupe Elior peine à digérer
• Ransomware : passé par ici, il repassera par là
• Les assureurs se penchent sur la posture de cybersécurité de leurs clients

Idée reçue n° 5, relevée par Allan Liska : mon pare-feu et ma protection des postes de travail et des serveurs vont me garder à l’abri

Une fois dans le système d’information de l’entreprise, profitant d’une vulnérabilité critique sur un système exposé sur Internet, ou d’une campagne de malspam, les attaquants n’ont que faire de la sécurité périmétrique offerte par le pare-feu. D’autres systèmes de sécurité réseau sont nécessaires. Les systèmes de protection des serveurs et des postes de travail sont quant à eux insuffisants : il n’est pas rare que les attaquants les désactivent tout simplement avant de déployer et déclencher leur ransomware. Brett Callow souligne qu’une protection en couches multiples est nécessaire, avec authentification à facteurs multiples, segmentation réseau, etc. L’idée est que chaque couche de protection a ses failles ; en multipliant les couches, on réduit le risque que ces failles s’alignent pour ouvrir un boulevard aux assaillants.

• Ces vulnérabilités qui nécessitent plus qu’un correctif
• Détecter Trickbot avant qu’il ne soit trop tard… et que Ryuk ne détone
• Emotet : comment éviter une cyberattaque conduite avec ce malware ?

Idée reçue n° 6, relevée par Brett Callow : les sauvegardes sont la meilleure défense contre les rançongiciels

Les sauvegardes ne constituent pas une protection contre les rançongiciels. Tout d’abord, elles ne manquent pas d’être elles-mêmes compromises, voire endommagées, par les attaquants, lorsque l’architecture du système d’information leur permet d’y accéder. Lorsque ce n’est pas le cas, elles s’intègrent surtout dans une stratégie plus large de résilience, pour remettre l’entreprise sur pieds. Enfin, elles ne sont d’aucun secours contre la menace de divulgation de données volées dans le cadre d’attaques misant sur une tactique de double extorsion.

• Ransomware : quand les attaquants détruisent les sauvegardes
• Face aux ransomwares, traiter les sauvegardes comme l’ultime bastion

Idée reçue n° 7, relevée par Brett Callow : les attaques sont hautement sophistiquées et difficiles à prévenir

Les victimes mettent souvent en avant une prétendue sophistication des attaques. Mais dans la pratique, cette communication vise surtout à cacher des défaillances béantes dans les pratiques de sécurité de la victime. Les attaques ne sont pas nécessairement faciles à détecter et à bloquer, mais réduire leurs chances de succès est possible, parfois même avec des moyens peu sophistiqués et une hygiène de sécurité rigoureuse.

• Toutes les attaques avec rançongiciel ne se valent pas
• Ransomware : ce que recommandent les cybercriminels pour se protéger
• Ransomware : une préparation solide en 20 mesures

Idée reçue n° 8 : payer la rançon va faire de moi un « bon client » (et je m’expose à être attaqué à nouveau)

Cette crainte a notamment été alimentée avec un sondage, dont les résultats ont été publiés par Cybereason en juin 2021. Elle est ravivée par l’édition 2024 de l’étude de l’éditeur sur le coût des cyberattaques. Mais elle ne trouve pas de confirmation dans les observations de terrain. Certaines organisations sont bien attaquées à diverses reprises. Plusieurs cas d’entreprises n’ayant pas payé la rançon et ayant fait l’objet de revendications d’attaques ont d’ailleurs été documentés, au cours des dernières années. Mais les revendications croisées suggèrent plutôt l’implication d’un assaillant ayant simultanément recours à plusieurs franchises.

Le fait d’être attaqué à nouveau traduit surtout un effort de reprise d’activité trop hâtif : le système d’information n’a pas été proprement nettoyé ; les leçons de l’attaque n’ont pas été dûment retirées. Des nouveaux attaquants – voire les mêmes – ont ainsi pu revenir à la charge.

• Ce que l’AMRAE dit en filigrane de la posture de sécurité des entreprises
• Ransomware : combien de victimes en devenir qui s’ignorent encore ?
• Cyberattaque : deux rançongiciels pour un seul attaquant ?
• Quand deux revendications ne sont pas synonymes de deux attaquants

Idée reçue n° 9 : le télétravail a contribué à la multiplication des cyberattaques

Les cyberdélinquants ont cherché à profiter de thèmes associés à la pandémie de Covid-19 et aux confinements. Mais ils ne se sont pas montrés plus agressifs pour autant. Emsisoft a même observé une baisse du nombre d’attaques contre le secteur public outre-Atlantique au premier trimestre 2020.

Le télétravail n’a pas non plus rendu les organisations plus vulnérables : la seule protection périmétrique a fait largement la démonstration de ses limites contre les ransomwares. En outre, le poste de travail nomade d’un utilisateur n’est pas intrinsèquement plus vulnérable qu’un ordinateur de bureau, à compter toutefois que les mesures de protection appropriées aient été mises en place par l’entreprise, notamment pour la messagerie électronique ou le contrôle des identités et des accès.

Initialement publié le 4 février 2022. Mis à jour le 17 février 2022, le 13 novembre 2023, puis le 18 mars 2024.