Articles
SPONSORISÉ Avis d’expert

Comment les ransomwares accélèrent la transformation cyber

par Rémi Pactat, Senior Manager, Louis Larmignat, Senior Consultant, Wavestone Switzerland

Mieux structurés, plus rentables, les groupes malveillants multiplient les attaques ransomwares. Face à cette professionnalisation des cyberattaquants, les organisations mobilisent leurs RSSI et DSI. Etat des lieux de ces programmes de sécurisation anti-ransomware.

Rémi Pactat, Senior Manager, Louis Larmignat Senior Consultant, Wavestone Switzerland. (Source: zVg)
Rémi Pactat, Senior Manager, Louis Larmignat Senior Consultant, Wavestone Switzerland. (Source: zVg)

Un changement de dimension de la menace

En réponse à l’augmentation des cyber-attaques impliquant des ransomwares, les Etats affirment leur volonté de souveraineté numérique.

En Suisse, où l’office fédéral de la statistique rapporte 1514 incidents cyber de type "Extorsion et chantage" en 2021, le conseil fédéral a approuvé 25 postes supplémentaires dédiés à la protection contre les cyber-risques, et a fait du NCSC (le centre national pour la cybersécurité) un office fédéral à part ­entière. La suite de la Stratégie Nationale de Protection de la Suisse contre les Cyber-risques 2018-2022 (SNPC), qui a permis l’émission de normes minimales – notamment pour les gestionnaires d’infrastructures critiques – se développera d’ici la fin de l’année pour couvrir également les PMEs ou encore le grand public.

Observons également que les arrestations récentes de certains groupes cybercriminels en Europe et même en Suisse, tels que LockerGoga, MegaCortex et Dharma, témoignent des efforts entrepris sur le terrain judiciaire.

 

Pas d’accalmie à l’horizon

Ces réactions étatiques n’ont cependant pas enrayé le volume des attaques ransomware en 2022. Et pour cause: les moyens d’attaque sont plus avancés et rendus accessibles par tout un écosystème criminel.

On observe l’émergence d’acteurs spécialisés, qui "offrent" un vaste catalogue de services: intrusion SI via des "Access Brokers", création de ransomwares sur-mesure via des plateformes de "Malware as a Service", blanchiment des cryptomonnaies collectées... C’est toute une organisation qui s’est mise en place au service du cybercrime!

Les ransomwares représentent 60% des attaques sur lesquelles le CERT Wavestone (notre équipe de réponse aux cyber-
attaques) est intervenu au cours des 12 derniers mois. Dans l’ensemble des cas, l’Active Directory (AD), un des systèmes centraux du SI, était compromis. Dans 21% des cas, les backups de l’entreprise étaient également impactés, ce qui augmente ­significativement la pression vis-à-vis du paiement de la rançon.

Dans ce contexte, notre benchmark de maturité cyber nous amène à estimer qu’un quart des grandes organisations sont aujourd’hui encore dans une situation critique vis-à-vis de la menace ransomware.

 

Overview

 

Quels programmes de sécurisation mettre en place?

Par le caractère exceptionnel des crises cyber qui ont touché leur secteur, nos clients ont souvent obtenu des budgets supplémentaires et dédiés à cette menace. Ces investissements leur permettent de mettre en place des plans d’action spécifiques.

Ces programmes reposent sur quatre piliers:

  1. La protection contre les intrusions

  2. L’enraiement des possibilités d’amplification

  3. La mise en place de capacités de détection appropriées

  4. L’amélioration des capacités de cyber-résilience

 

Nos observations révèlent trois projets fondamentaux pour tous ces programmes:

  • Sécurisation de l’Active Directory (AD): rationalisation et durcissement, externalisation de backups sous forme chiffrée, mise en place d’un modèle renforcé pour la gestion des comptes à hauts privilèges.

  • Data Protection: renforcement des plateformes de backup ­notamment par la diversification technologique, l’isolation ­réseau et des identités. Certaines grandes organisations étu-
    dient ou ont déployé des infrastructures de nouvelle généra-
    tion, reposant sur les principes d’immutabilité, d’Air Gap, ou apportant des garanties pour une restauration sécurisée.

  • Cyber-Résilience: préparation à la reconstruction des systèmes et applications critiques, mise à niveau et exercice des capacités de gestion de crise, identification de scénarios de continuité métier sans IT notamment.

 

Témoignage de l’importance accordée à cette menace par les directions générales de nos clients: dans certaines organisations, le bonus des DSI et RSSI sont maintenant directement indexés sur la réussite de ces programmes de protection!

Rappelons que tout programme de sécurité doit reposer sur une analyse des risques de votre organisation, considérant ses enjeux métiers particuliers et son écosystème technologique
propre.

Webcode
DPF8_266828
Lire aussi
Back to top