Ransomware : peut-on mettre fin à un business model bien huilé ?

Ransomware rançongiciel cyberattaques

  • L’année 2022 a été marquée par une évolution de la menace cyber : le nombre d’attaques par rançongiciel s’est stabilisé à un niveau significatif (190 cyberattaques avec rançongiciels en août selon Lemag IT ), mais les attaques moins visibles à des fins d’espionnage et de déstabilisation persistent et se complexifient.
  • La progression des cyberattaques par rançongiciel, s’explique en grande partie par un rapport risque/rentabilité très attractif. Pour inverser la tendance, il s’agirait de s’attaquer à leur modèle économique en renchérissant leur coût (et la complexité de l’attaque) et en diminuant la probabilité des gains.

Plusieurs portes d’entrée possibles

Un email de phishing avec une pièce-jointe vérolée envoyé à des centaines d’employés, un ordinateur mal sécurisé ou des failles de sécurité applicative non corrigées sur un VPN… le ransomware n’a que l’embarras du choix pour arriver à ses fins et faire chanter ses victimes. « Le principal accès pour une cyberattaque, c’est la messagerie » indique Adrien Gendre, Chief Tech & Product Officer chez Vade. 

Fin août, le CH Sud Francilien de Corbeil-Essonnes en fait les frais. Et il est loin d’être le seul : « 80 piratages d’hôpitaux officiellement revendiqués par des pirates pour le premier semestre de l’année » révèle Félix Aimé, chercheur en cybersécurité chez Sekoia.io.

Les attaques par rançongiciel se professionnalisent

L’appât du gain. A n’en pas douter, c’est la motivation des groupes de cybercriminels bien rodés, qui agissent comme de véritables entreprises. Avec l’industrie du ransomware as a service, les logiciels de rançon sont commercialisés clé en main sur le darkweb, avec même un support technique par chat pour les victimes ! Pendant que certains développent les attaques, d’autres les vendent et d’autres encore les exécutent. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Cependant, la riposte s’organise. « Des outils de détection permettent de stopper et de contrer les attaques au plus tôt, tandis que des plans de continuité renforcent la résilience des organisations », précise Laurent Tombois, Country manager France Bitdefender.

XDR – Comment s’y retrouver entre fausses promesses et réalités ?

Perçues comme l’évolution naturelle des technologies EDR, les technologies XDR doivent permettre de faire face à des attaques toujours plus ciblées, parfois simultanées, et utilisant des TTPs (techniques, outils et procédures) de plus en plus sophistiqués. Les promesses des technologies XDR sont nombreuses : surface de protection étendue, vision complète et en temps réel du paysage des menaces, capacités de détection augmentées, réponse à incident plus cohérente, investigations et remédiation plus efficace, optimisation des ressources et réduction des coûts opérationnels… si bien que tous les spécialistes de la détection et de la réponse à incident sont loin d’être tous d’accord sur sa définition. Alors, comment le RSSI peut-il s’y retrouver ? Selon David Bizeul, Chief Scientific Officer chez Sekoia.io : « Les clients ne se soucient pas d’un produit de cybersécurité, ils se soucient de ne pas avoir à s’en soucier ».

Ainsi, le XDR doit réunir trois fonctions indissociables : « Une détection efficace – capable de repérer dans les événements du système d’information ceux qui sont les plus intéressants et qui présentent une caractérisation de menace. L’investigation simplifiée – i.e. permettant de resserrer progressivement les mailles du filet jusqu’à cibler la cause initiale de la menace. Et la réponse rapide et complète – i.e. disposer de plans de réponses automatisables et pouvant s’appliquer à tous les composants du système d’information ».

Les menaces modernes étant plus insaisissables que jamais, de nouvelles technologies telles que l’XDR collectent et mettent en corrélation des données depuis plusieurs couches de sécurité : les emails, les endpoints, les serveurs, les charges de travail dans le cloud et le réseau. Laurent Tombois, Country manager France Bitdefender : « Avant de procéder à la protection et à l’application de correctifs, il est également extrêmement important pour les organisations de disposer d’un inventaire exhaustif des actifs et de leur état – vous ne pouvez pas protéger ce que vous ne savez pas que vous possédez ».

Le point de vue des experts cyber

Adrien Gendre, Vade « Une entreprise aura beau mettre en place le système de sécurité anti-ransomware le plus sophistiqué qui soit, il ne la protégera pas si les collaborateurs ne savent pas comment éviter les risques » 

David Bizeul, Sekoia.io « Les solutions actuelles de détection et de réponse centrées exclusivement sur le poste de travail ne sont pas suffisantes en termes de couverture et de performance, tout simplement parce qu’il existe, dans la plupart des infrastructures modernes, des objets d’intérêt cyber que les EDR ne peuvent tout bonnement pas voir ».

Laurent Tombois, Bitdefender « L’XDR offre aux équipes de sécurité une visibilité totale sur leur organisation et les aide à minimiser les temps de réponse aux cyberattaques ».

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.

Partager cet article

Nos billets d’humeur les plus lus

A l’ère du deepfake politique, nos démocraties sont-elles en danger ?

Utilisée par les candidats pour mener leur campagne, ou pour déstabiliser un adversaire,…

Comment réinventer la cybersécurité à l’ère de l’IA ?

Jeux Olympiques, élections... 2024 : une actualité favorable à l'accélération de l’IA.……

Cyber security copywriter : Comment réussir son copywriting en cybersécurité ?

Cyber security copywriter : Comment réussir son copywriting en cybersécurité ?

Sur le marché, de multiples éditeurs et intégrateurs se livrent une véritable bataille…