Jamais autant de données n'ont été cryptées par un ransomware

Selon l'étude globale "État des ransomwares en 2023" de Sophos, les cybercriminels en Suisse parviennent à chiffrer les données dans 91 % (76 % au niveau international) des attaques de ransomware visant des organisations. D'un point de vue international, il s'agit du taux de chiffrement des données par ransomware le plus élevé depuis que le fournisseur de services de sécurité informatique a publié son rapport annuel sur les ransomwares pour la première fois en 2020. L'enquête a été menée entre janvier et mars auprès de 3 000 cadres supérieurs dans le domaine de la cybersécurité/de l'informatique dans 14 pays. 

Le paiement de la rançon double les coûts de restauration

D'un point de vue mondial, l'enquête montre que les entreprises qui ont payé une rançon pour décrypter leurs données ont en outre doublé leurs coûts de récupération (750.000 dollars de coûts de récupération contre 375.000 dollars pour les entreprises qui ont utilisé des sauvegardes pour récupérer leurs données). En outre, le paiement de la rançon implique généralement un temps de récupération plus long : 45 % des entreprises qui ont utilisé des sauvegardes ont pu récupérer les données en une semaine, contre 39 % des entreprises qui ont payé la rançon.

Nombre de cryptages de données à un niveau élevé

Au total, 75 % des entreprises interrogées en Suisse (66 % au niveau international) ont été attaquées par des ransomwares. Cela indique que le nombre d'attaques de ransomware est resté constamment élevé malgré le recul supposé pendant les années de pandémie. "Après une baisse temporaire pendant la pandémie, les taux de chiffrement sont remontés à un niveau très élevé, ce qui est préoccupant. Les criminels du ransomware ont affiné leurs méthodes d'attaque et accéléré leurs attaques afin de réduire le temps pendant lequel les défenseurs pourraient contrecarrer leurs plans", a déclaré Chester Wisniewski, Field CTO, Sophos, en mettant en perspective les résultats de l'étude. "Le coût des incidents augmente considérablement lorsque la rançon est payée. La plupart des victimes ne seront pas en mesure de récupérer tous leurs fichiers en achetant simplement les clés de chiffrement ; elles devront également effectuer des sauvegardes. Le paiement de la rançon enrichit non seulement les criminels, mais ralentit également la réaction à l'incident et augmente les coûts dans une situation déjà dévastatrice", poursuit Wisniewski.

Faiblesses exploitées

Lors de l'analyse de la cause des attaques de ransomware, les points de départ les plus fréquents en Suisse étaient une faille exploitée 27 % (36 % au niveau international) et des données d'accès compromises 25 % (29 % au niveau international). Cela coïncide avec les récentes les connaissances en matière de réponse aux incidents de la "2023 Rapport Active Adversary pour les dirigeants d'entreprise" de Sophos pour répondre aux incidents sur le terrain.

L'étude révèle également les autres résultats suivants :

• Dans 34 % des cas de ransomware avec chiffrement des données en Suisse, les pirates ont également volé des données. Cela indique que cette méthode "double-dip" (cryptage et exfiltration des données) est de plus en plus fréquente.
• Au niveau international, c'est le secteur de l'éducation qui signale le plus grand nombre d'attaques de ransomware : 79 % des organisations interrogées dans l'enseignement supérieur et 80 % des organisations interrogées dans l'enseignement inférieur déclarent avoir été victimes d'un ransomware.
• Au total, 38 % (46 % au niveau international) des organisations interrogées en Suisse dont les données ont été cryptées ont payé une rançon et ont récupéré des données. Toutefois, d'un point de vue international, les paiements de rançon ont été beaucoup plus fréquents dans les grandes organisations. Plus de la moitié des entreprises ayant un chiffre d'affaires de 500 millions de dollars ou plus ont payé la rançon, le taux le plus élevé étant signalé par les entreprises ayant un chiffre d'affaires de plus de 5 milliards de dollars. Cela pourrait s'expliquer en partie par le fait que les grandes entreprises sont plus susceptibles de disposer d'une police d'assurance cyber indépendante couvrant les paiements de rançon.

Conseils contre les ransomwares et le cryptage des données

"Deux tiers des entreprises déclarent avoir été victimes de ransomware pour la deuxième année consécutive. La clé pour réduire ce risque est de réduire drastiquement à la fois le temps de détection et le temps de réaction. La chasse aux menaces dirigée par l'homme est très efficace pour arrêter ces criminels, mais les alertes doivent être examinées et les criminels supprimés des systèmes en quelques heures, et non pas pendant des semaines ou des mois. Les analystes expérimentés peuvent identifier les modèles d'intrusion active en quelques minutes et passer immédiatement à l'action. C'est probablement ce qui fait la différence entre le tiers des entreprises qui restent en sécurité et les deux tiers qui ne le sont pas. Les entreprises doivent être en alerte 24 heures sur 24 pour mettre en place une défense efficace de nos jours", a déclaré Wisniewski.

Les spécialistes de la sécurité informatique donnent les trois conseils suivants pour se protéger contre les ransomwares, le cryptage des données et autres cyberattaques :

1. Renforcer les boucliers de défense par :

• des outils de sécurité qui bloquent les vecteurs d'attaque les plus courants. Ceux-ci devraient inclure une protection des terminaux avec de puissantes fonctions anti-exploit pour empêcher l'exploitation des vulnérabilités, et Zero Trust Network Access (ZTNA) pour déjouer l'utilisation abusive d'informations d'identification compromises.
• Des technologies adaptatives qui répondent automatiquement aux attaques, perturbent les attaquants et donnent aux défenseurs le temps de réagir.
• Détection, enquête et réaction aux menaces 24h/24 et 7j/7. Soit en interne, soit par l'intermédiaire d'un fournisseur spécialisé de Managed Detection and Response (MDR)

2. optimiser la préparation aux attaques, notamment en effectuant des sauvegardes régulières, en testant la restauration des données à partir des sauvegardes et en maintenant un plan de réponse aux incidents à jour
3. maintenir une bonne hygiène de sécurité, notamment en appliquant des correctifs en temps utile et en vérifiant régulièrement les configurations des outils de sécurité

Source : Sophos