Cinq points à retenir pour se préparer aux rançongiciels

Les attaques au rançongiciel deviennent de plus en plus courantes, de plus en plus efficaces et de plus en plus coûteuses, malgré les progrès des outils défensifs. Voici ce que vous devez savoir pour préparer votre entreprise.

Les attaques au rançongiciel ne sont pas nouvelles, mais elles préoccupent de plus en plus les entreprises. Jusqu’à il y a dix ou quinze ans, elles n’étaient qu’une nuisance. Elles pouvaient bloquer les systèmes de leur cible ou crypter les données, mais elles avaient rarement d’autres répercussions.

Entre-temps, les systèmes de défense ont évolué, mais les attaques aussi.

Dans les dernières années en particulier, les rançongiciels ont été considérés comme un problème technique que l’on pouvait résoudre avec des outils et des technologies de cybersécurité. Mais ils ont évolué et leurs auteurs trouvent toujours de nouveaux moyens de contourner les obstacles.

Aujourd’hui les attaques sont plus sophistiquées et plus graves que jamais et le montant des rançons est sensiblement plus élevé. Selon les résultats canadiens du sondage Global Digital Trust Insights de PwC, 39 % des répondants s’attendent à une hausse de ces attaques en 2023. Pourtant, la grande majorité des entreprises n’y sont pas adéquatement préparées.

Cinq facteurs à prendre en considération

Il est possible de se préparer pour une attaque au rançongiciel, mais cela requiert d’examiner les risques d’un point de vue opérationnel, et non technique seulement. Voici cinq points à retenir.

1. Les attaques au rançongiciel sont un crime financier facilité par la technologie

Toute attaque au rançongiciel a un motif financier et, malheureusement, la plupart réussissent. Mettre en place des défenses technologiques est essentiel, mais n’est plus suffisant pour protéger votre entreprise.

Les rançonneurs ont maintes fois prouvé leur habileté à contourner vos systèmes de sécurité. Le seul moyen garanti de mettre fin à leurs attaques est de ne pas payer. Mais ce scénario, quoiqu’idéal, n’est tout simplement pas réaliste.

Mais il y a tout de même une solution, à condition de combiner protection et préparation. Considérer les attaques comme un crime financier facilité par la technologie, et non strictement comme un cybercrime, permet d’envisager les risques de façon plus holistique. 

2. Les attaques au rançongiciel deviennent plus sophistiquées et plus graves

La plupart des rançonneurs procèdent désormais à une exfiltration des données, c’est-à-dire à un transfert de données à partir d’un appareil ou d’un réseau, ce qui ajoute un autre niveau de risque.

En théorie, les attaques au rançongiciel deviennent plus sophistiquées parce que les entreprises se défendent de mieux en mieux. Cela dit, les modes d’attaque modernes permettent souvent de contourner la plupart des protections de base des entreprises.

Les rançongiciels-service réduisent encore davantage les barrières, car les rançonneurs n’ont même plus besoin de développer leur propre logiciel. Par ailleurs, de nombreuses attaques se font encore par hameçonnage, si bien que les entreprises qui ne font pas l’effort de former leurs employés deviennent des cibles plus faciles. Certains rançonneurs lancent même des attaques secondaires pour ajouter de la pression.

Les probabilités d’éviter ou de prévenir une attaque au rançongiciel sophistiquée sont difficiles à calculer avec précision, mais tenir pour acquis que votre entreprise sera attaquée à un moment ou un autre permet de mieux s’y préparer.

3. Les rançonneurs exigent des sommes de plus en plus élevées

Les rançonneurs procèdent souvent à une double extorsion : ils demandent un premier paiement pour rendre les données ou fournir une clé de déchiffrement et un second pour détruire leur copie des données ou pour ne pas les rendre publiques.

Les attaques réussissent souvent et les logiciels de rançon sont de plus en plus accessibles. Cette accessibilité, en revanche, fait que les attaques sont moins bien préparées qu’on ne peut le penser. On accorde parfois trop de crédit à des rançonneurs qui, en fait, font des essais pour voir ce qui fonctionne. Par conséquent, si de nombreux rançonneurs planifient leurs attaques et ciblent les entreprises riches, il est très probable que de nombreux autres soient des amateurs.

Il est difficile de calculer le coût des attaques au rançongiciel étant donné les différences par rapport aux autres types de cyberattaques. Car il y a non seulement des menaces de panne des systèmes et de perturbations des activités, mais aussi des risques financiers ou réputationnels, sans compter les coûts des litiges éventuels.

Se préparer à répondre à ces attaques pourrait par conséquent permettre à votre entreprise d’éviter les pertes de temps et d’argent. Comprendre les risques des points de vue financier, opérationnel, réputationnel et réglementaire permet également de mieux décider s’il faut payer ou non.

4. Les rançonneurs sont rarement poursuivis en justice

Les autorités manquent souvent de ressources pour poursuivre les rançonneurs. La plupart du temps, les attaques sont lancées à partir de pays où il n’est pas possible de les poursuivre. Bien que l’on entende parfois parler d’arrestations et de condamnations, la politique joue beaucoup dans ces situations.

Pour la plupart, les rançonneurs pensent qu’ils peuvent attaquer des entreprises en toute impunité. Ils ont raison et cela n’est pas près de changer.

5. Les statistiques sur les attaques au rançongiciel ne sont souvent pas fiables

On a souvent essayé de quantifier le problème, mais il n’existe tout simplement pas de statistiques fiables. Les entreprises qui paient n’ont pas intérêt à ce que cela se sache.

Il est difficile d’affirmer avec certitude, sans preuve empirique à l’appui, que les attaques qui fonctionnent sont plus nombreuses. Leur fréquence, cependant, laisse penser qu’elles réussissent souvent.  

En fait, la plupart des attaques réussies n’apparaissent pas dans les médias et ne sont souvent pas déclarées. Par conséquent, si les données dont nous disposons laissent penser que le problème est grave, il l’est probablement beaucoup plus en réalité. Lorsqu’une attaque au rançongiciel fait la une des médias, il est bon de vous demander comment votre entreprise réagirait dans la même situation.

L’attaque contre le Health Service Executive par le rançongiciel Conti est un exemple à lire.   

Payer ou ne pas payer, là est la question

Payer ou ne pas payer une rançon est une décision à laquelle la plupart des entreprises ne sont pas préparées. D’un point de vue moral (et selon les autorités), il ne faut évidemment pas payer. Mais la réalité des affaires est souvent très différente, particulièrement lorsque c’est une question de vie ou de mort et que des infrastructures essentielles sont en jeu.

Pour couronner le tout, la décision doit être prise dans un délai souvent très court. Les rançonneurs accordent généralement 72 heures. Mais il est rare, même après trois jours, que les entreprises disposent d’une information suffisante sur ce qui est arrivé et sur les répercussions possibles pour prendre une décision éclairée.

Ce délai très court est évidemment délibéré — les rançonneurs savent que 72 heures ne suffisent pas pour bien comprendre les risques associés à l’attaque. Mais si vous aviez plus de temps? Si vous vous posiez la question dès aujourd’hui plutôt que d’attendre d’y être forcé par un rançonneur?

Se préparer aux attaques au rançongiciel

Les cyberattaques sont nombreuses et, pour certaines entreprises, constantes. Les plus préparées savent comment y répondre sur le plan technique et connaissent les systèmes dont elles ont besoin pour s’en sortir et reconstruire. Mais les attaques au rançongiciel ne sont plus uniquement techniques.

Il est donc urgent pour les entreprises d’envisager les risques au-delà de l’aspect technique, bien que celui-ci reste important. La plupart ne l’ont pas encore fait suffisamment. Ce sont pourtant ces risques qui ont le plus d’impact.

Aujourd’hui, la plupart des décisions à prendre pour réagir à une demande de rançon sont des décisions d’affaires et relèvent de facteurs multiples. Mais en fin de compte, elles dépendent du degré de préparation.

Voici quelques mesures à prendre pour se préparer aux attaques au rançongiciel :

Faites une évaluation de votre préparation afin d’identifier vos forces et vos faiblesses. Si vous subissez une attaque au rançongiciel, vous serez assuré de disposer du soutien nécessaire — immédiatement.

Recherchez les failles dans vos polices d’assurance. De nombreux assureurs ne garantissent plus les sinistres dus aux rançongiciels.

Évitez des sanctions financières sérieuses liées à certains rançonneurs. Même si vous êtes convaincu de faire ce qu’il faut, assurez-vous qu’il n’existe pas de conséquence inattendue à votre décision de payer ou non.

Envisagez la négociation. Il pourrait être bon d’ouvrir la porte à une négociation avec vos rançonneurs. Cela pourrait permettre de gagner du temps, de confirmer ou d’infirmer l’exfiltration des données ou même de faire baisser le montant.

Inventoriez les types de données que vous possédez. Si elles sont volées, vous aurez une idée exacte des risques auxquels vous êtes exposés.  

Déterminez quelle sera votre politique concernant le paiement d’une rançon, tout en gardant la souplesse nécessaire pour vous adapter aux circonstances.

Réunissez les principaux intervenants internes concernés et travaillez ensemble à votre défense. Assurez-vous que l’équipe de direction, le conseil d’administration et l’ensemble de l’entreprise sont préparés.  

Pensez à un fournisseur de services gérés (FSG). Faites appel à un FSG capable d’assurer une surveillance permanente de vos systèmes et de repérer les premières attaques sur le plan technique. Cela est particulièrement important étant donné la pénurie de talents qualifiés en ce moment.

Formez un groupe d’intervenants externes prêts à agir en votre nom, notamment des experts en sécurité et en investigation pour la réaction aux incidents, des experts en communication pour gérer les répercussions sur votre réputation et une équipe juridique pour protéger la confidentialité de vos actions.

Conclusion : N’attendez pas d’être attaqué pour agir

Attendre une attaque au rançongiciel pour agir revient à attendre un tremblement de terre pour créer un plan de reprise après sinistre — il sera peut-être trop tard pour réparer certains dommages. Il faut également savoir qu’il n’est plus possible aujourd’hui de prévenir toutes les attaques au rançongiciel, même avec les meilleures défenses techniques. Il est préférable de partir du principe que l’entreprise subira une attaque à un moment ou à un autre, et d’en prévoir les conséquences sur l’ensemble des activités.

Contactez-nous

Naren Kalyanaraman

Naren Kalyanaraman

Associé et leader national, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada

Tél. : +1 416 815 5306

Joseph Coltson

Joseph Coltson

Associé, leader national, Enquêtes cyberjudiciaires, PwC Canada

Tél. : +1 416 687 8262

Suivre PwC Canada