Au cours des dernières années, les attaques de ransomwares ont continué de se développer et sont devenues de plus en plus intenses. Davantage d'entreprises ont été visées en 2021, le nombre d'attaques atteignant un pic en France, frappant une entreprise tous les deux jours, avec plus de 200 victimes entre août et novembre. Et ce record risque de doubler en 2022 ! Ces retours montrent que les rançongiciels restent l'une des principales armes de l'arsenal cybercriminel et continuent de dominer le paysage des cybermenaces. 2021 peut être considérée comme une année charnière en ce qui concerne la généralisation de ce type d’attaque.



La multiplication des attaques couplée à l'émergence de nouveaux modèles économiques développés par ces acteurs malveillants, augure de nouveau une forte progression des rançongiciels cette année. 

Ainsi, selon un rapport de Vanson Bourne , les motifs d’engagement en matière de réponse aux incidents en 2020-2021 concernait des ransomwares dans 79% des cas. Il est donc nécessaire pour les entreprises de développer des stratégies et de les mettre en place pour empêcher la propagation de ces attaques.

Tous ces éléments réunis nous ont décidé à proposer aux entreprises qui le souhaitent un plan d’accompagnement pour les aider à mieux se protéger face à ces attaques et pour assurer une continuité de l’activité et minimiser les pertes financières en cas d’intrusion. Cédric Lamouche , expert en cybersécurité chez Agaetis nous explique dans cet entretien les enjeux actuels autour de la cybersécurité et plus précisément des ransomware ainsi que notre proposition d’accompagnement. 

Pour commencer, qu’est-ce qu’un ransomware et quel est le risque d’une attaque  ?

Un ransomware ou rançongiciel est un logiciel malicieux qui va venir s’installer sur un poste de travail ou un serveur pour qu’un pirate puisse prendre la main et découvrir l’ensemble du réseau. Son but est de rendre inopérant le maximum de services et de matériels dans une infrastructure informatique, de voler des informations et enfin de chiffrer toutes les données afin de les rendre illisibles. Une fois que l’attaquant à réussi à tout bloquer, il demande une rançon en crypto monnaie pour donner en échange une potentielle clé de déchiffrement.

Qui sont les acteurs qui commettent ce genre d’attaques ? 

Ça peut aller du jeune attaquant qui veut s’amuser à la bande organisée qui a développé un business model appelé Ransomware As A Service. Aujourd’hui il est très facile et peu coûteux de trouver des kits prêt à l’emploi pour mener ce type d’attaque.

Quel est l’intérêt, le but d’une telle attaque pour ceux qui la commette ?

La motivation première est l’argent car les moyens à mettre en œuvre sont vraiment faibles. Le retour sur investissement est vite atteint. Souvent le vol de données est fait pour donner une pression supplémentaire et faire chanter l’entreprise attaquée. De nos jours, il est plus facile de faire une cyber attaque que d’aller voler le coffre fort d’une entreprise.

Le hackeur doit-il connaître l’entreprise qu’il attaque ? 

Non, et c’est ce qui est le plus imprévisible. Car la plupart des attaques sont réalisées à  l’aveugle avec des outils automatisés qui vont envoyer des attaques en masse. Les attaquants ont développé des techniques et des systèmes de rapport automatique qui les informe en temps réel sur les attaques en cours, celles qui ont abouties, si des données ont été chiffrées, si la rançon a été envoyée…

Cette facilité de mise en œuvre ainsi que l’automatisation, l’industrialisation du processus d’attaque et la faible sécurisation des entreprises (un firewall et un antivirus ne suffisent aujourd’hui plus), induisent une augmentation croissante de ce type d’attaques. 

La guerre en Ukraine représente-t-elle un risque pour nos SI et doit-on s’inquiéter ?  

C’est un facteur aggravant qu’il ne faut pas sous-estimer mais depuis les 5 dernières années il y a une forte augmentation des attaques de type ransomware. Il faut surtout bien comprendre les dégâts collatéraux de cette guerre et les sanctions économiques infligées à la Russie. Car, pour tous ses habitants, le niveau de vie va fortement s’y dégrader, y compris pour les bandes organisées de pirates. Ce qui les motivera encore plus à accélérer ce genre d’attaque pour garder un certain niveau de vie…

Existe-t-il un schéma type d’une attaque ? 

On connaît bien les modes d’attaques, la première cible est le maillon le plus faible :  l’utilisateur. Ensuite, une fois la faille créée, les données de l’entreprise ouvertes sur internet deviennent également une source d'intérêt pour les attaquants.

Il existe 2 cibles principales : L’utilisateur qui est le maillon le plus faible et les ressources exposées sur Internet de façon non maîtrisée.

Voici la chaîne d’attaque la plus utilisée :

Payer la rançon est-elle la solution lorsque l’on ne sait pas comment réagir ?  

Non surtout pas, souvent le montant demandé fait d’ailleurs réfléchir. Ce temps de réflexion permet d e demander conseils auprès des entreprises spécialisées mais aussi de se rapprocher de l’ANSSI via la plateforme cybermalveillance.gouv.fr.

Peut-on être sûr de récupérer la clé de cryptage après avoir versé la somme demandée ?  

Il n’y a aucune garantie… Il arrive quelquefois que le ransomware utilisé soit connu et que les clés de déchiffrements soient disponibles mais cela reste très rare et représente un faible pourcentage dans les attaques.

Dans tous les cas, il me paraît difficile de faire confiance à une personne ou à une organisation qui vous a volé ou essai de vous escroquer.

Peux-tu nous donner des conseils pour se prévenir de ces attaques ? 

Si on part du principe que l’on ne peut pas éviter l’attaque, il faut raisonner en se questionnant sur “comment je m’assure de pouvoir continuer ou reprendre une activité rapidement suite à ce type d’attaque”. 

Il est très important de bien connaître son infrastructure afin de détecter des points faibles et prendre des mesures pour limiter les impacts. Voici une liste non exhaustive des choses essentielles à mettre en place/réaliser dans son entreprise :

• Sensibiliser les collaborateurs.
• Déterminer les éléments essentiels à l’activité de l’entreprise afin de durcir la sécurité sur les matériels et équipements qui portent ces activités.
• Avoir un plan B pour continuer ou reprendre une activité.
• Et bien sûr s’assurer que ce plan B fonctionne correctement.

Qu’est-ce que le plan de protection que propose Agaetis ?  

Agaetis a, depuis plusieurs mois, bâti un plan d’accompagnement pour aider les entreprises à mieux se protéger face à ces attaques pour assurer une continuité de l’activité et minimiser les pertes financières. 

Nous avons mis en place une offre avec plusieurs options selon la maturité de l’entreprise en cyber défense.

Quels sont les différents éléments de cette offre et leurs intérêts ? 

Nous avons développé des offres qui s’articulent autour de la chaîne d’attaque habituellement employées par les attaquants. Nous intervenons à différents niveaux pour auditer, évaluer, mesurer des écarts et proposer un plan d’action.

Cela va de la sensibilisation des utilisateurs, aux audits de l’infrastructure et des active directory en passant par les tests d'intrusion.

Notre réponse pour assurer une continuité d’activité : 

En conclusion, il est très important pour une entreprise, et ce tous secteurs confondus, de se former et de former ses équipes à ce que l’on pourrait appeler les gestes des premiers secours de cybersécurité . Car même si le ransomware est l’attaque la plus répandue actuellement et la plus connue, il existe d’autres façons pour un pirate de rentrer dans votre système d’information…  Dans le contexte actuel et l’augmentation des menaces cyber, être capable de repérer une tentative d’intrusion peut vous éviter de perdre vos données et de vous retrouver dans une situation délicate et sous la menace d’une rançon. En cas d'attaque, savoir quelles attitudes adopter est à coup sûr ce qui fera la différence à l’heure du bilan.

Pour plus d’informations sur nos accompagnements autour de la cybersécurité rendez-vous ici .