Une nouvelle étude mondiale sur les ransomwares, menée auprès de près de 1 000 organisations de divers secteurs d'activité, révèle que la plupart des entreprises sont confrontées à une série ininterrompue de violations, une grave épidémie qui les place en permanence dans le collimateur des gangs de ransomwares. L'étude de Semperis montre également que 39 % des entreprises attaquées aux États-Unis, au Royaume-Uni, en France et en Allemagne ont payé une rançon quatre fois ou plus au cours des 12 derniers mois.
Plus de 80 % des attaques de ransomware ont fini par compromettre le système d'identité d'une entreprise, tel que Microsoft Active Directory (AD) ou Entra ID, alors que seulement 27 % des entreprises n'ont pas mis en place de plan de récupération dédié à AD ou Entra ID. Le rapport montre que 87 % des attaques ont perturbé l'activité de l'entreprise, même pour ceux qui ont payé la rançon, notamment en raison de la perte de données et de la nécessité de mettre les systèmes hors service. Pour 16 % des personnes interrogées, l'attaque a créé un dilemme de vie ou de mort.
Le paiement d'une rançon ne garantit pas non plus le retour à des activités normales : 35 % des victimes qui ont payé une rançon n'ont pas reçu de clés de déchiffrement ou ont reçu des clés corrompues. Les délais de rétablissement sont également médiocres : 49 % des personnes interrogées ont eu besoin d'un à sept jours pour rétablir les opérations commerciales et les fonctionnalités informatiques minimales après une attaque par ransomware, et 12 % d'entre elles ont eu besoin de sept jours ou plus.
"Pour que la direction et le conseil d'administration décident en connaissance de cause de ne pas payer la rançon, ils doivent savoir combien de temps prendra la reprise et avoir confiance dans le processus. Cela signifie que vous devez tester votre plan dans un scénario aussi proche que possible de la réalité et le présenter au conseil d'administration avant qu'une attaque ne se produise. Ainsi, en cas de catastrophe, les décideurs auront eu confiance dans leur capacité à dire "non" aux attaquants", déclare Mickey Bresman, PDG de Semperis.
Chris Inglis, conseiller stratégique de Semperis et premier directeur national de la cybersécurité (NSA) aux États-Unis déclare "Étant donné que les organisations d'aujourd'hui sont menacées 24 heures sur 24 et 7 jours sur 7, on ne peut jamais dire "je suis en sécurité" ou prendre un moment de repos. Le mieux que vous puissiez faire est de rendre votre environnement défendable, puis de le défendre".
Rapport sur les risques liés aux ransomwares
L'étude de Semperis révèle que 74 % des organisations ciblées par des ransomwares ont été attaquées à plusieurs reprises et que 78 % des organisations victimes ont payé une rançon, ce qui met en évidence un cycle de violations qui entraîne des dommages croissants en termes de pertes de revenus, de coûts opérationnels et, dans certains cas, de santé et de sécurité des personnes.
Chris Inglis ajoute : "Nous devons partir du principe que la menace est omniprésente. Il ne s'agit pas seulement des cas notoires dont nous entendons parler tous les trimestres ou presque. Cela se produit tous les jours, tous les jours, dans un grand nombre d'entreprises."
Fréquence, gravité et conséquences alarmantes des attaques
Les ransomwares, qui étaient autrefois une menace sporadique, sont devenus des adversaires implacables. Les groupes criminels orchestrent de multiples attaques en succession rapide, en exploitant les vulnérabilités des organisations. Les systèmes critiques, y compris Microsoft Active Directory, sont une cible privilégiée.
L'étude révèle des statistiques inquiétantes pour les responsables des entreprises, de l'informatique et de la sécurité :
- 83% des organisations interrogées ont été victimes d'une attaque par ransomware au cours des 12 derniers mois
- 74% des victimes de ransomware ont été attaquées plusieurs fois
- 78% des victimes ont payé une rançon (32% ont payé 4 fois ou plus)
- 35% des victimes qui ont payé une rançon n'ont pas reçu de clés de déchiffrement ou n'ont pas pu récupérer leurs fichiers et leurs biens.
Simon Hodgkinson, Conseiller stratégique de Semperis, commente : "Lorsque des attaques multiples se produisent, elles ont tendance à se succéder rapidement. Ces données suggèrent que de nombreuses bandes criminelles exploitent les vulnérabilités des organisations pour déclencher une deuxième ou une troisième attaque malveillante - dans certains cas, simultanément."
Faire face aux ransomwares
Les entreprises subissent des attaques réussies de ransomware plusieurs fois au cours de la même année, ce qui entraîne des fermetures, des licenciements, une perte de revenus et de confiance de la part des clients, et l'annulation de la cyber-assurance.
- 74% des entreprises ont été attaquées par un ransomware non pas une fois, mais plusieurs fois - 54 % le même jour et la plupart en l'espace d'une semaine.
- 78% des organisations ciblées ont payé la rançon - 72 % l'ont payée plusieurs fois et 32 % l'ont payée quatre fois ou plus.
Mickey Bresman, PDG de Semperis, déclare : "Le coût de ce que vous payez à un groupe de ransomware ne signifie pas que les dommages s'arrêteront là. Et certaines attaques ne sont pas motivées par l'argent ; elles visent plutôt à provoquer le chaos et des perturbations."
Les attaques entraînent des pertes de données et des interruptions d'activité, même pour les victimes disposant de sauvegardes générales
Les attaques par ransomware provoquent des perturbations généralisées et omniprésentes, même pour les organisations qui ont mis en place des sauvegardes générales. Les attaquants s'introduisent dans les systèmes par le biais de systèmes d'exploitation intégrés, de technologies obsolètes qui n'ont pas fait l'objet de mises à jour de sécurité régulières et de portes dérobées oubliées depuis longtemps.
Guido Grillenmeier, Technologue principal de Semperis (EMEA), commente : "D'une manière générale, la complexité augmente et on ne peut pas faire grand-chose en une journée. L'informatique en nuage n'a pas allégé le fardeau ni réduit la complexité opérationnelle. Vous devez partir du principe que des activités malveillantes se déroulent sur votre réseau, et vous devez être en mesure de les trouver et de les annuler."
Les entreprises peuvent-elles dire "non" aux ransomwares ?
Bien que 70 % des personnes interrogées aient mis en place un plan de récupération des identités, seules 27 % d'entre elles disposaient de systèmes de sauvegarde dédiés et spécifiques. 61 % des victimes de ransomware ont eu besoin de plus d'une journée pour récupérer des fonctionnalités informatiques minimales, ce qui a prolongé les interruptions d'activité.
- 72% des victimes ont payé la rançon plusieurs fois
- 32% ont payé la rançon 4 fois ou plus
Ainsi, pourquoi les entreprises ont-elles payé une rançon ? De nombreuses personnes interrogées ont indiqué qu'elles avaient payé une rançon parce qu'elles souhaitaient reprendre leurs activités normales le plus rapidement possible. D'autres, en particulier dans le secteur des technologies de l'information et des télécommunications, ont payé parce qu'elles disposaient d'une cyber-assurance pour couvrir les coûts. D'autres encore ont estimé que la menace pesant sur les patients, les clients, leur entreprise ou leur réputation valait le prix de la rançon.
Malheureusement, le paiement d'une rançon ne garantit pas la réception de clés de déchiffrement utilisables. En outre, les attaquants utilisent souvent les ransomwares pour diffuser des logiciels malveillants qui peuvent réinfecter les systèmes ou causer d'autres dommages.
Le coût réel des ransomwares
Dans toute organisation complexe, les décisions relatives au budget, au personnel et aux ressources en matière de sécurité sont un exercice d'équilibre. Toutefois, dans le cas des ransomwares, il se peut que les dirigeants prennent ces décisions sans avoir une connaissance complète des coûts potentiels d'une attaque. Le paiement d'une rançon ne garantit pas la réception de clés de déchiffrement utilisables. En outre, les attaquants utilisent souvent les ransomwares pour diffuser des logiciels malveillants qui peuvent réinfecter les systèmes ou causer d'autres dommages. Une attaque réussie coûte généralement beaucoup plus cher que le paiement d'une rançon.
Les attaques par ransomware causent des dommages collatéraux qui vont bien au-delà du paiement de la rançon. Le paiement de la rançon n'est que le début des coûts engendrés par une attaque de ransomware.
"Le coût du paiement de la rançon n'est pas la somme totale des dommages réels", déclare Mickey Bresman, PDG de Semperis. "Certaines attaques ne sont pas motivées par l'argent, mais visent plutôt à provoquer le chaos et des perturbations. En outre, l'argent que vous payez est utilisé pour d'autres activités criminelles, comme le trafic d'êtres humains, de drogues et d'armes".
Chris Inglis a fait remarquer qu'une attaque par ransomware n'est pas un événement ponctuel ou limité dans le temps auquel on peut rapidement remédier et que l'on peut ensuite oublier. "Il s'agit d'un événement qui change la vie et qui a des effets durables. La perte de confiance des clients, la perte de la cyber-assurance, les poursuites réglementaires... cette surveillance ne disparaît jamais".
Voici les conséquences majeurs d'une attaque :
- Perturbation des activités
- Fermetures temporaires ou définitives
- Atteinte à la marque
- Perte de revenus ou de clients
- Amendes, poursuites judiciaires et annulation de la cyber-assurance
- Plus de 80 % de toutes les brèches impliquent un abus d'informations d'identification
- Licenciements et démissions
Peu d'entreprises disposent d'une protection dédiée à l'identité
Le système d'identité, en particulier Active Directory, est désormais le périmètre de sécurité des entreprises. La numérisation de l'entreprise moderne a éliminé l'idée d'un périmètre défensif, créant un paysage complexe pour les professionnels de la sécurité et une vaste surface d'attaque pour les cybercriminels. En l'absence de sauvegardes spécifiques à AD, exemptes de logiciels malveillants, et d'un plan de reprise d'activité cyber-spécifique testé, la reprise d'activité sera prolongée, ce qui augmentera le risque que l'organisation décide de payer une rançon pour rétablir ses activités.
Chris Inglis souligne : "Au centre de toute cette discussion se trouve la viabilité de l'entreprise : la capacité de l'entreprise à réaliser ses aspirations et ses engagements au nom de ses actionnaires et de ses clients. Les attaquants tentent de la mettre en péril afin de pouvoir vous convaincre de les racheter. S'ils parviennent à attaquer l'identité, ils détiennent alors un privilège qu'ils peuvent utiliser à leur avantage."
Jeff Wichman, Directeur principal de la réponse aux incidents, ajoute : "Tout est lié au cœur de l'accès. Une fois qu'un attaquant obtient un accès de niveau 0, vous disposez d'un temps limité pour protéger le reste de l'infrastructure."
Mickey Bresman confirme : "Chaque minute d'indisponibilité du système d'identité est extrêmement pénible. J'ai discuté avec un client qui a testé le plan de reprise d'Active Directory (AD) avec les systèmes qu'il avait en place. Il a conclu que l'atténuation d'une attaque lui prendrait sept jours. C'est inacceptable, car cela signifie que tout le reste de l'organisation sera également en panne pendant sept jours."
Du même avis, Simon Hodgkinson déclare : "Je ne suis pas surpris que la majorité des ransomwares ciblent le système d'identité. Si un attaquant veut créer un impact maximal pour extorquer de l'argent, il veut prendre le contrôle de votre environnement - et il voudra absolument posséder Active Directory. Une fois Active Directory compromis, les acteurs de la menace détiennent les clés de votre royaume."
Pourquoi les organisations ne donnent-elles pas la priorité à la défense contre les ransomwares ?
Les organisations sont confrontées à de multiples défis pour mettre en place une stratégie de défense contre les ransomwares. La plupart des personnes interrogées ont indiqué que leur principal obstacle à la résilience était le manque de soutien de la part du conseil d'administration.
Chris Inglis fait remarquer qu'une cybersécurité efficace nécessite une approche en trois volets comprenant la doctrine de l'entreprise, le renforcement des compétences et la technologie. Première étape : Expliquer la valeur de la sécurité fondée sur l'identité en termes commerciaux.
"La technologie peut nous aider à analyser et à évaluer ce qui se passe, instant après instant", explique Chris Inglis. "Elle peut nous aider à réagir et à récupérer plus rapidement. Mais ce dont nous avons le plus besoin aujourd'hui, c'est d'une prise de conscience collective que nous avons tous un rôle à jouer. Cela commence par le conseil d'administration, et non par l'atelier informatique. Le conseil d'administration est responsable ; la SEC l'a clairement indiqué. Les réglementations sont de plus en plus claires : la cybersécurité est une question commerciale."
Voici les principaux obstacles à la cybersécurité dans les entreprises :
- Manque de soutien du conseil d'administration
- Contraintes budgétaires
- Systèmes obsolètes ou anciens
- Manque de personnel
- Réglementation en matière de cybersécurité
Sean Deuby, Technologue principal de Semperis, conclut : "Les gens ont tendance à consacrer leurs ressources et leurs efforts à la protection des points d'accès. Mais les acteurs de la menace passeront par-dessus le point d'accès. Et une fois qu'ils sont à l'intérieur du réseau, ils passent par tout le système d'identité. De quelle défense disposez-vous lorsque cela se produit ? Parce qu'une fois qu'ils possèdent votre système d'identité, ils ont tous les pouvoirs. Si votre système d'identité tombe en panne, aucune de vos autres solutions ne fonctionnera."
A propos de Semperis
En tant que leaders de la cybersécurité et experts en Active Directory (AD), Semperis admet que la sécurité de l'identité est la clé de la résilience opérationnelle. Pour plus de 90 % des entreprises d'aujourd'hui, si AD n'est pas sécurisé, rien ne l'est. De nombreuses entreprises parmi les plus importantes au monde font confiance à Semperis pour les aider à protéger AD et Azure AD contre l'escalade des cyber-menaces.
Source : Semperis
Et vous ?
Pensez-vous que cette étude est crédible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :
Une entreprise du classement Fortune 50 a payé une rançon record de 75 millions de dollars au groupe de ransomware Dark Angels, alors que les gouvernements déconseillent de payer, car cela encourage les pirates
L'IA va accroître le nombre et l'impact des cyberattaques : Les ransomwares étant susceptibles d'en être les plus grands bénéficiaires au cours des deux prochaines années
Augmentation de 49 % du nombre de victimes signalées par les sites de fuite de ransomware en 2023, en raison de l'impact massif des attaques qui exploitent des vulnérabilités de type "zero-day"