À l’occasion de VeeamON 2022, Veeam dévoile les résultats de son étude 2022 Ransomware Trends Report, selon laquelle les cybercriminels réussissent à chiffrer en moyenne 47 % des données de production et les victimes ne parviennent à récupérer que 69 % des informations touchées.Les entreprises sont en train de perdre la bataille contre les attaques de ransomwares. Selon l’étude Veeam® 2022 Ransomware Trends Report, 72 % d’entre elles ont subi des attaques sur tout ou partie de leurs répertoires de sauvegarde, ce qui a un impact considérable sur leur capacité à récupérer leurs données sans payer de rançon. Veeam Software, leader des solutions de sauvegarde, de restauration et de gestion assurant la protection moderne des données, révèle que 80 % des attaques réussies ont ciblé des vulnérabilités connues, d’où l’importance accrue de corriger et mettre à jour les logiciels. La quasi-totalité des auteurs d’attaques ont tenté de détruire les répertoires de sauvegarde afin d’empêcher la victime de récupérer ses données sans verser de rançon.
Le rapport Veeam 2022 Ransomware Trends Report reprend les résultats d’une enquête réalisée par un cabinet indépendant auprès d’un millier de responsables informatiques dont les entreprises ont subi une attaque de ransomware réussie au moins une fois au cours des 12 derniers mois, ce qui est en fait l’une des plus vastes études de cette nature. Cette étude sans précédent examine les principaux enseignements tirés de ces incidents, leur impact sur les environnements informatiques ainsi que les mesures prises pour la mise en œuvre de stratégies de protection moderne des données destinées à assurer la continuité d’activité. L’enquête s’est focalisée sur quatre métiers de l’informatique (RSSI, professionnels de la sécurité, administrateurs de sauvegarde, responsables des opérations informatiques) afin de comprendre l’alignement de ces métiers quand il s’agit de préparation face à la cybersécurité.
« Les ransomwares ont mis le vol de données à la portée du plus grand nombre et exigent des entreprises qu’elles redoublent d’efforts collaboratifs dans chaque secteur afin de se doter d’une capacité maximale de protection pour remédier aux attaques et s’en remettre sans payer de rançon », observe Danny Allan, CTO de Veeam. « Payer les cybercriminels pour restaurer ses données n’est pas une stratégie de protection des données. Il n’existe en effet aucune garantie de récupérer les données, les risques d’atteinte à la réputation et de perte de confiance des clients sont élevés et, surtout, cela alimente une prophétie autoréalisatrice qui récompense une activité criminelle. »
Payer la rançon n’est pas une stratégie de récupération des données
Parmi les entreprises interrogées, la majorité (76 %) des victimes de cyberattaques a payé la rançon pour y mettre fin. Tandis que les 52 % ayant cédé au chantage ont pu récupérer leurs données, les 24 % restantes n’y sont malheureusement pas parvenues, ce qui signifie que, dans un cas sur trois, le versement de la rançon ne permet pas de retrouver ses données. Il est à noter que 19 % des entreprises n’ont pas eu à payer, car elles ont pu restaurer leurs sauvegardes. C’est précisément l’objectif de 81 % des victimes de cyberattaques.
« L’une des caractéristiques d’une stratégie solide de protection moderne des données est l’engagement d’appliquer une politique claire selon laquelle l’entreprise ne payera jamais de rançon mais fera tout ce qui est en son pouvoir pour prévenir, résoudre et récupérer des attaques », ajoute Danny Allan. « En dépit de la menace omniprésente et inévitable que représentent les ransomwares, le discours affirmant que les entreprises sont impuissantes pour y faire face est erroné. Il faut former les collaborateurs afin qu’ils respectent une cyberhygiène impeccable, procéder régulièrement à des tests rigoureux de vos solutions et protocoles de protection des données, et établir des plans détaillés de continuité d’activité qui préparent les acteurs clés aux pires scénarios. »
La prévention requiert la diligence de l’IT comme des utilisateurs
La « surface d’attaque » des cybercriminels est variée. Ceux-ci commencent le plus souvent par accéder à des environnements de production en profitant des erreurs d’utilisateurs qui cliquent sur des liens malveillants, consultent des sites web non sécurisés ou répondent à des e-mails de phishing, ce qui met encore une fois en évidence le caractère évitable de nombreux incidents. Une fois obtenu l’accès à l’environnement, il existe très peu de différence entre les taux d’infection des serveurs de datacenter, des plateformes de télétravail et des serveurs hébergés dans le cloud. Dans la plupart des cas, les intrus exploitent des vulnérabilités connues, notamment dans des systèmes d’exploitation et hyperviseurs courants ou encore des plateformes NAS et des serveurs de base de données, n’épargnant aucun logiciel non corrigé ou non mis à jour qu’ils peuvent trouver. Il est à noter que des taux d’infection nettement supérieurs ont été signalés par les professionnels de la sécurité et les administrateurs de sauvegarde par rapport aux responsables des opérations informatiques ou aux RSSI, signe que « ceux qui sont plus près du problème sont témoins d’un nombre encore plus élevé d’incidents ».
Le premier remède est l’immuabilité des données
Les participants à l’enquête indiquent que 94 % des auteurs d’attaques ont tenté de détruire des répertoires de sauvegarde et que, dans 72 % des cas, ils sont arrivés à leurs fins au moins en partie. Cette stratégie consistant à éliminer la bouée de sauvetage d’une entreprise est répandue dans les attaques, car elle augmente la probabilité que les victimes n’aient d’autre choix que de payer la rançon. Le seul moyen de se prémunir de ce scénario est de disposer d’au minimum un niveau de protection immuable ou en mode « Air Gap » (isolé physiquement du réseau), ce qui est aujourd’hui le cas de 95 % des entreprises interrogées. De fait, nombre d’entre elles déclarent que leur stratégie de sauvegarde sur disque, dans le cloud et sur bande comporte plusieurs niveaux d’immuabilité ou de protection Air Gap.
Parmi les autres résultats marquants de l’étude Veeam 2022 Ransomware Trends Report :
- Importance de l’orchestration : une équipe informatique sur six (16 %) automatise la validation et la récupérabilité de ses sauvegardes pour s’assurer proactivement de la capacité à restaurer ses serveurs. Ensuite, pendant la phase de remédiation d’une attaque de ransomware, 46 % des participants à l’étude font appel à une « sandbox » ou à un espace de test isolé afin vérifier l’intégrité des données restaurées avant de remettre les systèmes en production.
- Nécessité d’unifier les stratégies des entreprises : 81 % des participants pensent que les stratégies de leur entreprise en matière de cybersécurité et de continuité d’activité ou de reprise après sinistre sont en phase. Cependant, 52 % d’entre eux jugent nécessaire d’améliorer les interactions entre les équipes respectives dans ces domaines.
- Diversification indispensable des répertoires de sauvegarde : la quasi-totalité (95 %) des entreprises dispose d’au moins un niveau de protection immuable ou en mode Air Gap pour leurs données, 74 % utilisent des répertoires cloud assurant l’immuabilité, 67 % des disques sur site immuables ou verrouillables, et 22 % des bandes en mode Air Gap. Les entreprises indiquent qu’en dehors des disques, elles stockent encore 45 % de leurs données de production sur bandes, qu’elles soient immuables ou pas, et 62 % recourent au cloud à un stade ou un autre du cycle de vie de leurs données.
À propos de Veeam Software
Veeam® est un spécialiste des solutions de sauvegarde, de restauration et de gestion assurant la protection moderne des données. La société offre une plateforme unique pour les environnements cloud, virtuels, physiques, SaaS et Kubernetes. Ses clients ont ainsi l’assurance que leurs applications et données sont protégées contre les ransomwares, les catastrophes et les acteurs malveillants grâce à la plateforme simple, flexible, fiable et puissante.
Source : Veeam
Et vous ?
Trouvez-vous cette étude pertinente ? Quelle est actuellement la position de votre entreprise en ce qui concerne les ransomware ? prévoie-t-elle de payer la rançon en cas d'attaque ?Voir aussi :
80 % des organisations qui ont payé la rançon après une attaque par ransomware ont été frappées à nouveau, d'après une nouvelle étude de Cybereason Les victimes de ransomware récupèrent rarement leurs données après avoir payé, le rapport de Sophos révèle que payer la rançon n'est peut-être pas la meilleure façon de faire 80 % des responsables des systèmes de sécurité informatique envisagent de payer une rançon pour récupérer leurs données, 65 % d'entre eux ayant été victimes d'un ransomware au cours de l'année écoulée 71 % des organisations ont été touchées par des attaques réussies de ransomware l'année dernière, et 63 % ont payé la rançon demandée, selon un rapport de CyberEdge Group Les paiements de ransomware sont montés en flèche en 2021, près de 80 % ont atteint un maximum de 500 000 dollars, tandis que les demandes de rançon ont augmenté de 144 %