Chaque organisation est une cible de ransomware. Préparez-vous avec confinement de brèche.
Imaginez que vous êtes parti pêcher et que vous cherchez à attraper votre dîner. Tu te fiches du poisson que tu attrapes ce soir, seulement d’en attraper un.
Vous êtes au bord d’un immense lac, votre canne à pêche à la main. Peu importe la direction dans laquelle vous le lancez. À gauche, à droite ou tout droit, le lac s’étend dans toutes les directions, et tout crochet qui tombe dans l’eau vous apporte le dîner.
C’est l’image que Jen Ellis, fondatrice de NextJenSecurity, a utilisée dans un récent épisode du podcast The Segment pour expliquer comment la plupart des groupes de ransomware choisissent leurs cibles.
Le choix résulte rarement d’une recherche minutieuse pour déterminer quelle organisation possède les poches les plus profondes ou les données les plus sensibles. Le plus souvent, tout dépend de ce qui est accessible, exploitable, et qui se situe dans un ensemble de limites lâches qui empêchent l’attaquant d’avoir des ennuis avec son propre gouvernement.
Pendant des années, de nombreuses organisations, en particulier les plus petites mais aussi les entreprises de taille moyenne, ont considéré l’absence d’un motif évident comme une raison de sous-investir dans la sécurité. Si le ciblage fonctionne réellement comme Jen l’a décrit, cette logique s’effondre.
Presque tout le monde connecté à Internet se tient quelque part dans le lac. La question qui importe le plus est de savoir ce qui se passe après que le ransomware soit arrivé près de vous, peu importe la probabilité que vous supposiez être une cible.
Une stratégie de sécurité zéro confiance fondée sur la segmentation donne une réponse.
Comment les attaquants ciblent les ransomwares
Jen a souligné que la plupart des groupes de ransomware opèrent depuis des pays qui servent de refuges pour les acteurs malveillants. Cela s’explique soit par le fait que l’activité représente trop de l’économie locale pour être poursuivie, soit parce que la nation hôte l’autorise tacitement tant que certaines lignes ne sont pas franchies.
Ces phrases concernent généralement la géographie et la politique. Ne ciblez pas les organisations chez vous, et ne faites rien qui risque de déclencher une réponse internationale sérieuse.
À l’intérieur de ces frontières, le reste du monde est une proie permise, et les frontières sont larges. Un attaquant exploitant des systèmes exposés dans le monde développé reste bien dans les règles qui comptent pour son pays hôte. Les attaquants doivent simplement choisir où exploiter.
C’est ce qui rend l’analogie de la pêche si utile. Les poissons qui se retrouvent sur l’assiette de l’attaquant sont simplement ceux qui se trouvaient à cet endroit lorsque leur hameçon a touché l’eau. Les organisations touchées sont celles qui étaient accessibles au moment de l’attaque.
L’IA met davantage d’attaques de ransomware entre de mains
Avec les outils d’IA actuels, la barrière au déploiement du ransomware diminue sans cesse, et le nombre de personnes capables de les déployer ne cesse d’augmenter.
Jen a souligné que l’IA est susceptible d’agir comme un égalisateur pour les attaquants à faible ressource. Cela est particulièrement vrai dans les pays qui combinent un accès élevé aux infrastructures techniques à un chômage élevé.
Cela signifie que le volume d’attaques opportunistes et axées sur la portée devrait augmenter dans tous les domaines à mesure que de plus en plus d’attaquants accéderont aux outils d’IA.
Le calcul derrière « on va probablement bien parce que personne ne s’occuperait de nous » empire chaque année alors que cette tendance continue.
Pourquoi « nous ne sommes pas une cible » est la sentence la plus coûteuse en matière de sécurité
Jen a raconté une histoire à propos d’une usine de chaussures familiale sous pression pour fermer. C’était le genre d’entreprise transmise de génération en génération qui emploie une part significative des habitants de sa ville.
Si une attaque de ransomware touchait une telle entreprise, le propriétaire subirait une pression énorme, avec l’avenir de l’entreprise et les emplois qui en dépendent en jeu. À cet instant, la tentation de payer discrètement la rançon et de passer à autre chose devient réelle, quoi que le débat politique en dise.
Ce qui ressort dans cette histoire, c’est à quel point un incident de ransomware peut sembler existentiel pour une organisation que personne ne qualifierait vraiment de cible. La préparation détermine la gravité d’un incident à l’intérieur, bien plus que la taille ou la visibilité.
Une grande entreprise bien connue, dotée d’un plan de réponse aux incidents éprouvé et d’un environnement segmenté, peut absorber un événement de ransomware comme une semaine difficile. Une petite entreprise avec un réseau plat et sans plan peut avoir le même événement qui met fin à l’entreprise.
Cette différence est décidée bien avant que l’attaque n’ait lieu, par les choix faits par l’organisation concernant son propre environnement.
Le seuil de pauvreté en matière de sécurité aggrave le mauvais pari
Ce problème est plus important que n’importe quelle entreprise individuelle.
Jen a souligné que l’économie britannique, comme la plupart des économies développées, est majoritairement composée de petites et moyennes entreprises. Les organisations les moins susceptibles de se croire des cibles, et les moins susceptibles d’avoir un budget pour des investissements en sécurité continus, représentent la majeure partie de l’économie.
Jen a décrit ce problème comme le seuil de pauvreté sécuritaire.
Et ce qui rend cela encore plus difficile, c’est que les dépenses de sécurité ne fonctionnent pas comme d’autres investissements en sécurité. Installer une clôture ou une rampe est un projet ponctuel que vous budgétisez et terminez. Les investissements en sécurité continuent de croître d’année en année, à mesure que les menaces évoluent et que les infrastructures vieillissent. Cela peut rendre la vente beaucoup plus difficile à des dirigeants déjà débordés.
Ajoutez à cela la facilité des attaques générées par l’IA, et le tableau devient inconfortable.
Le confinement est le levier unique que chaque organisation contrôle
Jen a rappelé un vieil dicton dans la sécurité : un défenseur doit avoir raison à chaque minute de chaque jour, tandis qu’un attaquant n’a besoin d’avoir de la chance qu’une seule fois.
Cette asymétrie ne disparaîtra pas. Et l’IA ne change rien de fondamentale, puisque les deux camps ont accès à de meilleurs outils.
Ce que change le confinement de la brèche , c’est ce que signifie réellement pour l’attaquant avoir de la chance une fois.
Si un exploit atterrit sur un réseau plat, ce moment de chance peut se transformer en accès à l’ensemble de l’environnement. Mais si cela se retrouve dans un environnement construit sur des contrôles Zero Trust, y compris la segmentation, les charges de travail, les applications et les systèmes ne communiquent qu’avec ce dont ils ont besoin.
Cela signifie qu’un moment de chance pour l’agresseur se transforme en un incident contenu dans une seule partie de l’entreprise.
Une stratégie de sécurité Zéro Confiance fondée sur la segmentation est un levier que chaque organisation possède, quelle que soit sa taille, sa visibilité ou l’intérêt qu’un attaquant puisse trouver à son sujet.
Le débat sur le paiement de la rançon résout la mauvaise couche
Jen a évoqué le débat sur l’interdiction des paiements de rançons et a soulevé un point facile à manquer dans les échanges.
Interdire les paiements ne change ce qu’une organisation est autorisée à faire une fois qu’une attaque a déjà eu lieu. Cela ne change rien à la façon dont les attaquants décident qui toucher.
Jen utilisa cette comparaison. Imaginez dire à quelqu’un que remettre son portefeuille lors d’une agression est illégal. L’agression continue d’avoir lieu, et une victime qui remet le portefeuille de toute façon enfreint la loi en plus d’être volée.
Le confinement est plus tôt dans la chronologie que toute décision de paiement. Une équipe qui a déjà limité la distance de déplacement latérale d’un attaquant ne se retrouve pas face au même choix pressurisé entre payer la rançon ou arrêter les opérations.
Le débat sur le paiement décide de ce qu’une organisation peut faire après une faille. Le confinement décide de la part de l’organisation que cette brèche peut toucher. C’est la couche qui détermine réellement le résultat.
Le risque de ransomware ne fera que croître
Chaque organisation connectée à Internet est à portée de main face aux ransomwares, et le nombre d’attaquants capables d’agir ne cesse d’augmenter à mesure que les outils d’IA deviennent plus accessibles.
Rien de tout cela ne change selon l’intérêt que votre organisation paraît pour les attaquants sur le papier.
Le confinement est la seule variable dans cette image que chaque organisation contrôle réellement. Les organisations qui construisent désormais une stratégie Zero Trust avec la segmentation comme infrastructure centrale sont celles qui empêcheront une attaque de ransomware de mettre en panne l’ensemble de leurs opérations.
Les violations sont inévitables, et cela a toujours été vrai pour des organisations de toutes tailles. Garder ces brèches petites revient à instaurer un confinement dans votre architecture.
Écoutez l'épisode complet de The Segment : Un podcast sur le leadership sans confiance sur Apple Podcasts, Spotifyou notre site web.

.webp)
.webp)

