Expert Q&A : Pourquoi les entreprises continuent-elles à payer les rançongiciels ?

Si les rançons n'étaient pas payées, les rançongiciels cesseraient probablement d'exister.

Yet research suggests that plenty of businesses are still willing to pay up after a ransomware attack, perpetuating ransomware as the most common attack type.

Nous avons rencontré Raghu Nandakumara, directeur principal du marketing des solutions industrielles d'Illumio, pour discuter des facteurs qui poussent les organisations à payer des rançons malgré les risques pour la réputation, les finances et la sécurité.

Avec ce qui semble être une quantité infinie d'informations sur les politiques de sécurité des données et une multitude de fournisseurs de services de sécurité, pourquoi les entreprises continuent-elles d'être victimes de ransomware ?

Attacks like ransomware are more pervasive than ever. Yet too many businesses are still reliant on traditional prevention and detection tools alone that were not built to contain and stop the spread of breaches.

En effet, cela signifie que les organisations prennent le risque d'être capables de se remettre d'un échec au lieu d'être résilientes face à l'échec grâce à leur capacité à contenir la propagation d'une attaque de ransomware.

Le plus souvent, les plans de reprise sont inadéquats ou n'ont pas été correctement testés, ce qui les rend non viables en cas d'incident réel. En conséquence, les organisations n'ont d'autre choix que de payer la rançon pour rétablir les opérations et les niveaux de productivité le plus rapidement possible.

Les auteurs de ransomwares savent également que les plans de reprise d'activité sont généralement déficients. Ils ciblent intentionnellement les organisations et les opérateurs de services essentiels lorsque c'est le cas, afin d'avoir le plus de chances d'être récompensés.

Que vous ont dit les chefs d'entreprise sur les raisons pour lesquelles ils ne mettent pas en place des systèmes de sécurité comprenant une protection contre les ransomwares ?

Ce que nous entendons le plus souvent est "Je dispose d'un système de détection et de réaction - c'est ma protection" ou "Nous avons mis en place des plans de reprise après sinistre adéquats, de sorte que nous pouvons nous rétablir en toute confiance en cas d'attaque."

Pourtant, ni la détection, ni la réponse, ni les plans de récupération n'offrent une solution à toute épreuve pour stopper l'impact des ransomwares.

Le paiement d'une rançon n'est pas seulement une question d'argent. Il s'agit de la suspension de l'activité, de la perte de réputation si l'attaque est rendue publique, et plus encore - comment faire passer ce message aux personnes exposées ?

Je pense que le message le plus important est que chaque entreprise est exposée à un risque. Les rançongiciels sont désormais le type d'attaque le plus courant. La question n'est donc plus de savoir si une organisation sera victime d'une attaque, mais quand elle le sera.

Both business and security leaders need to adopt an "assume breach" mindset: Their focus should be on breach containment rather than prevention to ensure ransomware is isolated at the point of entry.

Par ailleurs, les équipes informatiques doivent être mieux informées de l'évolution des ransomwares. Les cybercriminels utilisent désormais des moyens plus sophistiqués pour échapper aux protections de la cybersécurité, ce qui signifie que les systèmes de détection des ransomwares ne peuvent à eux seuls arrêter toutes les attaques.

Les techniques de détection seules ne suffisent plus à protéger les organisations. La mise en place de méthodes de protection dès le départ est le seul moyen de se prémunir contre les nouvelles formes d'attaques.

Pour les organisations qui relèvent des infrastructures nationales critiques (ICN), le message doit être axé sur les ramifications qui vont au-delà du simple résultat net. Les fonctions assurées par ces opérateurs sont essentielles pour la société et peuvent présenter un risque potentiel pour la santé, la sécurité et l'économie si elles sont perturbées. Les opérateurs de CNI ont la responsabilité de maintenir ces services.

Il ne suffit pas de se rétablir, il faut aussi être résilient.

Qu'est-ce qui encouragerait les organisations à renforcer leur dispositif de sécurité pour que les ransomwares ne soient plus une menace ?

La réduction de la menace des ransomwares nécessitera une combinaison de technologie et de législation.

Organizations need to put in place the right security architecture to eliminate the spread of breaches, including the deployment of Zero Trust tools, including Zero Trust Segmentation (ZTS) and endpoint detection and response (EDR).

Dans le même temps, le paiement des ransomwares engendre d'autres attaques. En fin de compte, plus une attaque est lucrative, plus les cybercriminels s'y adonneront. Le seul moyen d'éradiquer complètement les ransomwares est donc d'empêcher les paiements.

Toutefois, cela nécessitera une nouvelle législation pour rendre illégal le paiement des rançongiciels. Les directives gouvernementales obligeant les organisations à signaler les ransomwares sont déjà de plus en plus nombreuses aux États-Unis, et il est probable que le Royaume-Uni suive le mouvement.

Organizations should also use the five pillars of the NIST Cybersecurity Framework to help build resilience against ransomware. All are essential for defense against ransomware and require investment.

Quel conseil donneriez-vous à un directeur financier, un directeur informatique ou un directeur général concernant les ransomwares ?

Pour les directeurs financiers : Plus il faut de temps pour identifier, atténuer et résoudre une attaque, plus le coût est élevé. Veillez à ce que votre organisation investisse en permanence dans des capacités permettant d'améliorer la cyber-résilience et donnez la priorité aux investissements qui ont un retour sur investissement quantifiable, tels que la segmentation zéro confiance.

Pour les DSI : Pensez toujours à l'éventualité d'une brèche. Si vous parvenez à renforcer la résilience et à stopper la propagation des ransomwares au sein de votre réseau, il sera beaucoup plus facile de contrôler une attaque et d'y remédier. Toutefois, le renforcement de la cyber-résilience est un sport d'équipe. Il faut une collaboration entre les différentes fonctions de l'organisation pour élaborer un plan qui améliore la sécurité tout en permettant la transformation. Les parties prenantes doivent être impliquées dès le début, être tenues informées tout au long du processus et adhérer au plan.

For CEOs: Cyber resilience must be a board-level issue. Get it right, and you can ensure productivity, protect the brand and reputation, build trust, and strengthen compliance. Remember, not all ransomware attacks have to end in major business failure. By containing the attack at the point of entry, you can stop ransomware before it starts, protecting critical systems and data, and saving millions in annual downtime costs.

Learn how Illumio Zero Trust Segmentation can help your organizations contain ransomware and never pay a ransom. Contact us today for a consultation and demo.