.png)
Expert Q&A : Pourquoi les entreprises continuent-elles à payer les rançongiciels ?
Si les rançons n'étaient pas payées, les rançongiciels cesseraient probablement d'exister.
Pourtant, les études montrent que de nombreuses entreprises sont toujours prêtes à payer après une attaque par ransomware, ce qui fait de ce dernier le type d'attaque le plus courant.
Nous avons rencontré Raghu Nandakumara, directeur principal du marketing des solutions industrielles d'Illumio, pour discuter des facteurs qui poussent les organisations à payer des rançons malgré les risques pour la réputation, les finances et la sécurité.
Avec ce qui semble être une quantité infinie d'informations sur les politiques de sécurité des données et une multitude de fournisseurs de services de sécurité, pourquoi les entreprises continuent-elles d'être victimes de ransomware ?
Les attaques telles que les ransomwares sont plus répandues que jamais. Pourtant, trop d'entreprises dépendent encore des seuls outils de prévention et de détection traditionnels, qui n'ont pas été conçus pour contenir et stopper la propagation des violations.
En effet, cela signifie que les organisations prennent le risque d'être capables de se remettre d'un échec au lieu d'être résilientes face à l'échec grâce à leur capacité à contenir la propagation d'une attaque de ransomware.
Le plus souvent, les plans de reprise sont inadéquats ou n'ont pas été correctement testés, ce qui les rend non viables en cas d'incident réel. En conséquence, les organisations n'ont d'autre choix que de payer la rançon pour rétablir les opérations et les niveaux de productivité le plus rapidement possible.
Les auteurs de ransomwares savent également que les plans de reprise d'activité sont généralement déficients. Ils ciblent intentionnellement les organisations et les opérateurs de services essentiels lorsque c'est le cas, afin d'avoir le plus de chances d'être récompensés.
Que vous ont dit les chefs d'entreprise sur les raisons pour lesquelles ils ne mettent pas en place des systèmes de sécurité comprenant une protection contre les ransomwares ?
Ce que nous entendons le plus souvent est "Je dispose d'un système de détection et de réaction - c'est ma protection" ou "Nous avons mis en place des plans de reprise après sinistre adéquats, de sorte que nous pouvons nous rétablir en toute confiance en cas d'attaque."
Pourtant, ni la détection, ni la réponse, ni les plans de récupération n'offrent une solution à toute épreuve pour stopper l'impact des ransomwares.
Le paiement d'une rançon n'est pas seulement une question d'argent. Il s'agit de la suspension de l'activité, de la perte de réputation si l'attaque est rendue publique, et plus encore - comment faire passer ce message aux personnes exposées ?
Je pense que le message le plus important est que chaque entreprise est exposée à un risque. Les rançongiciels sont désormais le type d'attaque le plus courant. La question n'est donc plus de savoir si une organisation sera victime d'une attaque, mais quand elle le sera.
Les chefs d'entreprise et les responsables de la sécurité doivent adopter un état d'esprit "assume breach": Ils doivent se concentrer sur l'endiguement de la brèche plutôt que sur la prévention afin de s'assurer que le ransomware est isolé au point d'entrée.
Par ailleurs, les équipes informatiques doivent être mieux informées de l'évolution des ransomwares. Les cybercriminels utilisent désormais des moyens plus sophistiqués pour échapper aux protections de la cybersécurité, ce qui signifie que les systèmes de détection des ransomwares ne peuvent à eux seuls arrêter toutes les attaques.
Les techniques de détection seules ne suffisent plus à protéger les organisations. La mise en place de méthodes de protection dès le départ est le seul moyen de se prémunir contre les nouvelles formes d'attaques.
Pour les organisations qui relèvent des infrastructures nationales critiques (ICN), le message doit être axé sur les ramifications qui vont au-delà du simple résultat net. Les fonctions assurées par ces opérateurs sont essentielles pour la société et peuvent présenter un risque potentiel pour la santé, la sécurité et l'économie si elles sont perturbées. Les opérateurs de CNI ont la responsabilité de maintenir ces services.
Il ne suffit pas de se rétablir, il faut aussi être résilient.
Qu'est-ce qui encouragerait les organisations à renforcer leur dispositif de sécurité pour que les ransomwares ne soient plus une menace ?
La réduction de la menace des ransomwares nécessitera une combinaison de technologie et de législation.
Les organisations doivent mettre en place l'architecture de sécurité adéquate pour éliminer la propagation des brèches, y compris le déploiement d'outils de confiance zéro, notamment la segmentation de confiance zéro (ZTS) et la détection et la réponse des points d'extrémité (EDR).
Dans le même temps, le paiement des ransomwares engendre d'autres attaques. En fin de compte, plus une attaque est lucrative, plus les cybercriminels s'y adonneront. Le seul moyen d'éradiquer complètement les ransomwares est donc d'empêcher les paiements.
Toutefois, cela nécessitera une nouvelle législation pour rendre illégal le paiement des rançongiciels. Les directives gouvernementales obligeant les organisations à signaler les ransomwares sont déjà de plus en plus nombreuses aux États-Unis, et il est probable que le Royaume-Uni suive le mouvement.
Les organisations devraient également utiliser les cinq piliers du cadre de cybersécurité du NIST pour renforcer leur résilience face aux ransomwares. Tous ces éléments sont essentiels à la défense contre les ransomwares et nécessitent des investissements.
Quel conseil donneriez-vous à un directeur financier, un directeur informatique ou un directeur général concernant les ransomwares ?
Pour les directeurs financiers : Plus il faut de temps pour identifier, atténuer et résoudre une attaque, plus le coût est élevé. Veillez à ce que votre organisation investisse en permanence dans des capacités permettant d'améliorer la cyber-résilience et donnez la priorité aux investissements qui ont un retour sur investissement quantifiable, tels que la segmentation zéro confiance.
Pour les DSI : Pensez toujours à l'éventualité d'une brèche. Si vous parvenez à renforcer la résilience et à stopper la propagation des ransomwares au sein de votre réseau, il sera beaucoup plus facile de contrôler une attaque et d'y remédier. Toutefois, le renforcement de la cyber-résilience est un sport d'équipe. Il faut une collaboration entre les différentes fonctions de l'organisation pour élaborer un plan qui améliore la sécurité tout en permettant la transformation. Les parties prenantes doivent être impliquées dès le début, être tenues informées tout au long du processus et adhérer au plan.
Pour les PDG : La cyber-résilience doit être une question traitée au niveau du conseil d'administration. Si vous le faites correctement, vous pourrez garantir la productivité, protéger la marque et la réputation, instaurer la confiance et renforcer la conformité. N'oubliez pas que toutes les attaques de ransomware ne doivent pas nécessairement se solder par une faillite majeure de l'entreprise. En contenant l'attaque au point d'entrée, vous pouvez arrêter les ransomwares avant qu'ils ne se déclenchent, en protégeant les systèmes et les données critiques et en économisant des millions de dollars en temps d'arrêt annuel.
Apprenez comment la segmentation zéro confiance d'Illumio peut aider vos organisations à contenir les ransomwares et à ne jamais payer de rançon. Contactez-nous dès aujourd'hui pour une consultation et une démonstration.
.webp)
