Search
Close this search box.

Ransomware 2023 + 50%. Et après?

2023 : Doublement de la fréquence des ransomwares !

Une étude menée aux USA par l’entreprise Delinea sur plus de 300 sociétés de toutes tailles montre une augmentation de près de 50% de la fréquence des Ransomware.

L’étude pointe en particulier que les plus exposées sont :

  • Les entreprises de taille moyenne, de 50 à 500 salariés (65%),
  • Puis celles ayant plus de 500 salariés (22%)
  • Et enfin les petites entreprises de moins de 50 personnes (10%).

Le fait marquant de 2023 : les ransomwares ont adopté une approche plus insidieuse, mettant davantage l’accent sur l’exfiltration de données avec une furtivité accrue.

En parallèle : la proportion des entreprises qui acceptent de payer des rançons est en augmentation

La conclusion de l’étude est qu’il y a une nécessité impérative de renforcer les dispositifs de cyber sécurité et d’élaborer des plans de défense et de rétablissement opérationnels.

En poursuivant votre lecture vous allez découvrir plus de détails sur les résultats de l’enquête de Delinea,

Découvrez comment vos pairs ajustent leurs comportements afin que vous puissiez comparer vos stratégies de ransomware.

Ce que vous apprendrez, vous aidera à prioriser vos plans de cybersécurité, de réponse aux incidents et de gestion de crise.

[/et_pb_text][et_pb_text _builder_version= »4.24.1″ _module_preset= »default » text_text_color= »#000000″ background_color= »#FFFFFF » global_colors_info= »{} »]

Les attaques de types ransomware ont plus que doublées entre 2022 et 2023.

A la question est-ce que votre entreprise a été victime d’une attaque dans les 12 deniers mois on voit que 53% répondent oui alors qu’ils n’étaient que 25% en 2022:

La répartition entre les différentes tailles d’entreprises se présente de la manière suivante :

Ce sont les entreprises entre 50 et 500 salariés qui sont les plus fortement impactées.

La tendance des entreprises à payer des rançons a augmenté en 2023

Il apparaît que seulement 24% des entreprises ont refusé de payer contre 31% en 2022.

Une des raisons invoquées pour expliquer cette tendance est la croissance du nombre de sociétés pourvues d’une assurance contre les attaques cyber.

Les conséquences pour les entreprises

Que les paiements des ransomwares soient couverts par une cyber-assurance ou par les fonds de l’entreprise, les ransomwares ont un impact à long terme pour les entreprises concernées.

Pertes de revenus au-delà de la rançonEn raison de perturbations dans les opérations et de l’incapacité à fournir des services. En effet les attaques de ransomware paralysent souvent les systèmes critiques, entraînant de longues périodes d’improductivité et de perte de revenus pendant que les organisations s’efforcent de revenir dans un fonctionnement nominal.

Atteintes à la réputation Qui dissuadent les clients et les partenaires de travailler avec l’entreprise ou d’utiliser ses produits ou services.

Des LicenciementsLa pression imposée par les incidents de ransomware, associée aux ramifications financières, conduit certaines organisations à réduire leurs effectifs. Une organisation sur cinq déclare avoir rationalisé ses effectifs en conséquence directe des attaques de ransomwares.

Augmentation des budgets de sécurité Suite à une attaque de ransomware.Cette augmentation a paradoxalement été plus faible en que l’année dernière. Cette attitude pourrait être liée au fait que même si les budgets ont augmenté l’année dernière, cela n’a pas suffi à arrêter la vague des ransomwares.

L’étude dévoile quelques exemples de coûts supportés par certaines entreprises

Les coûts des ransomwares sont difficilses à évaluer d’autant plus que de nombreuses attaques ne sont pas signalées.

Fin 2023, les exigences de la SEC pour les entreprises publiques ont donné accès à plus d’informations sur les coûts et l’impact matériel des incidents de ransomware.

Voici quelques exemples :
  • Clorox une entreprise qui fabrique et distribue des produits de nettoyage et de désinfection, a connu un incident de ransomware d’une valeur de 350 millions de dollars.
  • Capita Une société leader du marché de l’externalisation en Grande-Bretagne, a été touchée par une attaque de ransomware qui a coûté jusqu’à 25 millions de dollars en récupération et réparation, ainsi qu’en investissements de sécurité supplémentaires.
  • Le conseil municipal de Dallas a approuvé une somme de 8,6 millions de Dollars pour une ataque lié à un ransomware
  • MGM a déclaré des coûts de plus de 100 millions de Dolars et plus 10 millions de dollars en frais de nettoyage informatique.

L’évolution des modalités d’attaques impose une modification des mesures de protection

 Les attaquants se tournent vers l’exfiltration de données

Les personnes interrogées estiment que les motivations des attaquants ont changé au cours de l’année écoulée, passant d’une simple demande d’argent à l’exfiltration de données.

Plus l’organisation est grande, plus elle craint de perdre le contrôle des données privées et sensibles.Dans un scénario de ransomware traditionnel, un attaquant délivre une charge utile qui crypte les fichiers et ne fournit la clé de déchiffrement qu’une fois que la victime a payé.

Dans un scénario d’exfiltration de données, l’attaquant a la possibilité de gagner de l’argent

–       Soit en forçant la victime à payer l’attaquant pour qu’il ne divulgue pas les données,

–       Soit en vendant les données sur le darknet.

Dans une attaque par exfiltration de données, les criminels transfèrent des données sensibles (propriété intellectuelle, informations personnelles ou d’autres données sensibles et protégées) vers un système distant sous leur contrôle.

Ils peuvent menacer de divulguer les données publiquement et/ou vendre les données à d’autres criminels qui les utiliseront comme leviers pour commettre d’autres crimes, pour inciter la victime à payer une rançon.

Les tactiques d’exfiltration de données restent plus facilement sous le radar d’une équipe de cybersécurité qu’un arrêt soudain des opérations.

Les tactiques secrètes d’exfiltration de données offrent aux attaquants un accès continu, leur permettant d’augmenter les dégâts quand ils le souhaitent. L’exfiltration de données peut être tout aussi coûteuse que d’autres types d’attaques de ransomware.

Dans un cas, la ponction financière est immédiate

Dans l’autre cas, les conséquences sont tout aussi importantes mais s’étalent au fil du temps.

Par ailleurs, au-delà de payer la rançon, à court terme, les entreprises peuvent également être confrontés à des amendes de conformité réglementaire, si les contrôles de cybersécurité sont jugés insuffisants par les autorités.

Les attaques les plus connues en 2023 se nomment Maze et DopplePayme.

Elles ont été utilisées pour ajouter la menace d’exfiltration de données à une attaque de ransomware.

Le groupe de ransomware Cl0P a fait la une des journaux en divulguant des extraits de documents et/ou des captures d’écran comme « preuve » de compromission, suivis par la publication périodique de données volées.

À l’horizon 2024 et au-delà, il faut anticiper des stratégies d’exfiltration de données basées sur l’IA qui aide les gangs de ransomwares à opérer en temps réel et à grande échelle.

Le cloud et les applications dépassent le courrier électronique comme principaux vecteurs d’attaque

Cette année, les personnes interrogées se disent plus préoccupées par les attaques de ransomwares contre l’infrastructure et les applications cloud. Les inquiétudes concernant les accès privilégiés et les points de terminaison ont augmenté, tandis que les inquiétudes concernant les e-mails ont diminué.

Cette préoccupation collective souligne la nature multiforme de la menace des ransomwares, les criminels se concentrant stratégiquement sur les composants critiques d’un environnement informatique moderne.Alors que les organisations dépendent de plus en plus du cloud, il n’est pas surprenant qu’elles se préoccupent davantage de la sécurité à ce niveau. La croissance exponentielle des applications pour chaque fonction de l’entreprise, ainsi que le recours aux API pour rassembler ces applications, sont autant de points d’entrée potentiels.

Dans le cadre de l’écosystème des ransomwares, des courtiers, sur le Dark Net, vendent des informations d’identification compromises qui permettent d’accéder aux environnements informatiques afin de mener des activités criminelles.Bien que les terminaux soient en bas de la liste des vulnérabilités cette année, les préoccupations concernant leur vulnérabilité ont plus que doublé depuis 2022.

Alors que le travail à distance et le recours à des tiers à distance progressent, les équipes de sécurité se doivent d’être vigilantes sur les terminaux non sécurisés. En particulier, l’accès RDP non sécurisé qui permet l’accès à distance à partir de terminaux situés en dehors du réseau de l’entreprise a été l’un des points d’entrée courants signalés pour les attaques de ransomwares.

Investissement accru dans la gestion des accès privilégiés

Ces préoccupations croissantes concernant les accès privilégiés mentionnées ci-dessus ont déterminé l’augmentation des dépenses consacrées à la gestion des accès privilégiés (PAM). Le nombre de personnes interrogées qui font état de la croissance de leur investissement dans les systèmes de Privileged Access Management (PAM) a presque doublé.

PAM applique les meilleures pratiques en matière de mots de passe et améliore les défenses en restreignant et en surveillant l’accès aux systèmes et applications critiques, réduisant ainsi le risque que des acteurs malveillants exploitent des informations d’identification de haut niveau. Dans le cadre de PAM, l’authentification multi facteur (MFA) ajoute une couche de sécurité, atténuant le risque d’accès non autorisé, même en cas d’informations d’identification compromises.

PAM est une stratégie de cybersécurité essentielle qui s’aligne sur le principe du moindre privilège, essentiel à une stratégie de confiance zéro, qui garantit que les personnes n’ont accès qu’aux systèmes, applications et capacités nécessaires à leur travail.L’augmentation des investissements et de l’attention portée au PAM au cours de l’année écoulée souligne la reconnaissance croissante du rôle essentiel que joue l’accès privilégié dans la posture globale de cybersécurité.En ce qui concerne le groupe le plus susceptible de reconnaître l’importance du PAM dans la prévention des attaques de ransomwares, les personnes interrogées occupant des postes de cybersécurité et de sécurité de l’information se classent en tête par rapport à celles du personnel informatique (31 % contre 27 %). Cela indique potentiellement un besoin de formation accrue dans la communauté informatique au sens large.

De plus en plus d’entreprises investissent dans des plans de réponse aux incidents

Face à la menace croissante des attaques de ransomwares, les organisations reconnaissent l’importance cruciale des stratégies de réponse aux incidents. Plus de 90 % ont investi dans l’élaboration de plans de réponse aux incidents. Ces plans, conçus pour gérer efficacement et atténuer l’impact des cyber incidents, sont désormais soumis à des tests rigoureux à mesure que les méthodes d’attaque évoluent. Leur efficacité repose sur leur adaptabilité et la capacité des organisations à garder une longueur d’avance sur l’évolution du paysage des menaces.

Conclusion et prochaines étapes

Comme le montrent ces données, les entreprises de toutes tailles sont

susceptibles d’être confrontées à des ransomwares.

Élaborer vos plans de défense et de rétablissement n’est plus une option.

Établir des principes fondamentaux solides en matière de cybersécurité est le

meilleur moyen de réduire vos risques.

Suivre les meilleures pratiques telles que le principe du moindre privilège pour

limiter le nombre et la portée des droits d’administrateur signifie que même si

des attaquants accèdent à votre environnement informatique, leur capacité à

installer des malwares, à exfiltrer des données et à causer des dommages peut

être limitée.

Limiter les privilèges ne doit pas nécessairement limiter la productivité. Les

entreprises qui adoptent des solutions de gestion des accès privilégiés (PAM)

peuvent sécuriser l’accès aux environnements sur les sites et le cloud, même

pour les travailleurs distants et les tiers.

Les stratégies avancées de protection contre les menaces, telles que la sécurité

des terminaux et le contrôle des applications, offrent des couches

supplémentaires de visibilité et de sécurité.

Alignez-vous avec vos dirigeants sur le risque de ransomware et votre capacité

à résister à une attaque. Assurez-vous que tout le monde est sur la même

longueur d’onde en termes de plan de réponse aux incidents – et mettez-le en

pratique – afin que si une attaque se produit, vous sachiez exactement

comment la détecter, y répondre et l’atténuer. Lisez aussi 

Vous souhaitez vérifier la maturité cyber de votre entreprise ?

Profitez dès maintenant d’un diagnostic gratuit en prenant rendez-vous ici https://bit.ly/43Vrqgd

une solution de gouvernance maîtrisée contre les  risques de cyber insécurité.