Ce risque n’est plus émergent : il est bien établi depuis un certain temps, et il affecte des entreprises de toutes tailles et de tous secteurs. En 2021, une enquête de Gartner menée auprès de dirigeants a révélé que les ransomwares étaient la principale préoccupation des décideurs. Cependant, malgré une large sensibilisation au problème, les ransomwares n’ont pas diminué, bien au contraire.
Les groupes de ransomware opèrent aujourd’hui comme de véritables entreprises, avec des modèles économiques structurés, des stratégies marketing et même des campagnes de recrutement. Cette organisation leur permet d’engranger des revenus colossaux. Par exemple, le groupe Black Basta aurait récolté 107 millions de dollars peu après son apparition en 2022.
En outre, il existe tout un marché dédié aux solutions de Ransomware-as-a-Service (RaaS), permettant à des individus peu qualifiés techniquement de lancer des attaques. En sélectionnant des outils de malware, de chiffrement ou de distribution proposés par divers fournisseurs, même des attaquants novices peuvent désormais mener des campagnes de ransomware, facilitant ainsi l’entrée dans la cybercriminalité.
Les ransomwares : une menace qui perdure
Rien n’indique que les ransomwares disparaîtront de sitôt. Une fois la barrière morale franchie, peu de freins dissuadent ces criminels : le risque d’arrestation est faible, et les gains financiers sont élevés.Certains groupes sont même sponsorisés par des États, bénéficiant de la protection de gouvernements qui les incitent à cibler des infrastructures critiques ou des entreprises rivales. Cette immunité leur permet d’opérer en toute impunité.
Les entreprises, quant à elles, restent des cibles de choix. Le rapport Ransomware Risk 2024 révèle que 83 % des organisations interrogées ont été victimes de ransomware au cours des 12 derniers mois, et 74 % ont subi plusieurs attaques. Plus inquiétant encore : 78 % des victimes ont payé une rançon au moins une fois.
La gestion des correctifs : un levier sous-estimé
Ces chiffres peuvent sembler surprenants, mais ils illustrent l’évolution constante de la menace de ransomware, face à laquelle les entreprises ne réagissent pas suffisamment. Aujourd’hui, plusieurs aspects critiques de la sécurité ne sont pas toujours correctement priorisés, notamment la gestion des correctifs.Ignorer une mise à jour de sécurité peut sembler anodin dans l’immédiat, mais cela peut ouvrir la porte à des attaques graves. Les cybercriminels exploitent de plus en plus les failles zero-day, ciblant des systèmes non corrigés. Selon Deloitte, ces failles sont responsables de plus d’un tiers des attaques de ransomware.
Pour cette raison, les entreprises doivent donner la priorité à la gestion des correctifs. Les mises à jour ne doivent pas être retardées de semaines ou de mois, mais appliquées en quelques heures ou jours.
Les campagnes de phishing gagnent en sophistication
Les attaques zero-day ne sont pas le seul atout des cybercriminels : ces derniers continuent d’exploiter les failles de sécurité humaines. Les campagnes de phishing sont aujourd’hui extrêmement bien conçues, ce qui les rend bien plus difficiles à repérer et à contrer. Les attaquants imitent méticuleusement des marques et personnes de confiance, observant les communications pour comprendre les comportements des utilisateurs et identifier des cibles.Avec l’intelligence artificielle, les cybercriminels peuvent créer des courriels ou des images presque indiscernables des originaux. Résultat : même les utilisateurs les plus prudents se font piéger.
Tous les secteurs sont concernés
Les cybercriminels ciblent des organisations qu’ils jugent vulnérables et prêtes à payer, et le secteur de la santé en est un exemple marquant. Les hôpitaux, souvent sous-financés, peinent à investir suffisamment dans la cybersécurité, ce qui en fait des cibles fréquentes pour les attaquants motivés par des gains financiers rapides.Ces attaques entraînent des conséquences graves : des équipements critiques, comme des pompes à insuline ou des machines à rayons X, peuvent être paralysés, obligeant parfois les établissements à transférer des patients ou à suspendre des soins essentiels. Ces perturbations, souvent délibérément provoquées, créent une pression supplémentaire pour céder aux demandes de rançon.
Le rapport révèle que près de 70 % des organisations de santé touchées par un ransomware ont fini par payer une rançon, illustrant à quel point ce secteur est particulièrement exposé.
Payer : un pari risqué
Des exploits zero-day aux tactiques de phishing sophistiquées, les acteurs de ransomware affinent continuellement leurs stratégies pour maximiser leurs chances de succès. En revanche, les entreprises sont souvent en retard dans leur réponse, échouant à développer des contre-mesures adéquates pour lutter contre ces menaces.Une fois de plus, le rapport souligne ce fossé critique : seuls 25 % des répondants disposent de systèmes de sauvegarde spécifiquement dédiés à la récupération d’Active Directory. C’est un problème majeur : sans la capacité de restaurer rapidement leurs systèmes d’identité, cruciaux pour leurs opérations, les entreprises se retrouvent dans une position où elles estiment n’avoir d’autre choix que de céder aux attaquants. Beaucoup d’organisations expliquent d’ailleurs leur décision de payer par le désir de retrouver rapidement une activité normale. Cependant, les entreprises qui choisissent cette voie ne réalisent pas qu’en payant une rançon, elles deviennent des cibles plus attractives pour de futures attaques.
Les statistiques montrent que 32 % des entreprises victimes de ransomware ont payé une rançon au moins quatre fois au cours des 12 derniers mois. Environ 10 % ont versé plus de 600 000 dollars uniquement en rançons. En payant, vous établissez un précédent qui invite les cybercriminels à récidiver.
Revenir aux fondamentaux : poser les bases de la résilience
Aujourd’hui, se concentrer sur les bases de la cybersécurité est indispensable. Une gestion proactive des correctifs peut réduire significativement la surface d’attaque, et même des mises à jour mineures peuvent prévenir des interruptions majeures. Mais cela ne suffit pas : les entreprises doivent aussi prévoir des plans pour réagir efficacement en cas de brèche, avec des sauvegardes robustes et régulièrement testées.L’ironie est que, bien que 70 % des entreprises déclarent avoir un plan de récupération d’identité, 78 % finissent tout de même par payer une rançon. Cela montre que les sauvegardes ne sont souvent pas à la hauteur. De plus, seules 27 % des organisations disposent de systèmes dédiés pour restaurer des infrastructures critiques comme Active Directory, pourtant essentiels pour assurer une reprise rapide.
Même si les solutions innovantes basées sur l’intelligence artificielle attirent l’attention, il est crucial de ne pas négliger les bases. Renforcer ces fondamentaux reste certainement la meilleure défense face à des menaces croissantes.
Par Matthieu Trivier, Directeur avant-vente EMEA chez Semperis
