Une étude menée auprès de professionnels IT et de la sécurité en Europe et aux États-Unis montre que la majorité des attaques par ransomware (86 %) surviennent durant les
week-ends ou les jours fériés, tandis que 63 % ciblent des événements stratégiques en entreprise, comme des fusions ou des restructurations. Bien que de nombreuses organisations assurent un fonctionnement continu de leurs centres des opérations de sécurité (SOC), les périodes sensibles entraînent souvent une baisse significative des effectifs, parfois jusqu’à 50 %. Certaines entreprises, notamment celles aux structures hybrides où la cybersécurité partage des ressources avec d’autres fonctions comme le support technique, indiquent même que leur SOC n’est pas actif durant ces moments.
Des attaques soigneusement planifiées
Les cybercriminels adoptent souvent une tactique consistant à injecter des malwares dans des comptes peu sensibles pour se déplacer latéralement – et discrètement – à travers le réseau. Leur objectif est d’accéder à des comptes hautement privilégiés, car plus les privilèges d’un utilisateur, d’un compte ou d’un processus sont élevés, plus les risques d’abus, d’exploitation ou d’erreurs augmentent.Ces groupes exploitent volontiers les week-ends et les jours fériés, conscients qu’ils sont moins susceptibles de rencontrer des défenses actives. Une fois l’accès obtenu, ils se déplacent dans le réseau pour mener des reconnaissances supplémentaires et localiser les données les plus sensibles.
L’objectif final est d’exfiltrer ces informations stratégiques, qui ont le plus de valeur pour exiger une rançon élevée. Les systèmes de gestion des identités et des accès (IAM) sont particulièrement visés, puisque 90 % des attaques par ransomware entraînent une compromission des systèmes d’identité.
Combler les failles organisationnelles
Les organisations les plus résilientes veillent à maintenir un SOC pleinement opérationnel, même durant les périodes sensibles. La cybersécurité ne doit pas être mise en pause, quelle que soit la période.Le rapport mentionne également que 70 % des organisations affirment disposer d’un plan de récupération des identités. Pourtant, 20 % ne couvrent pas les cas d’usage spécifiques aux cyberattaques, 17 % ne testent pas les vulnérabilités liées aux identités, et 61 % n’incluent pas de systèmes de sauvegarde Active Directory (AD) – pourtant essentiels pour accélérer la reprise des systèmes d’identité.
La protection des identités et la lutte contre les ransomware sont étroitement liées. Un système d’identité compromis donne aux attaquants un accès direct aux données sensibles et aux infrastructures critiques. Il est donc essentiel que cette question soit intégrée aux priorités stratégiques de l’entreprise, au-delà des seuls aspects techniques.
Automatiser et auditer pour mieux se défendre
Pour pallier le manque d’effectifs, les entreprises doivent déployer des solutions ITDR (Identity Threat Detection and Response) capables d’auditer et d’alerter en cas de détection de schémas d’attaque. Ces outils peuvent suspendre ou restaurer automatiquement les systèmes d’identité en cas de changements inhabituels, sans intervention humaine. Les sauvegardes AD et les plans de reprise après incident doivent également être testés régulièrement, idéalement plus d’une fois par trimestre.Lors d’une fusion ou d’une acquisition, par exemple, les systèmes d’identité des deux entités doivent être audités et soumis à un contrôle complet de santé IT dans le cadre de la diligence financière. L’intégration ne devrait pas avancer tant que des contrôles suffisants ne sont pas mis en place. De même, d’autres événements disruptifs, comme des changements de direction ou des licenciements, doivent inclure des mesures spécifiques pour protéger les IAM.
En renforçant la sécurité des identités, en automatisant les protections et en anticipant les mesures à prendre avant des événements clés, il devient possible de réduire considérablement le risque d’exploitation par ransomware. Ainsi, les identités des entités, des appareils et du personnel peuvent être surveillées et protégées, que l’attaque ait lieu pendant un jour férié, un week-end ou un événement marquant pour l’entreprise.
Par Matthieu Trivier, Area Vice President of Pre-Sales, EMEA chez Semperis
