Selon le rapport 2024 Global Threat Intelligence de NTT Security Holdings, les incidents liés aux ransomwares et à l’extorsion ont bondi de 67 % l’an dernier. Bien que les fournisseurs de solutions de sécurité connaissent une période faste, les menaces persistent. D’ailleurs, une étude d’Evanta montre que, malgré des investissements massifs, la cybersécurité reste la priorité des DSI.
Les limites des approches traditionnelles
La plupart des entreprises adoptent des stratégies de résilience des données qui reposent sur la continuité des activités (PCA) et la reprise après sinistre (RAS). Cependant, ces approches ne sont pas suffisantes pour atteindre une cyberrésilience face à des cyberattaques modernes, telles que les ransomwares ou les wipers. Il est donc évident que quelque chose ne fonctionne pas, et un changement de tactique s’impose pour protéger non seulement les données, mais aussi l’infrastructure.Les règlements en matière de cybersécurité les plus récents, comme le cadre 2.0 du NIST et la directive NIS2 de l’UE, ou encore la loi de l’UE sur la résilience opérationnelle numérique (DORA)mettent l’accent sur la résilience, non seulement en matière de prévention et de détection, mais surtout dans la réponse et la récupération, des fonctions souvent négligées au sein des entreprises.
Selon Deloitte, une entreprise moyenne dispose de plus de 130 outils de cybersécurité différents, dont la grande majorité n’a pas été intégrée et opérationnalisée de manière optimale. Ces investissements dans la prévention n’offrent qu’une réduction marginale des risques, tout en générant davantage de complexité, moins d’agilité pour les organisations, une infrastructure alourdie, une fatigue liée aux (fausses) alertes, et des coûts
de licence plus élevés.
La cyberrésilience : une réponse aux attaques boomerang
Pour atteindre la cyberrésilience, il faut prendre de la distance avec l’approche axée sur la détection et la prévention, et concentrer les investissements sur la réponse et la récupération. Cela permet de mieux résister aux cyberattaques modernes avec un impact minimal. Cependant, comment accéder à cette cyber résilience lorsqu’on a déjà tant investi dans des outils de cybersécurité ?Deux éléments sont essentiels pour y parvenir : tout d’abord, rendre les capacités de récupération inaccessibles aux attaquants, puis planifier une réponse rapide pour restaurer non seulement les systèmes de production, mais aussi les plateformes de sécurité, d’authentification et de communication.
La résilience des données repose sur des causes classiques de perturbation telles que les incendies, les pannes ou les erreurs de configuration. En revanche, la cyberrésilience doit maintenant s’adapter à un adversaire capable de déjouer les efforts de réponse et de reprise. C’est un jeu de tous les instants où l’attaquant évolue constamment.
Les besoins des équipes de sécurité en matière de réponse sont aussi cruciaux que ceux des équipes IT pour la récupération. Restaurer les systèmes sans comprendre la nature de l’attaque expose les organisations à des réinfections rapides, notamment avec des attaques dites « boomerang » (ou double-tap en anglais). Ces attaques récurrentes ciblent les entreprises ayant refusé de payer une rançon, en exploitant les mêmes vulnérabilités non corrigées. Les organisations peuvent également être attaquées à nouveau par d’autres gangs utilisant la même plateforme de Ransomware-as-a-Service.
La cyber résilience permet de réagir rapidement et en toute sécurité, même si une attaque compromet les systèmes ou les fonctions de sécurité. Les outils de sécurité traditionnels situés sur les points d’extrémité ont du mal à fonctionner lorsqu’une organisation a isolé des systèmes en réponse à des ransomwares et des wipers. Restaurer les systèmes sans corriger les vulnérabilités, ou se fier à des outils qui peuvent être défaillants, expose l’organisation à une répétition de l’attaque.
Les raisons des échecs actuels des organisations face aux cyberattaques
En résumé, la plupart des organisations échouent dans la mise en place de leur cyber résilience pour plusieurs raisons. Premièrement, les approches traditionnelles de continuité des activités et de reprise après sinistre ne sont pas conçues pour faire face aux cyberattaques. Les organisations qui subissent le plus les coûts d’une cyberattaque sont celles dont les sauvegardes ont été rendues inutilisables ou qui récupèrent des systèmes sans éliminer les menaces sous-jacentes.Deuxièmement, la collaboration des équipes IT et de sécurité est souvent insuffisante. Une attaque mal comprise peut entraîner des mesures de récupération inadéquates, et sans cette coordination, les organisations sont mal préparées à éviter une réinfection.
Troisièmement, après une attaque, les contrôles de sécurité ne sont souvent plus disponibles. Les priorités desPCA/RAS tendent à se focaliser sur les applications critiques, négligeant parfois la sécurité. Cependant, la récupération d’une « capacité de réponse minimale viable » est essentielle pour que les équipes IT et sécurité puissent travailler ensemble en toute sécurité avec les parties prenantes internes et externes.
Beaucoup de fournisseurs de solutions de gestion des données proposent des environnements isolés, axés sur la récupération IT, mais oublient la relation entre réponse et récupération, essentielle pour atteindre la cyberrésilience. Face à la menace croissante des ransomwares, il est urgent de réviser nos stratégies. Au lieu de suivre les approches conventionnelles, il est temps d’adopter une vision plus collaborative et axée sur les plateformes pour mieux résister aux ransomwares.
En somme, la seule façon de remporter la bataille contre les ransomwares est de ne plus suivre le troupeau, mais de s’engager dans une approche de résilience intégrée
et innovante.
Par François-Christophe Jean, directeur technique France chez Cohesity