A l’occasion du mois européen de la cybersécurité et dans le cadre des Assises de la Sécurité, le cabinet Wavestone dévoile la nouvelle édition de son Benchmark des incidents de cybersécurité. Principal constat : de plus en plus nombreux, les attaquants sont également plus organisés et mieux outillés pour mener des attaques toujours plus efficaces.
Les enseignements qui y sont répertoriés proviennent d’une analyse complète des interventions de l’équipe CERT-Wavestone, en charge de l’aide aux victimes en cas de cyberattaques, réalisées entre septembre 2020 et octobre 2021, soit 60 incidents de sécurité majeurs ayant mené à une interruption d’activités ou à une compromission avancée du SI.
L’objectif de ce Benchmark est d’apporter des clés de lectures et de compréhension, tout en montrant l’évolution de l’état de la menace cyber en France. Et beaucoup de feux passent au rouge :
- 60% des attaques observées par le CERT-Wavestone sont des ransomwares
- 30% des attaques ransomwares observées combinent le blocage du SI et le vol de données
- 90% des victimes ont perdu irrémédiablement des données mais le paiement des rançons diminue
- 56% des victimes n’avaient pas anticipé être la cible potentielle d’une cyberattaque
- Des attaques de plus en plus rapides : un minimum de 3 jours et une moyenne de 25 jours entre l’intrusion et la demande de rançon
« Les groupes de cybercriminels ont réussi leur transformation numérique et leur organisation en plateforme a permis de massifier et de rendre plus efficaces et rapides leurs attaques » indique Gérôme Billois, Partner Cybersécurité. La professionnalisation de la cybermenace est une réalité.
Au-delà du simple blocage du SI, la combinaison avec un vol de données devient de plus en plus présente. En effet, 30% des attaques ransomwares observées combinent le blocage du SI et le vol de données, ce dernier constituant un levier supplémentaire pour obtenir des gains financiers.
Des attaques ransomwares plus rapides et plus ciblées
L’analyse révèlent une réduction du temps moyen entre l’accès initial et le déploiement du ransomware dans le système avec un minimum de 3 jours pour l’attaque la plus rapide et une moyenne de 25 jours sur les cas gérés. Les attaquants sont de plus en plus déterminés à nuire à leurs victimes.
En effet, désormais, ils vont jusqu’à cibler et détruire les mécanismes de sauvegarde pour forcer le paiement de la rançon (21% des cas).
A noter la baisse significative du paiement des rançons cette année (de 20% des victimes l’année précédente à 5%). De multiples facteurs peuvent expliquer cette baisse : de la meilleure compréhension du faible intérêt à payer (le paiement de la rançon n’accélérant en rien le temps de résolution de la crise) aux actions de sensibilisation et de pression sur les intermédiaires de paiement par les différentes autorités.
D’autres types d’attaques sévissent toujours…
La menace ransomware ne doit pas faire oublier les attaques de vols de données, de fraude et le gain de capacité d’attaques qui restent bien présentes (25% des interventions) même si celles-ci sont moins fréquentes.
En ce qui concerne les canaux d’accès pour s’introduire dans les systèmes, les principales portes d’entrée restent l’utilisation de comptes valides préalablement découverts/volés (23%), les emails frauduleux/phishing pour obtenir un accès (20%) et les services d’accès distants en utilisant des failles de sécurité ou des défauts de configuration (18%).