Rançongiciels : avant de penser à la cyber-assurance, ne soyez pas le maillon faible !

Le rançongiciel représente aujourd’hui l’essentiel de la menace auxquelles sont confrontées les entreprises. La prolifération rapide des outils d’attaque (les rançongiciels eux-mêmes et tout l’écosystème d’outils annexes, par exemple pour casser les accès RDP), ainsi que leur sophistication croissante rendent la vie des DSI difficiles.

L’une des solutions mises en œuvre par les entreprises afin de faire face à la menace du rançongiciel est de souscrire à une cyber-assurance. Ce marché est en pleine expansion (voir par ici), mais autant les entreprises les plus en avance en la matière considèrent bien l’assurance comme un « filet de secours » qui permet d’amortir le coût de la réponse à incident, pour beaucoup d’autres cet engouement assurantiel peut avoir tendance à refléter un manque de préparation, et la croyance que l’assurance pourra tout résoudre.

Cela dénote un manque de préparation et de compréhension de la gravité d’une telle attaque, qui perturbe fortement l’activité, pendant plusieurs semaines au moins, et parfois plusieurs mois. Et puis, le paiement d’une rançon ne fait qu’encourager les attaquants à perpétrer ce type d’attaques et à les améliorer.

« Bien préparé » avant « bien assuré » ?

Le manque de préparation peut prendre plusieurs formes, la plus importante étant l’absence de sauvegardes opérationnelles et testées pour les données vitales à l’activité, ou encore la dépendance à l’égard de sauvegardes connectées, et donc accessibles directement au moment de l’attaque, qui seront bien entendu elles aussi chiffrées.

La tâche est rendue complexe par le fait que les collaborateurs souhaitent désormais accéder à leurs informations aussi rapidement et facilement que possible. C’est pourquoi les applications en mode SaaS et le stockage des données en ligne se sont imposé dans le paysage. Cependant, il est temps maintenant de repenser cette façon de procéder afin de garantir que toutes les données sont sauvegardées hors ligne, dans le cadre d’une stratégie défensive à plusieurs niveaux, seule à même de lutter contre les attaques de type rançongiciel. Car ces dernières ne sont, en définitive, qu’une attaque contre la disponibilité des sauvegardes.

Ainsi, en sauvegardant hors-ligne et en permanence les données critiques, les équipes informatiques peuvent réduire significativement l’impact d’une attaque par rançongiciel.

Un autre élément crucial lors de ce type d’attaque est de disposer d’un plan de réponse à incident efficace. Et pour cela, inutile de réinventer la roue : il existe des cadres formalisés, issus de l’expérience de la communauté, qui permettent de mettre en œuvre des plans de réponse bien construits.

Pourtant, en dépit de l’existence de ces cadres qui aident à orienter les pratiques de sécurité, et malgré l’évidence du danger que représentent les rançongiciels pour l’existence même des entreprises, nombre d’entre elles ne disposent pas encore d’un tel plan de réponse aux incidents.

Cela peut s’expliquer en partie par le fait que dans certaines cultures d’entreprise, la sécurité informatique n’est pas une question relevant du conseil d’administration. Car, c’est bien connu, « il y a toujours quelque chose de plus important à faire ». Malheureusement, pour ces entreprises les priorités ne changent généralement qu’après une attaque dévastatrice par un rançongiciel.

Des attaques moins ciblées et plus courantes

Et comme ces attaques sont de moins en moins ciblées et de plus en plus opportunistes en raison de leur énorme succès, le risque d’y être confronté augmente mécaniquement.

Le comité exécutif doit donc à tout prix réaliser à quel point ces attaques peuvent être dangereuses avant qu’il ne soit trop tard. Sans plan de sécurité adéquat, une entreprise victime d’un rançongiciel peut s’effondrer très rapidement, même si elle n’est pas la cible principale de l’attaque, mais un dommage collatéral dû à la propagation du logiciel malveillant chez un partenaire, par exemple.

Bien sûr, il est triste de constater que ces attaques sont de plus en plus fréquentes, et qu’elles peuvent avoir un impact important. Mais les membres des conseils d’administration des entreprises doivent jouer pleinement leur rôle afin d’être mieux préparés à l’avenir, et comprendre que les logiciels rançonnés les toucheront inévitablement tôt ou tard.

Ceux qui refusent de s’y préparer deviennent le maillon faible, risquant de mettre en péril les données de leur entreprise et, potentiellement, sa survie.

Pour en revenir à la cyber-assurance, il est donc illusoire de penser que celle-ci permettra de pallier les manquements de l’entreprise en matière de préparation. Chaque cyber-assureur devra bien sûr exiger des entreprises qu’elles prennent des mesures appropriées pour se protéger en premier lieu. Et cela passe par l’assurance (sans jeu de mots !) qu’un véritable plan de réponse à incidents existe (capacités de détection et de prévention), et que les données vitales sont récupérables à partir d’un système de sauvegarde hors ligne.

Ce n’est qu’à partir de ce moment que l’assurance sera en mesure de prendre à sa charge les nombreux frais annexes de la réponse à incident !