Une étude sur les ransomwares publiée par Sophos a montré que plus de la moitié des entreprises de taille moyenne interrogées en Allemagne ont été victimes de ransomwares au cours des douze derniers mois et que ces entreprises ont subi en moyenne plus de 400.000 XNUMX euros de dommages dus à la défaillance ou restriction des opérations commerciales. Un commentaire de Michael Veit, Technology Evangelist chez Sophos.
Une cyberattaque n'est donc plus l'exception, comme c'était le cas dans les décennies précédentes. C'est maintenant la norme et touche les organisations de toutes tailles. Les gros titres presque quotidiens sur les nouvelles attaques de ransomwares contre de grandes entreprises, des hôpitaux ou des universités sont des signes clairs que la situation des menaces a changé ces dernières années et ces derniers mois.
Sécurité en transition
Il y a à peine trois ou quatre ans, à l'époque du rançongiciel Locky, les attaques étaient très répandues. En versant une rançon relativement modeste de 300 à 500 euros, les victimes recevaient le code de décryptage pour revenir à la collection privée de photos, mais aussi aux données sur le serveur de fichiers crypté de l'entreprise. Mais ensuite, les cybercriminels ont commencé à se concentrer sur les cibles vraiment lucratives, sur les entreprises et autres grandes organisations.
Une étude sur les ransomwares publiée par Sophos a montré que plus de la moitié des entreprises de taille moyenne interrogées en Allemagne ont été victimes de ransomwares au cours des douze derniers mois et que ces entreprises ont subi en moyenne plus de 400.000 XNUMX euros de dommages dus à la défaillance ou restriction des opérations commerciales.
Les cybercriminels changent de tactique sur les ransomwares
De plus, les cybercriminels ont changé de tactique. Après une infection réussie, les données ne sont pas immédiatement cryptées. Au lieu de cela, les intrus n'espionnent plus que lentement et prudemment les réseaux d'entreprise afin d'identifier les données commerciales prometteuses et de se nicher sur autant de systèmes que possible au sein du réseau. Et avant que les pirates ne chiffrent réellement les données avec des ransomwares, ne rendent les sauvegardes inutilisables et ne paralysent partiellement ou complètement l'entreprise, les pirates volent d'abord des secrets commerciaux et des données personnelles. Car si les pirates attaquent et cryptent les ordinateurs et les données avec un ransomware, ils disposent des données déjà volées comme moyen de pression supplémentaire et menacent de les publier si l'entreprise concernée ne veut pas payer la rançon du ransomware, par exemple en raison de un bon concept de sauvegarde. Avec la publication des données volées, l'entreprise est menacée d'une perte de réputation, de dommages dus à la divulgation de secrets commerciaux et, enfin et surtout, de sanctions en vertu du RGPD si des données personnelles sont publiées. Ce n'est pas pour rien que l'Office fédéral de la police criminelle, dans son Cybercrime Bundeslagebild 2020 publié en septembre 2019, qualifie les rançongiciels de « principale menace existentielle pour les entreprises ».
Les mesures traditionnelles n'offrent plus de protection
La question se pose de savoir ce que les organisations et les entreprises peuvent (et doivent) faire pour éviter de devenir la prochaine victime. Il ne fait aucun doute que les mesures de protection traditionnelles telles que les pare-feu et les antivirus n'offrent plus une protection suffisante contre les attaquants professionnels. Le Bundesverband IT-Sicherheit eV (TeleTrusT), qui a, entre autres, une influence significative sur les évaluations des compagnies d'assurance contre les cyber-risques, définit l'"état de l'art" en 2020 comme la détection et la réponse aux points finaux - EDR en abrégé. L'EDR est une approche holistique du terminal et du serveur qui, en plus des technologies de protection modernes telles que la protection contre les exploits et les ransomwares, inclut également la détection de l'activité des pirates à l'échelle de l'entreprise et le confinement des menaces. Avec EDR, les étapes préliminaires des attaques et des activités des pirates peuvent être détectées dans la phase au cours de laquelle un attaquant regarde autour du réseau et se propage.
EDR et MDR comme nouvelles mesures
Cependant, pour exploiter efficacement l'EDR, un personnel spécialisé est nécessaire – XNUMX heures sur XNUMX, les week-ends et les jours fériés. Pour cette raison, de plus en plus de fabricants et de fournisseurs de services proposent des services de détection et de réponse gérées (MDR), qui surveillent en permanence leurs réseaux à la recherche de menaces pour le compte des entreprises à protéger. Dans la plupart des cas, ce service est moins cher et plus efficace que si les entreprises mettaient en place leur propre centre d'opérations de sécurité (SOC) à cette fin et le dotaient de leurs propres spécialistes.
Lors du choix d'une solution EDR, les entreprises doivent s'assurer que la solution non seulement détecte les attaques par la suite, mais les empêche également dès le départ grâce à des fonctions étendues de protection des terminaux NextGen. Et si une entreprise décide d'utiliser le MDR, le fournisseur de MDR doit non seulement être en mesure de détecter une attaque, mais aussi de l'arrêter de manière indépendante après consultation de l'entreprise concernée.
Sécurité informatique de pointe pour les entreprises
En résumé, les entreprises doivent aujourd'hui investir beaucoup plus d'efforts dans le domaine de la sécurité informatique afin de se protéger des attaquants hautement professionnels et de se protéger des dommages. Les mécanismes de protection traditionnels seuls ne sont plus efficaces - mais comme cette constellation est encore présente dans de nombreuses entreprises, les cyberattaques modernes connaissent actuellement un tel succès et font chaque jour de nouvelles victimes. Le RGPD et l'assurance contre les risques cyber nécessitent "l'état de l'art", qui se définit aujourd'hui par des solutions de détection et de réponse aux points finaux incluant un fonctionnement professionnel. C'est pourquoi les organisations ont besoin de facto de services de détection et de réponse gérés pour permettre à la direction et à l'informatique de répondre aux demandes. Parce que la sécurité informatique n'est plus considérée comme un facteur de coût comme par le passé, elle permet aujourd'hui rien de moins que la survie des entreprises qui utilisent des systèmes informatiques sous une forme ou une autre.
En savoir plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.