Le pire scénario : un rançongiciel peut se propager avec succès dans une entreprise et chiffrer les données sur les PC et les disques. Après cela, une demande de rançon s'affiche à l'écran. Comment une entreprise doit-elle prendre des décisions après une attaque de ransomware ? Des experts en sécurité donnent des conseils. Commentaires de Kaspersky, G Data, Sophos, Trend Micro, Bitdefender, AV-TEST, Bitglass, Digital Guardian, Fore Nova, Radar Cyber Security, Barracuda Networks.
Cela ne prend généralement que quelques secondes : un fichier est ouvert, parfois un script est exécuté, le ransomware s'exécute et commence immédiatement à se propager dans le réseau de l'entreprise. Dans de nombreuses entreprises, il existe désormais souvent un protocole d'urgence pour ce scénario du pire, qui déclenche les mesures appropriées et limite les dégâts. Ces journaux ne prévoient pas non plus le paiement d'une rançon, ce qui est une bonne chose.
Cependant, de nombreuses entreprises pensent qu'elles sont bien préparées à une attaque de ransomware ; mais en réalité ce n'est pas le cas. Parce que les systèmes de sécurité existants sont souvent surestimés ou ne peuvent pas être correctement évalués par le savoir-faire interne. Ce problème touche non seulement les petites et moyennes entreprises, mais aussi les grandes entreprises. Les attaques de rançongiciels populaires de ces dernières années montrent que c'est le cas. En mai 2017, tout le pays a pu être témoin d'une telle attaque, lorsque la demande de paiement du rançongiciel WannaCry a été affichée sur presque tous les nouveaux écrans de la Deutsche Bahn. Nous énumérons les attaques les plus connues plus loin dans cet article.
La plupart des attaques, bien sûr, passent par un public plus restreint. Mais grâce au RGPD et à l'obligation de signaler une attaque où des données ont probablement fuité, les signalements sont quasi quotidiens.
Ransomware : heure zéro
Qu'elle soit bien ou mal préparée : chaque entreprise est la cible d'attaques de ransomwares et peut en être victime. Après une attaque réussie, les entreprises se posent toujours les mêmes questions : que pouvons-nous faire maintenant ? Allons-nous payer maintenant ? Au plus tard lorsque les managers et les experts financiers s'assoient autour de la table des experts en sécurité, la question du paiement de la rançon devient une décision économique. C'est ce qui s'est passé, par exemple, lors de l'attaque contre l'opérateur de pipeline américain Colonial en mai de cette année. De nombreux systèmes de contrôle du pipeline étaient cryptés et ont dû être arrêtés. La déclaration officielle: on ne peut pas évaluer les dommages causés au système. Par conséquent, il est impossible de dire avec certitude quand le gazoduc pourra être à nouveau raccordé au réseau. Avec ce raisonnement, Colonial Pipeline a payé la rançon de 4,4 millions de dollars en Bitcoins. Le choc suivant, cependant, est venu immédiatement : les outils de décryptage fournis par les maîtres chanteurs n'ont réparé que partiellement les dégâts. En conséquence, l'entreprise n'a pu redémarrer le pipeline qu'en mode d'urgence et avec des performances réduites. D'autres coûts de réparation des systèmes de contrôle étaient toujours en suspens.
Payer ou ne pas payer?
Comme dans le cas de Colonial Pipeline, les entreprises en coulisses touchées par les rançongiciels choisissent de payer la rançon, estimant qu'il s'agit du moindre de deux maux. Les calculatrices particulièrement audacieuses des entreprises calculent souvent avec un crayon pointu les dommages qui surviennent lorsque certaines données sont perdues, doivent être ressaisies ou qu'une partie de l'activité en cours ne peut être traitée. Le montant de la rançon est alors mis en regard de cela. Certaines entreprises - sans nom - ont déjà dû faire l'expérience douloureuse que de tels calculs sont pour la plupart absurdes. Parce que dans leur facture, ils ont oublié qu'ils avaient payé pour corriger un système compromis, pour découvrir peu de temps après que les attaquants avaient toujours un accès complet aux systèmes. Une conversion et une nouvelle structure de l'ensemble du réseau d'entreprise étaient inévitables.
Les responsables du service de santé irlandais HSE ont montré qu'il existait une autre voie. Après la grave attaque de pirates informatiques en mai de cette année, des données importantes ont été cryptées, de sorte que les hôpitaux du pays ont dû annuler de nombreux rendez-vous de traitement. Même un système de prescription électronique pour les pharmacies a également été touché. Les responsables du HSE ont arrêté les systèmes et se sont immédiatement mis à restaurer les systèmes et les données. Il a été immédiatement rendu public que HSE ne paierait aucune rançon aux extorqueurs de rançongiciels, mais utiliserait l'argent pour restaurer et reconstruire le système. Les experts disent également que cette décision rend une autre attaque de ransomware beaucoup moins probable. Les attaquants choisissent principalement des cibles pour lesquelles on sait ou soupçonne qu'une rançon sera également payée.
Appel politique à une stratégie zéro rançon
Entre-temps, le problème des rançongiciels est également arrivé en politique. Il est entendu que chaque dollar, euro ou bitcoin payé finance de nouvelles attaques. On multiplie les attaques avec des ransomwares et on se retrouve dans une spirale sans cesse croissante. C'est pourquoi les politiciens exigent que cela cesse. Le président américain Biden a récemment fait le premier pas vers une stratégie de zéro rançon. Il a été déterminé qu'une attaque de rançongiciel signalée serait assimilée à une attaque terroriste. Cette augmentation de l'importance du crime permet un meilleur accès aux ressources de sécurité nationale aux États-Unis. Dans le cas de Colonial Pipeline, par exemple, le FBI et d'autres institutions américaines sont intervenus et ont suivi les paiements Bitcoin aux maîtres chanteurs. Il a ensuite réussi à récupérer 2,7 de la rançon de 4,4 millions de dollars du groupe Darkside et à détruire l'infrastructure de leurs systèmes de paiement.
Par ailleurs, les groupes APT Darkside et REvil/Sodinokibi ont tenté de se distancier des effets des attentats du Colonial Pipeline et de JBS (transformateurs de viande américains) par des déclarations inédites. Selon le spécialiste de la sécurité Avast, l'action du gouvernement américain a même fait disparaître les publicités pour les ransomwares des grands forums clandestins. Et: les soi-disant partenaires commerciaux auraient traîné Darkside devant le tribunal des hackers pour se plaindre de leurs pertes - partout où ce tribunal de la pègre se réunit.
En Grande-Bretagne aussi, des voix se font entendre en faveur d'une stratégie zéro rançon. Les porte-parole du centre de cybersécurité des services secrets GCHQ réclament même une interdiction légale de payer des rançons aux pirates. C'est le seul moyen de détruire le business model des groupes APT, puisque le crime organisé est financé avec la rançon.
En Allemagne, il y a des discussions politiques sur le thème de la cyberdéfense et des ransomwares, mais pas de mesures comme celles menées par les États-Unis ou prévues en partie par la Grande-Bretagne. Ce serait nécessaire, comme le montre l'article de cette année dans Zeit Online : au moins 100 bureaux allemands, agences gouvernementales, cliniques publiques, administrations municipales et tribunaux ont été attaqués par des gangs de rançongiciels au cours des six dernières années.
Ce que les experts conseillent aux entreprises
Nous avons demandé à un grand groupe d'experts en sécurité comment les entreprises devraient réagir au mieux en cas d'attaque par ransomware. Certains soi-disant évangélistes des fabricants de sécurité ont répondu présents, ainsi que des experts du laboratoire de test AV-TEST. De plus, nous avons recueilli les commentaires des fabricants qui proposent des solutions de détection et de réponse spécifiques ou une protection réseau classique. Ce qui est excitant, c'est que certains experts refusent rigoureusement de payer en cas d'attaque par un ransomware. D'autres soutiennent que la rentabilité peut être le facteur décisif, par exemple lorsque l'existence de l'entreprise est menacée. Ci-dessous les commentaires.
Kaspersky-Christian Funk
Christian Funk, responsable de l'équipe de recherche et d'analyse de la région DACH chez Kaspersky (Image : Kaspersky).
Un commentaire de Christian Funk, responsable de l'équipe de recherche et d'analyse chez Kaspersky. « Selon Bitkom, les dommages causés par les ransomwares ont plus que quadruplé au cours des deux dernières années. Nos analyses montrent qu'une vingtaine d'acteurs cybercriminels ciblent en particulier les organisations de haut rang et menacent de publier des données comme moyen de pression supplémentaire depuis 20 si les demandes de rançon ne sont pas satisfaites. C'est ce qu'on appelle aujourd'hui la « chasse au gros gibier ». Ces attaques ciblées ont augmenté de 2019 % entre 767 et 2019. La pandémie a poussé de nombreuses entreprises à mettre en place et à étendre rapidement un accès adéquat pour les bureaux à domicile. Cela a souvent abouti à des systèmes faiblement sécurisés ou mal configurés que les attaquants peuvent exploiter comme passerelles et sont un moteur de l'augmentation significative de cette offensive de ransomware.
« Les organisations de haut niveau attaquent de plus en plus de manière ciblée »
Les personnes concernées ne doivent pas payer de rançon. Il n'y a aucune garantie que les données cryptées seront restaurées - cependant, les cybercriminels sont confirmés dans leurs activités criminelles. Pour éviter une perte potentielle de données, des mises à jour de sécurité régulières doivent être effectuées pour éliminer les vulnérabilités le plus rapidement possible. Un logiciel de sécurité efficace pour tous les terminaux protège également les ordinateurs et les serveurs contre les rançongiciels et les logiciels malveillants, empêche l'utilisation d'exploits et est idéalement compatible avec les solutions de sécurité déjà installées. De plus, les sauvegardes doivent toujours être effectuées à des intervalles raisonnables. Kaspersky.de
Données G - Tim Berghoff
Tim Berghoff, évangéliste de la sécurité chez G DATA CyberDefense (Image : G Data).
Un commentaire de Tim Berghoff, Security Evangelist chez G DATA CyberDefense : "Il y a des idées claires sur la manière dont les entreprises doivent gérer les ransomwares : restaurer les sauvegardes, signaler le cas à l'autorité de protection des données si nécessaire, porter plainte et surtout : ne jamais payer un une rançon. Et en effet, sans exception, effectuer un paiement est la pire option possible.
"Effectuer un paiement est, sans exception, la pire option possible"
Cependant, il existe également des raisons qui peuvent plaider en faveur d'un paiement dans des cas individuels. L'une de ces raisons est purement économique. Lorsque le coût de la perte de production, des amendes potentielles et de la récupération des données dépasse considérablement la rançon, la décision est prise rapidement. Si l'effondrement s'est produit et qu'aucune sauvegarde n'est disponible, l'idée d'un paiement est évidente. Surtout lorsque l'entreprise est menacée d'effondrement financier. Ceci malgré le fait que les demandes de rançon ont augmenté jusqu'à 2020 % en moyenne entre 2021 et 500 seulement. Dans le même temps, le nombre de paiements effectivement effectués a également augmenté de manière drastique. De plus, de nombreuses victimes sont victimes de chantage à plusieurs reprises, les auteurs cryptant les données et menaçant de les publier - et ce malgré le paiement. Une plus grande résilience est à l'ordre du jour, en particulier lorsque des programmes critiques comme Microsoft Exchange ou des logiciels de gestion utilisés par des MSP comme celui de Kaseya deviennent la cible d'attaques, comme cela a été le cas ces derniers mois. GData.de
Sophos-Michael Veit
Michael Veit, expert en sécurité chez Sophos (Image : Sophos).
Un commentaire de Michael Veit, expert en sécurité chez Sophos « La question cruciale après une attaque par ransomware : payer ou ne pas payer. À maintes reprises, les entreprises sont enclines à payer de grosses sommes de rançon aux attaquants de ransomwares dans une situation d'urgence. Il existe de nombreux exemples où les gestionnaires ont été contraints de se conformer parce que les prétendues sauvegardes de secours étaient cryptées ou corrompues. Ils souhaitent remettre leur infrastructure informatique en état de fonctionnement le plus rapidement possible, ou choisissent de payer car cela semble moins cher que le coût de sa restauration. Une autre raison courante est d'empêcher la vente ou la mise à disposition publique de données volées. Colonial Pipeline a également cité l'une de ces raisons pour justifier le paiement.
"Celui qui paie doit être conscient du fait qu'il ne fournit aucune garantie de récupération des données"
Cependant, le paiement de rançons ne doit pas seulement être considéré de manière critique d'un point de vue juridique. Il faut être conscient du fait qu'il ne fournit aucune garantie de récupération des données. Dans le rapport State of Ransomware Report 2021, Sophos a constaté que les entreprises ne pouvaient récupérer en moyenne que 65 % de leurs données après avoir payé des rançons. Seulement 8 % des entreprises ont récupéré toutes leurs données et 29 % ont pu économiser moins de la moitié grâce au paiement. En plus de la rançon, les dommages conséquents et conséquents élevés doivent être pris en compte. Le coût moyen d'une simple récupération suite à une attaque de ransomware a plus que doublé en un an seulement, passant d'environ 390.000 970.000 € en Allemagne à 2021 XNUMX € en XNUMX.
L'intensité criminelle croissante, la créativité et l'intelligence des attaquants ne peuvent être contenues, les développements de ces dernières années décrivent le contraire. Cependant, il existe de nombreuses possibilités, souvent inutilisées, pour réduire le potentiel de risque.
Il ne faut pas qu'une entreprise ou une organisation prenne d'abord une attaque pour prendre une position plus forte en matière de cybersécurité. Vous devez maintenant prendre le temps et les ressources nécessaires pour évaluer la situation en matière de sécurité afin d'établir immédiatement et avec le plus haut niveau de compétence - à la fois en interne et avec des spécialistes externes - une défense meilleure et précoce dans la mesure du possible. Sophos.fr
Trend Micro-Udo Schneider,
Udo Schneider, évangéliste de la sécurité IoT Europe chez Trend Micro (Image : Trend Micro).
Un commentaire d'Udo Schneider, IoT Security Evangelist Europe chez Trend Micro : "Une protection efficace contre les ransomwares doit commencer à la fois au niveau du réseau et du point de terminaison et remplir trois fonctions de base : une protection préventive contre les attaques, une détection rapide des incidents suspects et un fonctionnement persistant.
En plus de l'informatique, l'Internet des objets devient également victime de logiciels de chantage. Une étude de Trend Micro montre que les variantes des familles de malwares Ryuk, Nefilim et Sodinokibi étaient responsables de près de la moitié des infections par ransomwares des systèmes de contrôle industriels en 2020. Par conséquent, il est essentiel que les équipes de sécurité informatique et OT travaillent plus étroitement ensemble pour identifier les systèmes clés et les dépendances telles que la compatibilité du système d'exploitation et les exigences d'exécution afin de développer des stratégies de sécurité plus efficaces.
« En plus de l'informatique, l'Internet des objets est également de plus en plus victime de logiciels de chantage.
La correction immédiate des vulnérabilités est la priorité absolue. Si cette option n'existe pas, les entreprises doivent utiliser la segmentation du réseau et les correctifs virtuels. De plus, les partages réseau doivent être restreints et des combinaisons de nom d'utilisateur et de mot de passe solides doivent être appliquées. Cela empêche l'accès non autorisé en forçant brutalement les informations d'identification. En outre, les entreprises doivent s'appuyer sur le principe du moindre privilège pour les administrateurs et les opérateurs de réseau. Malheureusement, il n'y a pas de panacée pour les attaques de ransomwares. C'est pourquoi un concept de sécurité qui englobe plusieurs niveaux est crucial. TrendMicro.com
Bitdefender - Daniel Clayton
Daniel Clayton, vice-président des opérations de sécurité mondiale et du support chez Bitdefender (Image : Bitdefender).
Un commentaire de Daniel Clayton, vice-président des opérations de sécurité globale et du support chez Bitdefender : « En regardant les gros titres, il semble que les attaques de ransomwares soient monnaie courante. Les données de télémétrie Bitdefender analysées dans notre rapport sur les menaces pour les consommateurs de la mi-avril 2021 le prouvent : en 2020, le nombre d'attaques avec des logiciels malveillants d'extorsion a augmenté de 2019 % par rapport à 715. Les criminels menacent de plus en plus non seulement de crypter les données, mais aussi de les vendre et de les divulguer. Ce dernier est une menace efficace simplement en raison de l'obligation de signalement basée sur le RGPD et d'autres réglementations. Les responsables informatiques doivent donc être conscients du fait que tôt ou tard leur entreprise peut être victime d'une attaque d'extorsion. Les attaques de rançongiciels peuvent être de nature assez simple, mais sont souvent complexes. Dans ce dernier cas, il y a un risque élevé que les pirates se soient déjà intégrés au réseau après avoir payé une rançon et se préparent effectivement à la prochaine attaque.
"Payer une rançon rend une attaque réussie et de nouvelles attaques plus probables"
Faut-il payer la rançon ? La réponse claire est : non. Parce que le paiement d'une rançon rend une telle attaque réussie et de nouvelles attaques plus probables. Tant que les entreprises continueront à payer des rançons, les pirates commenceront de nouvelles extorsions. C'est pourquoi la prévention, le MDR et la minimisation des dommages potentiels grâce à la sauvegarde et à la restauration sont essentiels. De plus, les pirates se souviennent des entreprises qui ont payé une fois comme de bonnes cibles pour l'avenir. La probabilité de récidive est significativement plus faible pour une victime qui ne paie pas. Bitdefender.com
TEST AV – Maik Morgenstern
Maik Morgenstern, CTO AV-TEST GmbH (Image : AV-TEST).
Un commentaire de Maik Morgenstern, CTO AV-TEST GmbH : AV-TEST enregistre chaque jour plus de 400.000 XNUMX nouveaux échantillons de logiciels malveillants et chaque entreprise le sait par sa propre expérience : ils sont constamment attaqués. Les rançongiciels sont depuis plusieurs années l'un des modèles commerciaux « les plus performants » pour les criminels. D'une part, les attaques sont relativement faciles à réaliser. Les attaquants achètent le ransomware fini en tant que service, utilisent des fournisseurs de services de spam et attaquent de nombreuses entreprises d'un seul coup sans aucun effort.
"Le besoin de prévention ne peut être surestimé"
De plus, il y a le niveau élevé de souffrance subi par les victimes et la conversion directe d'une infection réussie en valeur nominale. Même si des conseils répétés sont donnés de ne pas payer, certaines entreprises n'ont pas le choix. Par conséquent, la nécessité de la prévention ne saurait être surestimée ici. En plus des mesures courantes telles que des sauvegardes régulières et complètes et des produits de protection toujours à jour sur le client et la passerelle, le facteur d'ingénierie sociale doit également être pris en compte. Tous les utilisateurs doivent être préparés dans des cours de formation réguliers sur le type d'attaques et la réaction correcte aux e-mails potentiels de spam et de logiciels malveillants. AV-TEST.org
Bitglass—Anurag Kahol
Anurag Kahol, CTO Bitglass (Image : Bitglass).
Un commentaire d'Anurag Kahol, CTO Bitglass : « Dans leurs défenses contre les ransomwares, les organisations se concentrent principalement sur l'arrêt de tous les vecteurs d'attaque. Pour ce faire, ils utilisent des solutions de sécurité intelligentes qui signalent et bloquent les e-mails suspects, protègent les logiciels malveillants aux terminaux et dans le cloud, et sécurisent l'accès non autorisé aux ressources de l'entreprise. Cependant, pour une stratégie globale contre les ransomwares, la prévention d'une infestation n'est qu'un côté de la médaille. Un plan d'action pour le niveau d'escalade suivant - une attaque réussie - existe rarement.
"Il y a rarement un plan d'action pour le prochain niveau d'escalade - une attaque réussie"
Les priorités pour cela sont évidentes : il s'agit tout d'abord de maintenir les activités commerciales ou de les reprendre le plus rapidement possible. Afin de s'y préparer, les entreprises doivent évaluer la pertinence des composants individuels de leurs systèmes informatiques pour les opérations commerciales, passer par divers scénarios de défaillance et prendre les précautions appropriées pour les opérations d'urgence. La protection des données sensibles de l'entreprise est également importante, car il existe un risque que les cybercriminels les volent et les utilisent à mauvais escient à leurs propres fins. Les entreprises peuvent éviter ce scénario en chiffrant en continu les données sensibles. Lorsque toutes les couches de mesures fonctionnent ensemble - se défendre contre les infections par ransomware, sauvegarder la continuité des activités et protéger en permanence les données les plus précieuses de l'entreprise - les entreprises peuvent augmenter considérablement leur résilience contre les attaques de ransomware. Bitglass.com
Gardien numérique—Tim Bandos
Tim Bandos, responsable de la sécurité de l'information chez Digital Guardian (Image : Digital Guardian).
Un commentaire de Tim Bandos, responsable de la sécurité de l'information chez Digital Guardian : "Chaque année, les opérateurs et les développeurs de ransomwares font évoluer leur métier et leur technologie. Le groupe DarkSide à l'origine du piratage de Colonial Pipeline a un modèle commercial professionnel qui le montre clairement : les criminels fournissent une assistance technique à leurs victimes, adoptent une approche "éthique" de la sélection de leurs cibles, volent des données à des fins d'extorsion, etc.
"Il existe une variété de solutions qui peuvent aider à prévenir les infections par ransomware"
Il existe une variété de solutions qui peuvent aider à prévenir les infections par ransomware. Les logiciels antivirus et les pare-feu peuvent au moins aider à bloquer les souches de logiciels malveillants connues et répandues. Pour une protection accrue, les entreprises doivent envisager les solutions Advanced Threat Protection (ATP) et Endpoint Detection and Response (EDR) pour rationaliser la détection et le blocage des ransomwares. La détection et la réponse gérées (MDR) peuvent également être une bonne alternative pour les entreprises qui ont du mal à mettre en œuvre elles-mêmes l'EDR en raison de ressources internes limitées.
Les solutions de liste blanche d'applications doivent également être utilisées pour empêcher l'exécution de code malveillant. Vous devez également faire attention au suivi correct des autorisations. Tout employé accédant aux systèmes crée une vulnérabilité potentielle pour les ransomwares. Avec une approche de sécurité à plusieurs niveaux consistant en la formation des employés, des pratiques de mise à jour et de sauvegarde continues et des technologies de sécurité, le risque d'attaque par ransomware peut être considérablement réduit. DigitalGuardian.com
ForeNova—Paul Smit
Paul Smit, directeur des services professionnels chez ForeNova (Image : ForeNova).
Un commentaire de Paul Smit, directeur des services professionnels chez ForeNova : « Il ne s'agit plus d'arrêter les attaques individuelles, il s'agit de lutter contre les gangs organisés. Le ransomware est devenu le crime organisé. Cela nécessite une défense correspondante. Face aux menaces de ransomwares, la prévention est essentielle.
"Il ne s'agit plus de repousser des attaques individuelles, mais de combattre des bandes organisées"
Les sauvegardes sécurisent les données et peuvent empêcher la perte de données, mais pas la divulgation et la vente d'informations. Pour la défense, il est crucial de reconnaître une attaque le plus tôt possible. Pour ce faire, cependant, l'ensemble du trafic de données au sein du réseau et de l'intérieur ainsi que vers l'extérieur doit être observé. Des modèles de comportement pris en charge par l'IA tels que des mouvements latéraux suspects, des attaques contre des failles de sécurité ou des installations de logiciels malveillants ainsi qu'une intrusion malveillante, une fuite de données manifeste ou la préparation immédiate du cryptage peuvent être remarqués. Les systèmes affectés peuvent être bloqués et les attaques rapidement contenues avant qu'elles ne causent des dommages.
Faut-il payer pour les attaques de ransomware ? Rien ne parle de payer une rançon. Parce que personne n'a la garantie que les données seront à nouveau décryptées. Dans tous les cas, les dommages causés par les temps d'arrêt jusqu'à ce que les systèmes soient à nouveau opérationnels subsistent. Les informations divulguées peuvent toujours être vendues ou détournées à des fins lucratives. Et la porte dérobée pour la prochaine attaque est peut-être déjà une fissure ouverte à nouveau. ForeNova.com
Radar Cyber Sécurité – Ali Carl Gülerman
Ali Carl Gülerman, PDG et directeur général de Radar Cyber Security (Image: Radar Cyber Security).
Un commentaire d'Ali Carl Gülerman, PDG et directeur général de Radar Cyber Security : "Les entreprises d'aujourd'hui sont dans une bataille constante contre l'infiltration. La cybersécurité doit donc sortir de l'ombre de l'IT et devenir un modèle de décision stratégique pour le conseil d'administration - au même titre que les ressources humaines ou la recherche & développement. La cybersécurité fait depuis longtemps partie de la chaîne de valeur.
"Les entreprises d'aujourd'hui sont dans une bataille constante contre l'infiltration"
Pour une prévention complète contre les cyberattaques, y compris les ransomwares, les entreprises devraient envisager leur propre centre de cyberdéfense ou CDC en tant que service, car cela peut renforcer considérablement leur cyber-résilience. Il aide les organisations à analyser le grand nombre d'alertes, de nouvelles menaces et d'anomalies identifiées par l'infrastructure de sécurité technique.
Un centre de cyberdéfense - également appelé centre d'opérations de sécurité (SOC) - met en relation les experts, les processus et les technologies de la sécurité informatique. Au CDC, des professionnels formés examinent en permanence le trafic Internet, les réseaux, les ordinateurs de bureau, les serveurs, les terminaux, les bases de données, les applications et autres systèmes informatiques à la recherche de signes d'incident de sécurité. En tant que centre de commandement de la sécurité d'une entreprise, le CDC est chargé de surveiller en permanence la situation en matière de sécurité afin de prévenir les attaques et d'initier les contre-mesures appropriées en cas d'atteinte à la sécurité." RadarCS.com
Réseaux Barracuda — Klaus Gheri
Klaus Gheri, directeur général de la sécurité réseau chez Barracuda Networks (Image : Barracuda).
Un commentaire de Klaus Gheri, General Manager Network Security chez Barracuda Networks : « Payer la rançon ou ne pas payer ? La réponse politiquement correcte est de ne pas payer, car cela réduit votre opportunité en tant que future cible de répétition. En pratique, bien sûr, le cas est différent. Lorsque les données essentielles ne sont plus accessibles ou récupérables avec un effort raisonnable, une entreprise se retrouve avec peu d'options. Il s'agit donc moins d'une décision morale que commerciale. Bien sûr, le paiement ne vous dispense pas de la nécessité d'une enquête médico-légale et d'un nettoyage par la suite en plus des nouvelles mesures de protection à prendre pour se protéger contre la récidive. Il est d'autant plus conseillé d'investir dans la prévention tant que vous le pouvez encore.
"Une fois qu'une attaque de ransomware réussit, seul un remède radical aide généralement"
Si une attaque de ransomware réussit, la seule chose qui peut généralement aider est un remède radical : éteignez les systèmes, réinstallez-les et importez une sauvegarde - toujours avec l'espoir que le package de ransomware ne faisait pas déjà partie d'une sauvegarde. Mais avant que la sauvegarde puisse être importée à nouveau, la passerelle doit être connue et le réseau doit avoir été nettoyé avec des jets de vapeur numériques. Le moyen le plus simple et le plus rapide d'y parvenir est d'élaborer un plan d'urgence prêt à l'emploi. Malheureusement, le nœud du problème est que de tels plans d'urgence n'existent souvent pas parce que le besoin et le risque pour ses propres systèmes n'ont pas été reconnus ou sous-estimés. Souvent, un problème est résolu à la hâte et deux nouveaux surgissent. La stratégie ne peut être que : une action rapide mais coordonnée. Même si une organisation décide de payer, le nettoyage doit encore être fait, ou vous serez de retour au même endroit peu de temps après. Barracuda.com