Cet article fait partie de notre guide: Ransomware : mieux comprendre la menace

Ransomware : 10 idées reçues contredites par la réalité des cyberattaques

Certaines idées reçues ont la vie dure, en matière de cyberattaques avec ransomware. La plupart de ces mythes, ou légendes urbaines ont un point commun : elles peuvent conduire à développer un faux sentiment de sécurité. D’où l’importance de rétablir la réalité de la menace.

En matière de cybersécurité comme ailleurs, les idées reçues ne manquent pas. Malheureusement, lorsque l’on parle de menaces informatiques, de cyberattaques, ou encore de rançongiciels, ces mythes – parfois entretenus par des acteurs de la cybersécurité dans leur communication, sans malice toutefois – peuvent encourager à se sentir à l’écart du risque. Ce sentiment de sécurité injustifié peut conduire à baisser la garde, à relâcher ses efforts et, in fine, à faire de son organisation une victime en devenir qui s’ignore.

Deux experts du domaine, Brett Callow, directeur exécutif de FTI Consulting pour la cybersécurité et la confidentialité des données, et Allan Liska, spécialiste du renseignement sur les menaces chez Recorded Future, nous ont aidés à dresser la liste de ces principales idées reçues et à les démentir.

Idée reçue n° 1, relevée par Allan Liska : les acteurs du rançongiciel « visent » certains secteurs d’activité plus que d’autres 

Les cyberdélinquants ne visent pas un secteur d’activité plutôt qu’un autre. Ils attaquent des organisations pour lesquelles ils ont obtenu des « accès » : une porte d’entrée dans le système d’information. La surreprésentation de certains secteurs d’activité par rapport à d’autres, parmi les victimes, traduit surtout des écarts de maturité en matière de cybersécurité, de préparation, et de moyens techniques et humains. Brett Callow souligne que cela n’empêche pas que les cyberdélinquants puissent se montrer sélectifs quant aux systèmes d’information qu’ils choisissent d’attaquer, ne serait-ce que pour maximiser leurs chances de monétisation de leurs méfaits.

Idée reçue n° 2, relevée par Allan Liska : la plupart des attaques avec ransomware touchent aujourd’hui des entreprises ou des organisations professionnelles

Les particuliers continuent d’être touchés par des cyberattaques avec ransomware. Particuliers et PME constituent la majorité des victimes, relève Brett Callow. Mais ces attaques ont un impact considérablement plus faible et moins visible. Elles sont dès lors bien moins médiatisées. En outre, elles n’impliquent généralement pas de groupes de cyberdélinquants pratiquant la double-extorsion et menaçant de divulguer des données dérobées lors de l’intrusion. Enfin, les données de cybermalveillance.gouv.fr suggèrent que, soit les attaques contre des particuliers se sont raréfiées, soit ceux-ci demandent rarement de l’aide.

Idée reçue n° 3, relevée par Brett Callow : notre entreprise est trop petite pour intéresser des attaquants

Les cybermalfaiteurs s’attaquent aux organisations de toutes tailles. Cela ne signifie pas que certains ne sont pas spécialisés, à titre individuel, sur certains profils d’organisations plutôt que sur d’autres, du fait de leurs ambitions, de leur expérience et de leurs compétences. Mais globalement, il n’y a pas d’entreprise trop petite pour être intéressante pour les attaquants. Des victimes de toutes tailles ont été observées au cours des années passées.

Idée reçue n° 4, relevée par Allan Liska : la cyberassurance paiera la rançon, alors je n’ai pas besoin de me préparer à l’éventualité d’une attaque

Faire indemniser le paiement d’une rançon par son assurance cyber, ne doit pas permettre de faire l’économie d’un nettoyage en profondeur du système d’information. Des attaquants ont montré qu’ils conservaient des données d’authentification volées chez leurs victimes. Celles-ci peuvent leur permettre de revenir. En outre, rien n’assure que d’autres cybermalfaiteurs ne disposaient pas aussi de portes d’entrée : un second groupe peut passer à l’attaque après un premier. Enfin, relève Allan Liska, un nombre croissant de cyberassurances ont indiqué ne plus vouloir, explicitement, couvrir le paiement de rançons, dont Axa et récemment Generali, en France.

Idée reçue n° 5, relevée par Allan Liska : mon pare-feu et ma protection des postes de travail et des serveurs vont me garder à l’abri

Une fois dans le système d’information de l’entreprise, profitant d’une vulnérabilité critique sur un système exposé sur Internet, ou d’une campagne de malspam, les attaquants n’ont que faire de la sécurité périmétrique offerte par le pare-feu. D’autres systèmes de sécurité réseau sont nécessaires. Les systèmes de protection des serveurs et des postes de travail sont quant à eux insuffisants : il n’est pas rare que les attaquants les désactivent tout simplement avant de déployer et déclencher leur ransomware. Brett Callow souligne qu’une protection en couches multiples est nécessaire, avec authentification à facteurs multiples, segmentation réseau, etc. L’idée est que chaque couche de protection a ses failles ; en multipliant les couches, on réduit le risque que ces failles s’alignent pour ouvrir un boulevard aux assaillants.

Idée reçue n° 6, relevée par Brett Callow : les sauvegardes sont la meilleure défense contre les rançongiciels

Les sauvegardes ne constituent pas une protection contre les rançongiciels. Tout d’abord, elles ne manquent pas d’être elles-mêmes compromises, voire endommagées, par les attaquants, lorsque l’architecture du système d’information leur permet d’y accéder. Lorsque ce n’est pas le cas, elles s’intègrent surtout dans une stratégie plus large de résilience, pour remettre l’entreprise sur pieds. Enfin, elles ne sont d’aucun secours contre la menace de divulgation de données volées dans le cadre d’attaques misant sur une tactique de double extorsion.

Idée reçue n° 7, relevée par Brett Callow : les attaques sont hautement sophistiquées et difficiles à prévenir

Les victimes mettent souvent en avant une prétendue sophistication des attaques. Mais dans la pratique, cette communication vise surtout à cacher des défaillances béantes dans les pratiques de sécurité de la victime. Les attaques ne sont pas nécessairement faciles à détecter et à bloquer, mais réduire leurs chances de succès est possible, parfois même avec des moyens peu sophistiqués et une hygiène de sécurité rigoureuse.

Idée reçue n° 8 : payer la rançon va faire de moi un « bon client » (et je m’expose à être attaqué à nouveau)

Cette crainte a notamment été alimentée avec un sondage, dont les résultats ont été publiés par Cybereason en juin 2021. Elle est ravivée par l’édition 2024 de l’étude de l’éditeur sur le coût des cyberattaques. Mais elle ne trouve pas de confirmation dans les observations de terrain. Certaines organisations sont bien attaquées à diverses reprises. Plusieurs cas d’entreprises n’ayant pas payé la rançon et ayant fait l’objet de revendications d’attaques ont d’ailleurs été documentés, au cours des dernières années. Mais les revendications croisées suggèrent plutôt l’implication d’un assaillant ayant simultanément recours à plusieurs franchises.

Le fait d’être attaqué à nouveau traduit surtout un effort de reprise d’activité trop hâtif : le système d’information n’a pas été proprement nettoyé ; les leçons de l’attaque n’ont pas été dûment retirées. De nouveaux attaquants (voire les mêmes) ont ainsi pu revenir à la charge.

Idée reçue n° 9 : le télétravail a contribué à la multiplication des cyberattaques

Les cyberdélinquants ont cherché à profiter de thèmes associés à la pandémie de Covid-19 et aux confinements. Mais ils ne se sont pas montrés plus agressifs pour autant. Emsisoft a même observé une baisse du nombre d’attaques contre le secteur public outre-Atlantique au premier trimestre 2020.

Le télétravail n’a pas non plus rendu les organisations plus vulnérables : la seule protection périmétrique a fait largement la démonstration de ses limites contre les ransomwares. En outre, le poste de travail nomade d’un utilisateur n’est pas intrinsèquement plus vulnérable qu’un ordinateur de bureau, à compter toutefois que les mesures de protection appropriées aient été mises en place par l’entreprise, notamment pour la messagerie électronique ou le contrôle des identités et des accès.

Idée reçue n° 10 : la crise va durer quelques semaines puis tout sera fini

Qui dit cyberattaque, dit crise initiale, technique et humaine, mais aussi craintes liées à un vol de données (pas toujours facile à déterminer), liées à la revendication de l’attaque, et liées encore à la divulgation des données éventuelles volées. Mais au bout de quelques semaines, à mesure que l’outil informatique est nettoyé et relancé, que le ciel semble se dégager, il peut être tentant de penser que l’orage est bel et bien passé et que tout est fini.

Las, l’absence de revendication après une ou deux semaines ne garantit pas qu’elle n’adviendra pas. L’absence de divulgation de données volées non plus. Et pour celle-ci, rien ne dit qu’elle ne surviendra pas beaucoup plus tard, sous une autre enseigne que celle des assaillants d’origine, et même plusieurs fois.

Exemple particulièrement frappant récemment : c’est en mai 2024 que la cyberattaque contre la ville de Bouchemaine a été revendiquée sur la vitrine de LockBit 3.0, alors qu’elle était survenue un an plus tôt. Mais nous avons aussi constaté des délais de revendication et de divulgation parfois très longs dans les rangs de Black Basta, et très antérieurement chez Pysa.

Initialement publié le 4 février 2022. Mis à jour le 17 février 2022, le 13 novembre 2023, le 18 mars 2024, puis le 5 août 2024.

Pour approfondir sur Menaces, Ransomwares, DDoS