Selon Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix, les cybercriminels ont parfois une meilleure connaissance et compréhension des réseaux que les entreprises elles-mêmes, ce qui les rend vulnérables.

« Les attaques par ransomware sont difficiles à détecter suffisamment rapidement pour éviter les dommages. Les cybercriminels utilisent des techniques d’ingénierie sociale astucieuses pour installer les ransomwares et des algorithmes très puissants pour chiffrer les données sensibles. Une fois qu’un ordinateur ou un autre terminal est infecté, le ransomware peut se propager dans tout le réseau et s’exécuter extrêmement rapidement, ce qui rend presque impossible toute réaction à temps. Souvent, l’organisation ciblée ne prend conscience de l’attaque que lorsque le ransomware a chiffré ses données et annoncé sa présence pour exiger un paiement.

Les ransomwares sont devenus l’une des menaces de cybersécurité les plus répandues et les plus insidieuses. Les dommages causés par de telles attaques peuvent être non seulement coûteux, mais aussi catastrophiques ; certains organismes ne s’en remettent pas, ou bien ne sont plus en mesure d’assurer leur activité durant un moment, ce qui peut être critique, notamment dès que les opérateurs d’importance vitale sont concernés.

Dans de nombreux cas, c’est l’asymétrie entre défenseurs et attaquants qui permet à ces derniers de prendre le pouvoir. Ils étudient le réseau et les dispositifs de leur cible, et n’ont plus qu’à attendre le bon moment. Bien souvent, les changements qui s’opèrent sur l’infrastructure ouvrent la porte aux cybercriminels. Cela peut concerner une vulnérabilité connue mais négligée, ou tout simplement ignorée, ou bien un exploit de type "zero-day" pour lequel aucun correctif n’a encore été publié. La menace peut également venir de l’intérieur, par exemple, si la maintenance d’un service n’est pas effectuée ou lorsqu’un employé, qui a quitté l’entreprise, a encore accès à des dossiers. Malheureusement, il n’y a pas d’interrupteur unique qui active la cybersécurité de manière indéfinie, car il y a trop de facteurs mobiles dans une infrastructure donnée.

Le changement est la seule constante. Au fil du temps, de nouveaux systèmes sont ajoutés, de nouveaux comptes sont créés, des données issues de la production ou des opérations commerciales sont générées et modifiées, de nouveaux logiciels sont installés ou des installations existantes sont mises à jour. Tout changement est susceptible d’offrir l’opportunité à un attaquant de s’infiltrer. C’est pourquoi les entreprises doivent impérativement contrôler les changements qui s’opèrent, afin de gérer les dérives qui rendraient leurs actifs moins sûrs. Cela suppose de connaître et de comprendre l’ensemble des dispositifs en place, les serveurs et la surface d’exposition, mais aussi d’avoir une vision sur l’ensemble des comptes en activité et, enfin, une parfaite connaissance et analyse des données.

Le manque de visibilité sur les données et la négligence des employés sont les principaux défis de sécurité aujourd’hui. Pour faire face à la recrudescence des menaces, les équipes informatiques doivent donc comprendre et savoir ce qui se passe dans l’environnement IT et cloud, et être en mesure d’identifier, mesurer et minimiser les risques pour les données hautement sensibles. Il est également important d’établir une stratégie de gouvernance continue des données, en classant les informations sensibles, en appliquant les contrôles appropriés et en vérifiant étroitement les activités critiques. »