À titre d’exemple, dans le monde, les managers IT issus d’entreprises qui ont été victimes de ransomwares sont presque trois fois plus susceptibles de se sentir « très en retard » en ce qui concerne leur compréhension des cybermenaces, comparés à leurs homologues provenant d’entreprises qui n’ont pas été touchées par ces attaques (respectivement 17 % et 6 %). En France, les managers IT qui se sentent « très en retard » représentent 6 % des répondants.

Plus d’un tiers (35 %) des victimes d’attaques par ransomwares déclarent que le recrutement et la fidélisation de personnels IT compétents et spécialisés dans la sécurité constituait le plus grand défi auxquels ils devaient faire face en matière de cybersécurité, tandis qu’ils n’étaient que 19 % à le penser dans les entreprises non touchées. En France, 23 % des répondants touchés partagent ce sentiment.

Concernant la sécurité, l’étude montre que les victimes de ransomwares passent proportionnellement moins de temps sur la prévention (42,6 %) et davantage sur la réaction aux menaces (27 %), comparées aux entreprises qui n’ont pas été touchées par une attaque (respectivement 49 % et 22 %), et allouent des ressources au traitement des incidents plutôt que de concentrer les moyens sur leur prévention. Pour la France, 44 % se concentrent sur la prévention et 24 % sur la réaction.

« La différence en matière de priorisation des ressources pourrait indiquer que les victimes de ransomwares sont confrontées à davantage d’incidents par rapport à l’ensemble des répondants. Toutefois, cela pourrait tout aussi bien montrer qu’ils sont plus vigilants au regard de la nature complexe et par étapes des attaques avancées et investissent par conséquent davantage de ressources dans la détection des signes avant-coureurs d’une attaque et dans leur réaction à ces événements, » déclare Chester Wisniewski, Principal Researcher chez Sophos.

Comme le démontre un article publié sur SophosLabs Uncut et intitulé « Inside a new Ryuk ransomware attack », le fait que les tactiques, techniques et procédures (TTP) des cyberattaquants qui utilisent des ransomwares ne cessent d’évoluer complique la tâche des équipes de sécurité IT. Cette publication déconstruit une attaque récente impliquant le ransomware Ryuk. Les personnels de Sophos en charge de la réaction aux incidents ont découvert que les cyberattaquants Ryuk utilisaient des versions mises à jour d’outils légitimes largement disponibles pour créer une brèche dans le réseau ciblé et déployer le ransomware. Fait inhabituel, l’attaque est entrée en action très rapidement – moins de trois heures et demie se sont écoulées entre l’ouverture par un employé d’un document malveillant joint à un e-mail de phishing et la mise en œuvre d’une opération de reconnaissance active du réseau par les cyberattaquants. En moins de 24 heures, ceux-ci avaient accédé à un contrôleur de domaine et se préparaient à lancer Ryuk.

« L’enquête que nous avons menée sur l’attaque impliquant le ransomware Ryuk qui a eu lieu récemment met en évidence le type de menaces auxquelles les entreprises sont confrontées. Les équipes de sécurité IT doivent se tenir en alerte 24h/24 7j/7 et maîtriser pleinement les derniers renseignements concernant les outils et les comportements des cyberattaquants. Les résultats de l’étude illustrent clairement l’impact de ces exigences quasi impossibles à satisfaire. De plus les victimes de ransomwares ont une confiance très affaiblie dans leur capacité à reconnaître des cybermenaces. Toutefois, leur expérience semble leur avoir donné une meilleure appréciation de l’importance de disposer de professionnels compétents en matière de cybersécurité, ainsi que de l’urgence qu’il y a à mettre en place une chasse aux menaces menée par des êtres humains afin de mieux comprendre et identifier les comportements les plus récents en matière de cyberattaques, » déclare Chester Wisniewski. « Quelles qu’en soient les raisons, il est clair que concernant la sécurité, une entreprise n’est plus jamais la même après avoir été victime d’un ransomware. »

Le rapport complet [étude sur Ryuk] est disponible sur SophosLabs Uncut, sur lequel les chercheurs de Sophos publient régulièrement les derniers résultats d’études et les découvertes, à l’instar de l’article sur le ransomware Maze qui adopte des techniques propres à Ragnar Locker. Les chercheurs spécialistes des menaces peuvent suivre les dernières publications SophosLabs Uncut en temps réel sur le compte Twitter @SophosLabs.

À propos de l’étude

L’étude intitulée « Cybersecurity : The Human Challenge » a été dirigée par Vanson Bourne, spécialiste indépendant des études de marché, aux mois de janvier et février 2020. Au cours de ce sondage, 5 000 décideurs IT de 26 pays différents ont été interrogés – États-Unis, Canada, Brésil, Colombie, Mexique, France, Allemagne, Royaume-Uni, Italie, Pays-Bas, Belgique, Espagne, Suède, Pologne, République Tchèque, Turquie, Inde, Nigéria, Afrique du Sud, Australie, Chine, Japon, Singapour, Malaisie, Philippines et Émirats Arabes Unis. Tous les répondants sont issus d’entreprises comprenant entre 100 et 1 500 employés.