Les enseignements répertoriés dans ce Benchmark proviennent de l’analyse des interventions de l’équipe CERT-Wavestone, en charge de l’aide aux victimes en cas de cyberattaques, réalisées entre septembre 2020 et octobre 2021. Cela représente 60 incidents de sécurité majeurs ayant mené à une interruption d’activités ou à une compromission avancée du Système d’Information et ce, dans des secteurs très variés : industrie, secteur public, agroalimentaire, technologies de l’information, finance...

60% des attaques observées par le CERT-Wavestone sont des ransomwares

Sans grande surprise, les ransomwares restent aujourd’hui la menace numéro 1 en France et représentent 60% des cyberattaques rencontrées par le CERT-W chez ses clients. Les attaques de type ransomwares se multiplient et se diversifient tant dans leur déroulé technique que dans les méthodes d’extorsion. Les cybercriminels sont également plus organisés et mieux outillés pour mener des attaques toujours plus efficaces, et le business model des ransomwares est aujourd’hui extrêmement profitable. Malgré les arrestations récentes et les mouvements diplomatiques, il y a donc peu de chance que ces attaques se tarissent en 2022.

30% des attaques ransomwares observées combinent le blocage du SI et le vol de données

Au-delà du simple blocage du SI, la combinaison avec un vol de données devient de plus en plus présente. En effet, 30% des attaques ransomwares observées combinent le blocage du SI et le vol de données, ce dernier constituant un levier supplémentaire pour obtenir des gains financiers.

Des attaques de plus en plus rapides : un minimum de 3 jours et une moyenne de 25 jours entre l’intrusion et la demande de rançon

L’analyse révèle une réduction du temps moyen entre l’accès initial et le déploiement du ransomware dans le système avec un minimum de 3 jours pour l’attaque la plus rapide et une moyenne de 25 jours sur les cas gérés. Les attaquants sont de plus en plus déterminés à nuire à leurs victimes. En effet, désormais, ils vont jusqu’à cibler et détruire les mécanismes de sauvegarde pour forcer le paiement de la rançon (21% des cas).

90% des victimes ont perdu irrémédiablement des données, mais le paiement des rançons diminue

Dans 90% des cas, des données ont été perdues irrémédiablement. A noter la baisse significative du paiement des rançons cette année (de 20% des victimes l’année précédente à 5%). De multiples facteurs peuvent expliquer cette baisse : de la meilleure compréhension du faible intérêt à payer (le paiement de la rançon n’accélérant en rien le temps de résolution de la crise) aux actions de sensibilisation et de pression sur les intermédiaires de paiement par les différentes autorités.

D’autres types d’attaques sévissent toujours en toile de fond…

Les ransomwares ne doivent toutefois pas faire oublier les attaques de vols de données, de fraude et le gain de capacité d’attaques qui restent également bien présentes (25% des interventions du CERT-W) même si celles-ci sont moins fréquentes.

En ce qui concerne les canaux d’accès pour s’introduire dans les systèmes, les principales portes d’entrée restent l’utilisation de comptes valides préalablement découverts/volés (23%), les emails frauduleux/phishing pour obtenir un accès (20%) et les services d’accès distants en utilisant des failles de sécurité ou des défauts de configuration (18%).
Il est également important de noter que seulement 26% des incidents majeurs ont été identifiés par les services de détection des entreprises.

56% des victimes n’avaient pas anticipé être la cible potentielle d’une cyberattaque

56% des victimes n’étaient ni dotées d’un contrat de réponse à incident, ni d’une cyberassurance et 42% des victimes n’avaient pas réfléchi à leur résilience en cas d’indisponibilité du système d’information.

Pourtant, chacun d’entre nous, entreprise comme particulier, peut aujourd’hui être victime d’une cyberattaque, de type ransomware ou autre. Il est important que nous en prenions tous conscience. Et il est nécessaire pour les entreprises d’anticiper et de s’y préparer dès à présent. Quelques actions leur permettront déjà de réduire les risques et de faire en sorte qu’elles ne soient pas une cible facile.

L’Active Directory : un actif clé qui doit être au cœur de toute stratégie de sécurisation

Gérôme Billois et Matthieu Garin recommandent en premier lieu d’identifier et de protéger les systèmes et les données les plus critiques, sans oublier les systèmes techniques comme l’Active Directory. L’AD représente, en effet, la pierre angulaire du système d’information en matière de droits et de comptes à privilèges. Il constitue en ce sens une cible prioritaire pour les cybercriminels, qui cherchent à obtenir un accès large au système d’information en le compromettant. D’ailleurs, dans tous les cas de ransomwares traités cette année par le CERT-W, l’AD était compromis et l’attaquant possédait des comptes d’administration du domaine.
L’Active Directory s’avère donc un actif clé qui doit être au cœur de toute stratégie de sécurisation. Face à ce constat et pour accompagner les entreprises dans leurs démarches, Wavestone s’est s’associé à Microsoft pour rédiger un livre blanc consacré à la sécurisation de l’Active Directory et d’Azure AD, aux enjeux et trajectoires de transformation.

La reconstruction du SI doit être pensée en amont

Outre l’amélioration de la détection des attaques, via un service spécialisé 24/7 par exemple, mais aussi de la sécurité des sauvegardes, la reconstruction du SI représente également un axe majeur qui doit être au cœur de la stratégie de sécurisation de toute entreprise. Plusieurs questions doivent se poser en la matière, et surtout devront trouver réponses en amont de toute cyberattaque, au travers de différents scénarios réalistes. En cas d’attaque, quels types d’actifs risquent d’être touchés ? Qu’est-ce que l’entreprise devra reconstruire (applications métiers, infrastructures…), et dans quel ordre de priorité ? Etc. Il est essentiel d’écrire en amont les plans de reconstruction et de les tester, de définir la timeline…

S’entraîner à gérer la crise et à travailler sans IT

Bien souvent, les métiers s’imaginent aujourd’hui qu’ils ne peuvent plus travailler sans IT, ce qui est bien évidemment inexact. Tant que les systèmes informatiques fonctionnent, nous avons juste perdu l’habitude d’exercer notre métier différemment. C’est pourquoi il est essentiel de s’y préparer et de s’entraîner régulièrement à travailler sans informatique et à reconstruire les systèmes de l’entreprise en urgence. De manière générale, la résilience et la gestion de crise doivent faire partie intégrante de toute stratégie d’entreprise, et faire l’objet d’un entraînement régulier au travers d’exercices dédiés. Ces derniers permettront également de tester les différents scénarios mis sur pied.

Les entreprises peuvent aussi investir dans un service de veille, de type Cyber Threat Intelligence, et/ou souscrire à une cyberassurance et à un contrat auprès de services spécialisés en cas de crise. Gérôme Billois et Matthieu Garin recommandent enfin de garder environ 5% du budget dédié à la cybersécurité pour traiter les cas les plus critiques.