Pour Jean-Christophe Vitu, Director Presales and Professional Services France, chez CyberArk, cette attaque confirme de nouveau qu’en matière de cybersécurité, rien ne doit être pris pour acquis, et que la menace est aussi permanente qu’imminente. La véritable question pour les entreprises n’est plus de se demander si elles seront attaquées, mais comment protéger leurs données quand elles le seront.

« Les ransomwares connaissent une croissance exponentielle ces trois dernières années et sont en perpétuelle évolution ; nous voyons de plus en plus de variantes apparaitre qui ne se contentent pas uniquement de chiffrer ce qui se trouve sur le disque dur d’un PC. Ils se concentrent plutôt sur les points d’accès qui donnent un accès plus large, tels que ceux utilisés par les administrateurs IT. Cette approche permet à l’intrus de se déplacer plus largement à l’intérieur du réseau, à la recherche de plus de systèmes qu’il peut chiffrer également. Par conséquent, les données contenues sur l’ordinateur initialement touché n’ont que peu d’importance puisqu’à partir de là, l’attaque a le potentiel de causer d’importants dégâts. En effet, les hackers ont pour but de s’introduire insidieusement à l’intérieur des systèmes, et de s’y déplacer latéralement afin de collecter le plus d’information possible ; c’est pourquoi ils ont besoin, en premier lieu, de récupérer les identifiants et mots de passe pour y pénétrer.

Nous sommes en effet témoins, aujourd’hui, de scénarios dans lesquels les pirates informatiques utilisent des identifiants à privilèges pour trouver et détruire les sauvegardes de données sur lesquelles les organisations s’appuient généralement pour se remettre d’une cyberattaque, et éviter de devoir verser une rançon. Les back-ups seuls ne suffisent plus, en particulier si les organisations exposent leurs identifiants à privilèges aux hackers. Cela signifie donc que les entreprises peuvent avoir à choisir entre perdre totalement leurs données et payer la rançon. Pour se défendre contre de futures attaques de ce type, et limiter les dommages, il est donc essentiel d’éliminer la capacité des assaillants à effectuer des opérations malveillantes ou à accéder aux éléments sensibles comme les identifiants des comptes admin pour propager un ransomware au-delà de la machine initialement compromise. Pour ce faire, il est indispensable que les organisations changent la manière dont elles sécurisent les points d’accès. Comment ? En ne bloquant pas les menaces déjà connues, mais plutôt en prévenant et se protégeant contre les opérations dangereuses. En outre, l’adoption d’une approche de sécurité centrée sur le blocage du pirate informatique à l’intérieur du système facilitera la prévention de toute collecte d’identifiants de connexion et donc de toute tentative d’exfiltration des données.

Les entreprises doivent, aujourd’hui plus que jamais, considérer que la menace se trouve déjà à l’intérieur de leurs systèmes et n’ont d’autre choix que de prendre les devants. La mise en place d’équipes dédiées afin de surveiller et identifier tout accès non autorisé aux identifiants permettra de bloquer toute progression le plus tôt possible dans le cycle de vie de l’attaque. Cette nouvelle vague d’attaques simultanées sans précédent est la preuve, s’il en fallait, que toute organisation sera attaquée tôt ou tard. »