Aujourd’hui, nous avons de plus en plus de mal à comprendre et à hiérarchiser toutes les nuances des menaces cyber existantes au sein d’une entreprise. Comme en témoigne ces chiffres de l’étude, menée par l’unité 42 de Palo Alto Networks en 2023, 70 % des incidents liés aux ransomwares incluront également le vol de données, et pas seulement le chiffrement contre environ 40 % au milieu de l’année 2021.
Plusieurs mesures ont fait leur preuves pour combattre ce phénomène et améliorer la résilience des entreprises. Les équipes de cybersécurité des entreprises tentent de se protéger en prenant, entre autres, des snapshots immuables des données, en renforçant l’infrastructure, en déployant un SIEM et en installant d’autres outils technologiques pour se protéger contre les attaques de ransomwares. Mais ces améliorations sont vite confrontées à des cyberattaques de plus en plus sophistiquées.
On remarque en effet qu’aujourd’hui, il existe une recrudescence d’un type de cyberattaque particulièrement difficile à contrer : le ransomware à double extorsion. Ce deuxième niveau d’extorsion fait référence au fait que les attaquants ne se contentent pas d’exiger un paiement en échange de la clé de décryptage, mais menacent également de publier les données volées si les entreprises ne leur remettent pas l’argent. Ils doublent la punition pour forcer la victime à payer.
La lutte contre les ransomwares à double extorsion est devenue un véritable défi à relever pour les entreprises car elle est exponentiellement plus difficile que la simple défense contre une attaque par chiffrement. En partant du principe que la capacité de restaurer les données n’empêche pas qu’elles aient été volées, pour acquérir une véritable résilience et renforcer votre stratégie de cybersécurité, il faut à mon sens se concentrer sur les sept moyens suivants qui peuvent vous aider à contourner les enjeux créés par cette recrudescence d’attaques ransomwares à double extorsion :
Mettre la priorité sur la sécurité des données : Généralement on constate que trop souvent l’accent est mis sur l’infrastructure et beaucoup moins sur les données. La sécurité de l’infrastructure seule, bien que cruciale, est devenue insuffisante. Aujourd’hui la sécurité des données est devenue une priorité et doit s’intégrer dans le cadre d’une stratégie holistique de cybersécurité afin de surmonter efficacement les cyberattaques.
Repérer les données les plus sensibles : Toutes les données ne sont pas égales, et si elles sont traitées de la même manière, les données sensibles risquent de ne pas être évaluées correctement. La hiérarchisation des données permet d’adopter des positions défensives beaucoup plus efficaces.
Caractériser l’accès aux données : On sait que le maillon faible se trouve régulièrement dans les accès aux données. Les bonnes questions s’imposent : S’agit-il des personnes et des équipes appropriées ? L’authentification multifacteur est-elle en place ? C’est ici qu’intervient l’approche Zero Trust.
Effacer les données périmées : Si des données restent inactives sur une période de six mois à un an, on peut se demander si elles sont encore nécessaires. Les documents plus anciens – même s’ils peuvent être importants – peuvent également contenir des données à risque.
Visualiser les données comme un élément clé pour lutter contre une attaque : En règle générale, les attaquants se rendent dans un endroit, puis dans un autre. Ils se concentrent sur une zone et ils en exfiltrent les données avant de passer à autre chose. C’est pourquoi il est essentiel d’avoir une transparence sur les mouvements de données et toute autre activité irrégulière. Si votre équipe peut repérer rapidement les irrégularités, elle peut éventuellement arrêter les cybercriminels avant qu’ils ne causent des dommages. Cette étape a toujours été importante, mais dans les environnements hybrides d’aujourd’hui, la capacité de voir les mouvements de données entre SaaS, Cloud, sur site et dans les datacenters est devenue vitale.
Prévenir la croissance des données : La plupart des entreprises ne sont pas préparées au fait qu’elles auront encore plus de données sensibles dans le futur. Elles doivent non seulement suivre les déplacements de leurs données, mais aussi la manière dont elles se développent. Les entreprises doivent pouvoir maîtriser le volume de croissance de leurs données dans leurs applications sur site, dans le cloud et le SaaS. Elles doivent évaluer les données sensibles au sein de chacun de ces domaines et enfin, elles doivent déterminer si les données se déplacent dans la direction qu’elles pensent, qu’il s’agisse d’une migration traditionnelle des données ou d’une migration à travers des flux de travail approuvés.
Assigner un propriétaire des données : Souvent, les employés ne savent pas qui est responsable de la définition et de l’application de la stratégie en matière de données, et ce parce que de nombreuses organisations n’ont pas établi ce rôle. Il est pourtant essentiel que ce rôle soit défini et ait un leader, le Data Protection Officer (DPO), par exemple, afin de pouvoir régulièrement évaluer les risques organisationnels et les remonter à la direction de l’entreprise.
