Ransomware : Quelle est cette menace ?
Un ransomware est un type de logiciel malveillant conçu pour chiffrer les fichiers sur un appareil, rendant toute donnée et système inaccessibles, puis exigeant une rançon pour le déchiffrement.
Ce cyberchantage cible aussi bien les individus que les entreprises, y compris des secteurs cruciaux tels que la santé, la finance et le gouvernement. L'opération se déroule généralement en deux phases : l'infection initiale, souvent via un email de phishing ou des sites web compromis, suivie de la demande de rançon, typiquement en cryptomonnaie, pour éviter la traçabilité. Un exemple frappant fut l'attaque WannaCry en 2017, qui a paralysé plus de 200,000 ordinateurs dans 150 pays.
Les hôpitaux britanniques, les entreprises espagnoles, et même des départements gouvernementaux ont été affectés, entraînant des perturbations massives et des coûts de récupération élevés. Cette attaque a souligné la nécessité d'une sécurité informatique robuste, incluant des mises à jour régulières et des sauvegardes fiables, pour se protéger contre de telles menaces.
Quelle a été l'évolution des attaques de ransomware dans le monde en 2023 ?
Au cours des dernières années, la menace des ransomwares a connu une escalade alarmante.
L'année 2023 a marqué un pic sans précédent, reflétant non seulement une augmentation du nombre d'attaques, mais aussi une évolution des techniques employées. Cette tendance inquiétante souligne l'urgence pour les entités de tous secteurs d'adopter des mesures de cybersécurité robustes pour se prémunir contre ces cybermenaces de plus en plus disruptives.
Attaques mondiales de ransomware au niveau mondial : Un pic historique en 2023
Tout au long de l'année 2023, 10 % des organisations dans le monde ont été la cible d'une tentative d'attaque par ransomware. Il s'agit d'une augmentation significative par rapport aux 7 % d'organisations victimes de la même menace l'année précédente, et également du taux le plus élevé de ces dernières années.
Pourcentage d'entreprises ciblées par des attaques par Ransomware
Ransomware : Le continent américain enregistre la plus forte hausse annuelle
L'impact des ransomwares sur les organisations a été observé dans les principales régions du monde, l'Europe et l’Asie affichant les taux les plus élevés avec 10% et 11 % des organisations ciblées par les ransomwares en 2023, tandis que l’Amérique a connu la plus forte augmentation, passant de 5 % des organisations en 2022 à 9 % au cours de l'année écoulée.
Pourcentage des entreprises ciblées par des attaques par Ransomware par région
Que faire en cas d'infection par Ransomware ?
Si vous êtes victime d'une attaque de ransomware, la règle d'or est de ne jamais payer la rançon. C’est une recommandation fondamentale de l’ANSSI. Vous ne feriez qu'encourager les cybercriminels à continuer leurs attaques contre vous ou d'autres personnes.
Si vous voulez tenter d'arrêter un ransomware chiffreur en cours d'infection, soyez particulièrement vigilant. Si votre système ralentit sans raison apparente, arrêtez-le et déconnectez-le d'Internet. Même si le malware est encore actif au redémarrage, il ne pourra plus recevoir des instructions du serveur de contrôle et commande ni en envoyer. Sans clé ni autre moyen de vous extorquer un paiement, le malware pourrait rester inactif. Vous pouvez alors télécharger et installer un produit de sécurité et lancer une analyse complète.
En cas d'attaque par ransomware, nous vous recommandons de prévenir plusieurs entités pour obtenir de l'aide et signaler l'incident. Voici les étapes à suivre :
Etape 1 : Contacter un professionnel de l’informatique
Si vous avez un service informatique ou un prestataire externe, informez-le immédiatement pour qu'il puisse évaluer l'attaque et commencer à travailler sur la limitation des dommages et la restauration des systèmes.Vous pouvez aussi contacter la plateforme Cybermalveillance.gouv.fr qui pourra vous assister.
Etape 2 : Contacter la CNIL
Signaler à la CNIL (Commission Nationale de l'Informatique et des Libertés) : Si l'attaque par ransomware entraîne une violation de données personnelles, il est obligatoire de notifier la CNIL dans les 72 heures.
Cela concerne les situations où des données personnelles ont été exposées, perdues ou volées.
Etape 3 : Déposer une plainte à la police ou à la gendarmerie
Il est conseillé de signaler l'attaque aux autorités judiciaires. Vous pouvez le faire en déposant une plainte auprès de la police ou de la gendarmerie nationale.
Etape 4 : Contacter l'ANSSI
Pour les entreprises et les administrations, il est recommandé de prendre contact avec l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). L'ANSSI peut fournir des conseils techniques et aider à la gestion de l'incident.
Comment les offres Cyber By Scutum permettent de se protéger contre les ransomwares ?
Cyber By Scutum propose un service d’EDR Managé. Un EDR est un outil de sécurité informatique avancé spécialement conçu pour surveiller, détecter et répondre aux menaces sur les points de terminaison du réseau d'une organisation, c’est-à-dire les ordinateurs et les serveurs.
L'EDR SentinelOne, inclus dans l’offre de Cyber By Scutum, utilise une combinaison de surveillance en temps réel et d'analyses comportementales pour identifier les activités suspectes ou malicieuses.
Par exemple, il peut repérer des modifications inhabituelles de fichiers, des tentatives de chiffrement anormales, ou des modifications de registre qui sont souvent des indicateurs précurseurs d'une attaque de ransomware.
En détectant ces signaux dès les premières étapes, SentinelOne permet d'intervenir avant que le ransomware ne se verrouille ou ne se propage.
De plus, l'EDR fournit des outils de réponse automatisée qui peuvent être configurés pour exécuter des actions spécifiques en cas de détection d'une menace.
Cela inclut l'isolement d'une machine infectée pour empêcher la propagation du ransomware au reste du réseau, la suppression ou la mise en quarantaine de fichiers malveillants, et la réversion des changements suspects pour minimiser les dommages.
Enfin, SentinelOne offre des capacités de forensique et d'analyse post-incident qui permettent à notre équipe d’experts de comprendre comment une attaque s'est produite, quels vecteurs ont été exploités et comment améliorer les mesures de sécurité pour prévenir de futures attaques.
Cette analyse continue et l'amélioration des protocoles de sécurité sont essentielles pour rester un pas devant les tactiques toujours évolutives des cybercriminels utilisant des ransomwares.