{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
Johannes Dohren
Partner, Cybersecurity and Privacy, PwC Switzerland
Les attaques par rançongiciel (ou « ransomware ») sont devenues une activité lucrative pour les cybercriminels qui amassent ainsi chaque année des sommes de plusieurs millions. Le groupe derrière le ransomware NetWalker a, par exemple, empoché plus de 25 millions de dollars de rançons en quatre mois. Les rançongiciel ont donné naissance à une chaîne de valeur dans laquelle se sont investis divers groupes agissant de façon professionnelle. Cette chaîne de valeur comprend les développeurs et vendeurs des logiciels malveillants (ou « malwares ») qui proposent le « rançongiciel en tant que service » – au sens de l’économie de services actuelle, ainsi que les exploitants des logiciels malveillants qui les diffusent et les utilisent.
Cette chaîne de valeur compte aussi des spécialistes chargés de « l’assistance » qui traitent notamment les demandes des « clients » via des hotlines. Une telle diversification entraîne une certaine hétérogénéité dans la sélection des cibles – les entreprises et les grands groupes ne sont pas les seuls dans le collimateur des criminels.
61 % des cadres suisses s'attendent à une recrudescence des incidents par ransomware en 2022.
Les cyberattaques représentent une menace permanente pour les entreprises issues de tous secteurs d'activité. Nous vous aiderons à identifier les risques et à les combattre.
À l’origine, une attaque de rançongiciel consistait à crypter à l’aide d’un logiciel malveillant les données de travail pertinentes stockées sur le réseau de l’entreprise. Les attaquants exigeaient alors une rançon (ou « ransom ») en échange de la clé de décryptage. À l’époque, les cybercriminels visaient le plus grand nombre possible d’entreprises et de systèmes, de façon aléatoire ou presque. Le volume des attaques était tel qu’il a abouti à la création d’un modèle d’affaires lucratif. De nombreuses entreprises se sont entre-temps équipées d’un concept opérationnel de sauvegarde et de restauration des données – la mesure la plus efficace contre ce type d’attaques – afin d’être bien prémunies.
Cette réaction a provoqué une diminution des revenus du côté des cybercriminels qui ont, par la suite, adapté leur modèle d’affaires avec le rançongiciel. Les attaquants vont plus loin désormais : ils copient les données sensibles avant le cryptage, en particulier les données clientèle, afin d’exercer une plus forte pression sur leurs victimes en les menaçant de publier ces données. Ils font alors valoir à leurs cibles que cette publication constituerait une violation de régulation de la protection des données (par ex. le RGPD européen) et que l’entreprise serait passible d’une amende élevée. Il est vrai qu’un tel incident constitue une réelle violation des lois ou règlements relatifs à la protection des données et qu’elle peut également faire l’objet de poursuites. En revanche, il est faux d’en conclure que le paiement d’une rançon ou le refus de l’acquitter pourrait avoir une influence sur la réalité d’une violation du RGPD.
Le fait est qu’en cas d’attaque réussie par rançongiciel, l’entreprise s’expose quasiment systématiquement à un dommage important, qu’il s’agisse d’un préjudice d’image dû à la publication de données clientèle (mots de passe, dossiers médicaux, informations financières, comportements d’achat par ex.) ou d’une perte de propriété intellectuelle (codes source, plans de construction, formules, films par ex.). Il n’est pas rare que les entreprises concernées considèrent le paiement de la rançon comme un moindre mal et choisissent cette voie.
Nous disposons d’une large gamme de solutions flexibles, dont des paquets complets qui vous aideront à planifier et à vous préparer aux cyberincidents.
Imaginez l’attaquant-e comme la collaboratrice ou le collaborateur d’une petite organisation criminelle au sein de la chaîne de valeur du rançongiciel. La principale mission de cette personne consiste à identifier les entreprises qui feraient une cible appropriée et à organiser l’attaque. Dans un premier temps, les cibles potentielles sont espionnées et des informations sont collectées à leur sujet. Il existe, pour cela, deux façons de procéder : il est possible de viser large pour attaquer le plus d’entreprises possible – quelques-unes d’entre elles céderont sûrement aux demandes de rançon jusqu’à un certain montant. L’option lucrative consiste cependant à cibler des entreprises traitant des données très sensibles afin de pouvoir exiger une rançon la plus élevée possible. Dans notre scénario, l’attaquant-e opte pour la seconde option. La personne dresse alors une liste d’entreprises et effectue des recherches auprès de diverses sources pour en savoir plus sur les entreprises en question. Elle lit en particulier les rapports financiers qui sont, par exemple, publiés dans les bulletins officiels. Elle peut notamment en déduire la date des derniers investissements informatiques d’une entreprise et le montant de la rançon qu’elle peut exiger. Elle est également à l’affût des offres d’emploi, car celles-ci peuvent s’avérer particulièrement instructives pour les cybercriminels – lorsqu’une entreprise recherche, par exemple, un administrateur maîtrisant des systèmes obsolètes tels que Windows 7 ou Windows Server 2008 R2. Elle établit un profil succinct à partir des informations collectées afin de les évaluer et de prioriser les cibles. Le gain potentiel est toujours comparé à la charge de travail requise.
Une fois la cible choisie, l’attaquant-e collecte d’autres informations. La personne dresse, par exemple, une liste du personnel avec les adresses e-mail ou bien elle essaie de se renseigner si certains serveurs, clients, dispositifs IoT ou installations de production (operational technology, OT) sont accessibles via Internet et permettent des tentatives de connexion avec des noms et des mots de passe standard.
La préparation du logiciel malveillant et des autres outils a déjà été réalisée par des tiers ou bien a été achetée. Le hackeur ou la hackeuse doit seulement sélectionner les versions adéquates pour sa cible et procéder au paramétrage en saisissant les adresses IP et e-mail. Il ou elle met, par ailleurs, en place sa propre infrastructure dans laquelle devront être téléchargées les données clientèle dérobées.
Ransomware attacks hit without warning, inflicting serious damage with effects that can linger for years. With strong crisis management capabilities, however, companies can mitigate the damage – and even grow trust with customers, deepening the connection to their values and purpose.
Le déroulement d’une attaque par ransomware est toujours identique, même si les différentes étapes peuvent diverger dans les détails. Il se compose de quatre phases : préparation, attaque, propagation et infection. Dans le cadre de cette série publiée sur notre blog, nous illustrons ces phases à l’aide d’un scénario imaginaire qui adopte le point de vue d’un exploitant de ransomwares et nous montrons quelles sont les mesures de protection vraiment efficaces. Pour finir, nous traiterons des aspects juridiques du paiement des rançons.
#social#
Partner, Leader Digital Assurance and Cybersecurity & Privacy, PwC Switzerland
Tel : +41 58 792 84 59