7 façons de se préparer aux ransomwares à double extorsion  

Selon une étude menée par l’unité 42 de Palo Alto Networks, en 2023, 70 % des incidents liés aux ransomwares incluront également le vol de données, et pas seulement le chiffrement contre environ 40 % au milieu de l’année 2021.

Pour combattre ce phénomène, les équipes de cybersécurité des entreprises tentent de se protéger en prenant, entre autres, des snapshots immuables des données, en renforçant l’infrastructure, en déployant un SIEM et en installant d’autres outils technologiques pour se protéger contre les attaques de ransomwares. Celles-ci sont toutes des mesures qui ont fait leurs preuves et qui permettent aux entreprises d’améliorer leur résilience. Mais ces améliorations sont vite confrontées à des cybercriminels qui ne cessent jamais d’améliorer ou de varier leurs plans d’attaques. 

On remarque en effet qu’aujourd’hui, il existe une recrudescence d’un type de cyberattaque particulièrement difficile à contrer : le ransomware à double extorsion. Ce deuxième niveau d’extorsion fait référence au fait que les attaquants ne se contentent pas d’exiger un paiement en échange de la clé de décryptage, mais menacent également de publier les données volées si les entreprises ne leur remettent pas l’argent. Ils doublent la punition pour forcer la victime à payer.

La lutte contre les ransomwares à double extorsion est devenue un véritable défi à relever pour les entreprises car elle est exponentiellement plus difficile que la simple défense contre une attaque par chiffrement.

En partant du principe que la capacité de restaurer les données n’empêche pas qu’elles aient été volées, pour acquérir une véritable résilience et renforcer votre stratégie de cybersécurité, il faut à mon sens se concentrer sur les sept moyens suivants. Ils peuvent vous aider à contourner les enjeux créés par cette recrudescence d’attaques ransomwares à double extorsion.

Faire de la sécurité des données une priorité institutionnelle

Généralement on constate que trop souvent l’accent est mis sur l’infrastructure et beaucoup moins sur les données. La sécurité de l’infrastructure seule, bien que cruciale, est devenue insuffisante. Aujourd’hui, la sécurité des données est devenue une priorité et doit s’intégrer dans le cadre d’une stratégie holistique de cybersécurité afin de surmonter efficacement les cyberattaques.

Identifier les données les plus sensibles

Toutes les données ne sont pas égales, et si elles sont traitées de la même manière, les données sensibles risquent de ne pas être évaluées correctement. La hiérarchisation des données permet d’adopter des positions défensives beaucoup plus efficaces.

Déterminer qui a accès aux données

On sait que le maillon faible se trouve régulièrement dans les accès aux données. Les bonnes questions s’imposent : S’agit-il des personnes et des équipes appropriées ? L’authentification multifacteur est-elle en place ? C’est ici qu’intervient l’approche Zero Trust.

Supprimer les données périmées

Si des données restent inactives sur une période de six mois à un an, on peut se demander si elles sont encore nécessaires. Les documents plus anciens – même s’ils peuvent être importants – peuvent également contenir des données à risque.

La visualisation des données est un élément clé pour lutter contre une attaque

En règle générale, les attaquants se rendent dans un endroit, puis dans un autre. Ils se concentrent sur une zone et ils en exfiltrent les données avant de passer à autre chose. C’est pourquoi il est essentiel d’avoir une transparence sur les mouvements de données et toute autre activité irrégulière. Si votre équipe peut repérer rapidement les irrégularités, elle peut éventuellement arrêter les cybercriminels avant qu’ils ne causent des dommages. Cette étape a toujours été importante, mais dans les environnements hybrides d’aujourd’hui, la capacité de voir les mouvements de données entre SaaS, Cloud, sur site et dans les datacenters est devenue vitale.

Anticiper la croissance des données

La plupart des entreprises ne sont pas préparées au fait qu’elles auront encore plus de données sensibles dans le futur. Elles doivent non seulement suivre les déplacements de leurs données, mais aussi la manière dont elles se développent. Les entreprises doivent pouvoir maîtriser le volume de croissance de leurs données dans leurs applications sur site, dans le cloud et le SaaS. Elles doivent évaluer les données sensibles au sein de chacun de ces domaines et enfin, elles doivent déterminer si les données se déplacent dans la direction qu’elles pensent, qu’il s’agisse d’une migration traditionnelle des données ou d’une migration à travers des flux de travail approuvés.

Désigner un propriétaire des données

Souvent, les employés ne savent pas qui est responsable de la définition et de l’application de la stratégie en matière de données, et ce, parce que de nombreuses organisations n’ont pas établi ce rôle. Il est pourtant essentiel que ce rôle soit défini et ait un leader, le Data Protection Officer (DPO), par exemple, afin de pouvoir régulièrement évaluer les risques organisationnels et les remonter à la direction de l’entreprise.