Il y a une idée fausse persistante dans la planification technologique du marché intermédiaire selon laquelle les ransomware sont principalement un problème d'entreprise — que les criminels ciblant les infrastructures essentielles, les hôpitaux et les grandes entreprises opèrent à un niveau différent de la menace qui pèse sur une entreprise de logistique de 200 personnes ou une entreprise régionale de services professionnels. Cette idée fausse est maintenant dangereuse sur le plan opérationnel.

Les données racontent une autre histoire. Les entreprises comptant de 100 à 1 000 employés représentent maintenant la plus grande part des incidents de rançongiciels réussis au Canada. Ils sont attaqués plus fréquemment que les cibles de l'entreprise, et ils sont compromis à un taux beaucoup plus élevé.

Les aspects économiques du ciblage des entreprises de taille moyenne

Les opérateurs de ransomware exploitent des entreprises. Ils ont des coûts d'acquisition, des coûts opérationnels et des objectifs de rendement. Les cibles des grandes entreprises coûtent de plus en plus cher à attaquer — les budgets de sécurité sont plus élevés, les capacités d'intervention sont plus rapides et les conséquences juridiques d'une attaque réussie sont importantes.

Les entreprises de taille moyenne présentent une combinaison de caractéristiques qui les rendent disproportionnellement attrayantes : revenus suffisants pour rendre viable un paiement de rançon (généralement entre 50 000$ et 500 000$), ressources informatiques et de sécurité internes insuffisantes pour détecter ou répondre rapidement, infrastructure héritée avec une gestion des correctifs incohérente, dépendance accrue aux opérations numériques rendant les temps d'arrêt coûteux et infrastructure de sauvegarde et de restauration moins mature que leurs homologues d'entreprise.

Comment les attaques de ransomware se produisent réellement

Les vecteurs d'entrée de la plupart des incidents de ransomware de taille moyenne ne sont pas exotiques. Ils sont prévisibles, évitables et bien documentés. Les trois plus courants sont les courriels d'hameçonnage comportant des charges utiles de collecte d'identifiants, l'exploitation d'une infrastructure d'accès à distance non corrigée (en particulier les appareils VPN et les points de terminaisons RDP) et les fournisseurs tiers compromis disposant d'un accès réseau fiable.

Ce qui se passe après l'accès initial, c'est là que les entreprises du marché intermédiaire perdent le plus rapidement du terrain. Les équipes de sécurité d'entreprise disposent d'outils qui détectent les mouvements latéraux. Les entreprises du marché intermédiaire ont rarement une capacité de détection équivalente. Le temps d'attente moyen pour les incidents du marché intermédiaire est de 18 jours. Pendant cette période, les attaquants cartographient le réseau, identifient les systèmes de sauvegarde et exfiltrent les données avant de chiffrer quoi que ce soit.

À quoi ressemble une réponse proportionnée en matière de cybersécurité

La solution n'est pas de créer une fonction de sécurité d'entreprise. La solution consiste à rendre les aspects économiques liés à l'attaque de votre organisation moins favorables.

Détection et intervention des points finaux (EDR)

L'antivirus de base n'est pas suffisant contre les ransomware modernes. Les outils EDR surveillent le comportement plutôt que les signatures — ils peuvent détecter les mouvements latéraux, l'exécution inhabituelle des processus et le dumping des informations d'identification même lorsque le logiciel malveillant lui-même est inconnu.

Authentification multifacteur (AMF)

La MFA sur tous les points d'accès à distance et tous les services infonuagiques élimine le vecteur d'attaque basé sur les identifiants le plus courant. Les mots de passe volés sont inutiles sans le deuxième facteur.

Architecture de sauvegarde qui survit au chiffrement

Les sauvegardes qui sont connectées au réseau sont vulnérables au chiffrement en même temps que les données de production. Les sauvegardes à espace aérien ou immuables — stockées hors ligne ou dans un système qui empêche toute modification — sont la seule architecture de sauvegarde qui survit de manière fiable à un événement de ransomware.

Segmentation du réseau

Les réseaux plats — où chaque appareil peut communiquer avec tous les autres appareils — permettent aux ransomware de se propager à partir d'un seul point de terminage compromis à l'ensemble de l'environnement. La segmentation du réseau limite ce qu'un périphérique compromis peut atteindre.

Planification des interventions en cas d'incident

Un plan d'intervention en cas d'incident qui a été documenté, examiné par la direction et mis à l'essai dans le cadre d'un exercice sur table réduit considérablement le coût et la durée d'un événement de rançongiciel.

Le coût de l'inaction

Le coût moyen d'un événement de ransomware pour une entreprise de taille moyenne au Canada — y compris le paiement d'une rançon, les temps d'arrêt, le recouvrement, les frais juridiques et les frais de notification — dépasse maintenant 1,2 million de dollars. Le coût d'un programme de sécurité proportionnel qui s'attaque aux principaux vecteurs d'attaque est généralement inférieur à 50 000$ par année. L'arithmétique n'est pas proche.

Si votre organisation n'a pas effectué d'évaluation officielle de la sécurité, ou si votre dernière évaluation ne portait pas spécifiquement sur la préparation aux rançongiciels, c'est le bon point de départ. Une évaluation structurée permettra de cerner les vulnérabilités précises et de prioriser les mesures correctives par impact.