49 % des victimes de ransomware perdent leurs données avant de détecter l'attaque

49 % des victimes de ransomware perdent leurs données avant de détecter l'attaque

Les ransomwares ont toujours été un problème douloureux, mais un nouveau rapport révèle à quel point la détection échoue : près de la moitié des victimes de ransomware se sont fait voler leurs données avant même de réaliser qu'un attaquant était présent dans leur réseau. Ce chiffre a fortement augmenté par rapport aux 31 % de l'année précédente, signe que les pirates ne sont pas seulement plus audacieux, mais aussi bien plus patients et furtifs.

Le délai moyen de détection est désormais d'environ 2,5 semaines. Cela représente 17 jours ou plus pendant lesquels un attaquant peut discrètement cartographier vos systèmes, identifier vos fichiers les plus précieux et les exfiltrer, tout cela avant qu'une seule alerte ne se déclenche.

La vraie menace, c'est l'exfiltration, pas seulement le chiffrement

La plupart des gens imaginent un ransomware comme un événement dramatique : les fichiers se verrouillent, une demande de rançon apparaît, les opérations s'arrêtent. Cette image est de plus en plus dépassée. Les groupes de ransomware modernes sont passés à une stratégie en deux temps. D'abord, ils volent les données. Ensuite, s'ils déploient le chiffrement, ils tiennent leurs victimes par deux menaces distinctes : payer pour restaurer l'accès, et payer à nouveau pour empêcher la publication des données volées.

Cette approche, souvent appelée « double extorsion », change radicalement le calcul. Même les organisations disposant de solides systèmes de sauvegarde capables de restaurer rapidement les fichiers chiffrés restent exposées à la divulgation de dossiers clients sensibles, de documents financiers ou de propriété intellectuelle. Le chiffrement devient alors presque secondaire.

Le fait que le vol de données reste une caractéristique constante de l'activité d'extorsion dans plus de la moitié des cas d'une année sur l'autre confirme qu'il ne s'agit pas d'une tendance passagère. C'est désormais le mode opératoire par défaut.

Pourquoi la détection prend toujours plus de retard

L'écart grandissant entre l'intrusion et la détection révèle plusieurs problèmes convergents.

Premièrement, les attaquants utilisent de plus en plus des outils légitimes déjà présents dans l'environnement de la cible. Les logiciels de sécurité sont conçus pour signaler les signatures de malwares inconnus, mais lorsqu'un attaquant utilise des utilitaires système natifs pour déplacer des fichiers, ces actions ressemblent souvent au comportement normal d'un administrateur.

Deuxièmement, de nombreuses organisations continuent de s'appuyer fortement sur les défenses périmétriques. Les pare-feu et les tunnels chiffrés protègent les données en transit, mais une fois que l'attaquant possède des identifiants valides ou a pris pied à l'intérieur du réseau, les outils périmétriques offrent une visibilité très limitée sur ce qui se passe latéralement.

Troisièmement, la fatigue liée aux alertes est un problème réel et bien documenté dans les centres d'opérations de sécurité. Lorsque les systèmes de détection génèrent des milliers d'alertes peu fiables par jour, les signaux d'intrusion authentiques se retrouvent noyés. Les attaquants le savent et calent leur activité pour se fondre dans les périodes bruyantes.

C'est aussi pourquoi s'appuyer sur un seul outil, y compris un VPN, crée un faux sentiment de sécurité. Un VPN chiffre le trafic entre votre appareil et Internet, ce qui protège les données en transit et masque votre adresse IP. Mais il ne fait rien pour détecter ou bloquer un malware déjà actif sur une machine compromise, et il n'offre aucune visibilité sur le comportement de l'attaquant une fois les identifiants dérobés. La fuite de données youX en Australie, où des attaquants ont accédé à des données d'identité sensibles dans une entreprise de technologie financière, illustre comment des intrusions sophistiquées peuvent contourner les protections de surface et entraîner des conséquences en cascade dans le monde réel.

Ce que cela signifie pour vous

Que vous soyez un professionnel individuel ou membre d'une équipe informatique d'une organisation, ce délai de détection moyen de 2,5 semaines devrait vous amener à repenser votre approche de la sécurité.

La question n'est plus seulement « comment empêcher les attaquants d'entrer ? ». Elle est tout autant « dans combien de temps saurais-je que quelqu'un est déjà à l'intérieur, et que trouverait-il ? ».

Pour les particuliers et les petites entreprises, cela signifie :

• Partez du principe que les identifiants peuvent être compromis. Utilisez l'authentification multifacteur partout, en particulier sur la messagerie, le stockage cloud et tous les outils d'accès à distance. Les identifiants volés sont le point d'entrée le plus courant.
• Limitez ce qui est accessible. Tous les systèmes ou partages de fichiers n'ont pas besoin d'être accessibles depuis n'importe quel appareil. Restreindre l'accès réduit ce qu'un attaquant peut atteindre après une intrusion initiale.
• Surveillez les anomalies, pas seulement les menaces connues. Les outils de détection sur les terminaux qui signalent les comportements inhabituels, comme un compte utilisateur accédant soudainement à des fichiers qu'il ne touche jamais, sont plus précieux que les seuls antivirus basés sur des signatures.
• Ayez un plan de réponse aux incidents. Savoir exactement quelles mesures prendre dans la première heure suivant une violation confirmée limite considérablement les dégâts. Beaucoup d'organisations découvrent qu'elles n'ont pas de processus documenté au moment où elles en ont le plus besoin.
• Segmentez vos sauvegardes. Les sauvegardes stockées sur le même réseau que les systèmes principaux peuvent être chiffrées ou supprimées par les attaquants pendant leur période de présence. Les sauvegardes hors ligne ou immuables constituent une couche de protection distincte.

Les VPN restent un outil véritablement utile, notamment pour sécuriser le trafic sur les réseaux non fiables et protéger la vie privée contre la surveillance passive. Mais leur rôle n'est qu'une couche parmi d'autres, pas une défense complète.

Construire une stratégie de défense en couches

La posture de sécurité la plus efficace considère la détection comme une priorité égale à la prévention. La prévention n'est jamais parfaite, et les données confirment que les attaquants deviennent meilleurs pour la contourner. Les organisations et les particuliers qui investissent uniquement pour empêcher les attaquants d'entrer, sans rien faire pour les détecter une fois à l'intérieur, sont de fait aveugles pendant la fenêtre qui compte le plus.

La défense en couches implique de combiner des outils périmétriques, la surveillance des terminaux, l'analyse du trafic réseau, des contrôles d'accès stricts et la sensibilisation des utilisateurs. Aucun produit unique ne comble toutes les lacunes, c'est pourquoi le secteur de la sécurité parle de défense en profondeur plutôt que d'une solution miracle.

La forte hausse du vol de données avant détection est un signal clair que l'environnement des menaces a gagné en maturité. Les attaquants opèrent avec plus de discipline et de patience que jamais. La réponse appropriée est d'opposer à cette discipline des défenses tout aussi réfléchies et stratifiées, plutôt que des achats d'outils réactifs après un incident.

Commencez par auditer les données sensibles que vous détenez, l'endroit où elles se trouvent et qui peut y accéder. Rien que cette visibilité vous place en avance sur la plupart des cibles.