Quel pourcentage de RSSI ont déclaré qu'ils envisageraient de payer une rançon ?

Selon le rapport d'Absolute Security, 58 % des Responsables de la Sécurité des Systèmes d'Information ont déclaré qu'ils envisageraient de payer une rançon pour mettre fin à une attaque. L'interruption opérationnelle a été citée comme le principal facteur motivant cette disposition.

Quel est le point d'origine le plus courant des attaques par ransomware selon le rapport ?

Le rapport a révélé que 57 % des attaques par ransomware provenaient d'appareils endpoints distants ou hybrides. Cela fait des endpoints distants le schéma d'attaque dominant dans les incidents de ransomware en entreprise.

Pourquoi l'article affirme-t-il que la disposition des RSSI à payer des rançons est un problème opérationnel plutôt que moral ?

L'article soutient que lorsque les RSSI déclarent qu'ils paieraient, ils reconnaissent que leurs capacités de reprise pourraient ne pas être suffisantes pour absorber l'interruption faisant suite à une attaque majeure. Cela recadre la question comme un problème de préparation plutôt que comme une simple question morale ou juridique.

58 % des RSSI seraient prêts à payer des rançons alors que les endpoints distants alimentent les attaques

Un nouveau rapport d'Absolute Security a mis un chiffre précis sur un problème que les professionnels de la sécurité contournent depuis des années : la protection VPN des endpoints distants contre les ransomwares n'est plus facultative pour les effectifs distribués. Selon cette étude, 58 % des Responsables de la Sécurité des Systèmes d'Information envisageraient de payer une rançon pour mettre fin à une attaque, l'interruption opérationnelle étant citée comme le principal facteur déclencheur. Fait peut-être encore plus frappant, 57 % des entreprises interrogées ont indiqué que les attaques par ransomware provenaient d'appareils endpoints distants ou hybrides. Ces deux chiffres pris ensemble dressent un tableau clair des failles de la sécurité d'entreprise et du coût que celles-ci engendrent.

Comment les endpoints distants et hybrides sont devenus le point d'entrée privilégié des ransomwares

Le passage au travail distribué a créé une surface d'attaque tentaculaire que de nombreuses organisations n'ont jamais entièrement cartographiée, et encore moins sécurisée. Les endpoints distants — qu'il s'agisse d'ordinateurs portables d'employés se connectant depuis des réseaux domestiques, d'appareils de prestataires sur des réseaux Wi-Fi publics, ou de travailleurs hybrides alternant entre bureau et télétravail — se trouvent souvent en dehors du champ de visibilité direct des équipes de sécurité d'entreprise. Ils peuvent faire tourner des logiciels obsolètes, utiliser une authentification faible, ou se connecter aux systèmes d'entreprise via des tunnels mal configurés.

Les attaquants l'ont remarqué. Les identifiants Remote Desktop Protocol (RDP) et VPN demeurent parmi les vecteurs d'accès initial les plus fréquemment exploités dans les campagnes de ransomware, et les appareils endpoints sont souvent le premier domino à tomber. Une fois qu'un seul appareil distant est compromis, les attaquants l'utilisent comme point d'ancrage pour se déplacer latéralement sur le réseau, escaladant les privilèges et déployant des charges utiles de ransomware avant que la plupart des organisations n'aient eu le temps de détecter l'intrusion. Les conclusions d'Absolute Security, montrant que 57 % des attaques remontent à des endpoints distants ou hybrides, confirment qu'il ne s'agit pas d'un risque marginal. C'est le schéma d'attaque dominant.

Les conséquences de ce schéma dépassent largement les organisations individuelles. L'attaque par ransomware de ChipSoft qui a exposé des données de patients néerlandais illustre ce qui se passe lorsque des attaquants parviennent à traverser depuis un endpoint vers un système détenant des données sensibles à grande échelle. La santé, la finance et les infrastructures critiques font toutes face à un risque cumulé à mesure que leurs effectifs deviennent plus distribués.

Pourquoi 58 % des RSSI sont prêts à payer et ce que cela révèle sur le niveau de préparation

La disposition à payer une rançon est souvent présentée comme une question morale ou juridique, mais les données d'Absolute Security la recadrent comme une question opérationnelle. Lorsque 58 % des RSSI déclarent qu'ils envisageraient de payer, ils n'approuvent pas une activité criminelle. Ils reconnaissent que leurs capacités de reprise peuvent ne pas être suffisantes pour absorber l'interruption qui fait suite à une attaque majeure sans subir des dommages financiers et de réputation significatifs.

Il s'agit d'un problème de préparation. Les organisations disposant d'une infrastructure de sauvegarde et de reprise robuste et éprouvée, combinée à des plans solides de réponse aux incidents, sont bien moins susceptibles de se retrouver dans une situation où le paiement semble être la seule option. Le fait que plus de la moitié des responsables de la sécurité interrogés l'envisageraient suggère que de nombreuses entreprises restent insuffisamment préparées, en particulier lorsque l'attaque provient d'un endpoint situé en dehors des périmètres de sécurité traditionnels.

Cela reflète également le coût croissant des interruptions d'activité. Les chaînes d'approvisionnement, les services en contact avec les clients et les opérations internes dépendent tous d'un accès continu aux systèmes et aux données. Lorsque les ransomwares verrouillent ces systèmes, chaque heure de reprise a une valeur monétaire mesurable. C'est ce calcul, et non une souplesse morale, qui détermine les décisions de paiement de rançon. Et comme la compromission des e-mails du directeur du FBI l'a clairement montré, aucune organisation ni aucun individu n'est catégoriquement à l'abri d'attaques ciblées.

Comment l'infrastructure VPN réduit la surface d'attaque et le risque de déplacement latéral

Un VPN bien implémenté n'est pas une solution miracle, mais c'est une couche fondamentale qui, lorsqu'elle est correctement configurée, réduit considérablement l'exposition créée par les endpoints distants. Les tunnels chiffrés empêchent l'interception des identifiants sur les réseaux non sécurisés. La segmentation du réseau appliquée via les politiques VPN limite la portée du déplacement d'un attaquant une fois à l'intérieur. Et les exigences d'authentification centralisées signifient que les appareils compromis sont moins susceptibles de traverser silencieusement le réseau sans être détectés.

Le mot clé est « correctement ». Les configurations VPN qui reposent sur une authentification à facteur unique, qui accordent un accès réseau étendu plutôt que des permissions limitées, ou qui restent non corrigées pendant de longues périodes peuvent elles-mêmes devenir des vecteurs d'attaque. Le principe du moindre privilège, appliqué au niveau de la couche VPN, signifie qu'un endpoint compromis ne peut accéder qu'aux ressources spécifiques dont il a besoin, et non à l'ensemble du réseau d'entreprise. Combiner l'accès VPN avec une authentification multifacteur et des vérifications de l'état de santé des endpoints avant la connexion crée une barrière significative qui ralentit les attaquants et donne aux défenseurs le temps de réagir.

Pour les effectifs hybrides en particulier, une application cohérente des politiques VPN sur tous les types d'appareils — y compris les appareils personnels utilisés à des fins professionnelles — est essentielle. La surface d'attaque décrite dans le rapport d'Absolute Security est, en partie, autant une lacune dans l'application des politiques qu'un problème purement technique.

Ce que les équipes distribuées peuvent faire dès maintenant pour renforcer leurs endpoints

Les conclusions d'Absolute Security constituent une invitation à l'action, pas seulement à la réflexion. Les organisations disposant d'effectifs distribués peuvent prendre des mesures concrètes pour réduire le risque que représentent les endpoints distants.

Auditez votre inventaire d'endpoints. Vous ne pouvez pas protéger ce que vous ne pouvez pas voir. Un inventaire complet et à jour de chaque appareil qui se connecte aux systèmes d'entreprise — y compris les appareils des prestataires et les appareils personnels — est le point de départ de toute stratégie de sécurité des endpoints.

Appliquez la MFA sur toutes les connexions VPN. Ce seul contrôle élimine une catégorie significative d'attaques basées sur les identifiants. Des mots de passe volés seuls ne devraient pas suffire à obtenir un accès distant.

Segmentez l'accès réseau par rôle. Plutôt que d'accorder aux utilisateurs distants un accès réseau étendu, configurez les politiques VPN de sorte que chaque utilisateur ou classe d'appareils ne puisse accéder qu'aux systèmes pertinents pour sa fonction. Cela limite le déplacement latéral en cas de compromission d'un appareil.

Appliquez les correctifs aux endpoints et à l'infrastructure VPN de manière cohérente. De nombreuses intrusions par ransomware très médiatisées exploitent des vulnérabilités connues pour lesquelles des correctifs existent déjà. La gestion automatisée des correctifs supprime le délai humain sur lequel comptent les attaquants.

Testez votre plan de reprise. Si une attaque par ransomware frappait vos systèmes les plus critiques aujourd'hui, combien de temps prendrait la reprise ? Réaliser régulièrement des exercices de simulation et des tests de restauration des sauvegardes est la seule façon de répondre honnêtement à cette question et de combler les lacunes avant qu'elles n'aient de l'importance.

Le rapport d'Absolute Security est un point de référence utile pour évaluer où en est la sécurité d'entreprise en matière de préparation aux ransomwares. Les chiffres sont alarmants : une majorité d'attaques débutant aux endpoints distants, et une majorité de responsables de la sécurité qui estiment que le paiement pourrait être inévitable. Mais ils pointent aussi directement vers ce qui doit changer. La visibilité des endpoints, des politiques VPN appliquées et des capacités de reprise éprouvées ne sont pas des contrôles exotiques. Ce sont les bases que chaque organisation distribuée devrait être en mesure de vérifier. Évaluer si votre configuration actuelle répond véritablement à ce niveau minimal est le bon point de départ.