Ransomwares : Divulgation et dénonciation

La nouvelle combinaison gagnante pour les cybercriminels

Même si les ransomwares existent depuis de nombreuses années et constituent les premières menaces Cyber auxquelles les entreprises doivent faire face, une nouvelle tendance inquiétante a vu le jour ces derniers mois.

Il est aujourd’hui usuel de voir des entreprises attaquées par des ransomwares dits « traditionnels ». Il s’agit d’un accès non autorisé au système d’information pour crypter les données, suivi d’une demande de rançon. Les criminels qui conduisent ces attaques sont, pour la majorité d’entre eux, motivés par l’argent. Ils s’attendent à ce que les entreprises payent les rançons demandées soit parce que celles-ci n’ont pas la possibilité de restaurer les données, soit parce que payer représente la solution la moins chère et la plus rapide pour elles.

De nouvelles formes d’attaques ont vu le jour ces derniers mois. Elles sont réalisées en deux étapes : la première consiste en a) une Cyber extorsion et en cas d’échec, b) une divulgation et une dénonciation.

De plus en plus d’entreprises mettent en place des plans de prévention pour de tels incidents et refusent de payer la rançon demandée, ce qui les conduit à s’engager dans un process de remédiation long et couteux. Cette approche n’est possible que si les entreprises ont préalablement procédé à des évaluations approfondies de leurs risques cyber en identifiant, avant l’attaque, les Cyber-risques auxquels elles sont confrontées et en les atténuant par des stratégies de réduction et de transfert des risques (par la souscription d’une assurance).

En outre, pour les entreprises qui se retrouvent victimes de cette nouvelle tactique d’attaque par ransomware, le processus de remédiation risque d’être plus compliqué et plus coûteux. Leurs chances de réussite et le coût final dépendront de la qualité de la préparation et des protections mises en place eu préalable.

Cet article aborde cette nouvelle tactique d’attaque par ransomware à laquelle les entreprises doivent désormais faire face et prend en considération la manière dont une organisation peut réduire ses risques Cyber en mettant l’accent sur l’importance de la mise en place d’un plan de réponse à incident. Il explique par ailleurs comment les garanties incluses dans une police d’assurance peuvent être actionnées pour recouvrer les coûts et pertes liés à une attaque par ransomware.

Une attaque en deux étapes résultant en deux types d’événements différents

La nouvelle forme de ransomware s’analyse en une attaque en deux étapes. La première étape ressemble à une attaque traditionnelle par ransomware (c’est-à-dire avec demande de rançon), mais en fait elle n’en est pas une ! Elle ressemble à un ransomware dit classique car les cybercriminels accèdent à un système d’information afin d’introduire un « cryptolocker » qui vise à crypter les données qu’il contient puis demandent le paiement de la rançon. Les données sont toujours sur le système d’information mais l’entreprise ne peut plus y accéder car elles sont cryptées.

Ce qui est aujourd’hui certain à propos de cette nouvelle tactique c’est que, préalablement au cryptage des données, les Cyber criminels réalisent une copie des données. Dans quel but ? Pour leur permettre de procéder à la seconde étape de l’attaque : menacer l’entreprise victime de l’attaque de divulgation des données et de dénonciation de la violation de la confidentialité des données, à défaut de paiement de la rançon. Ces menaces ne concernent pas uniquement la dénonciation auprès des autorités nationales en charge de la protection des données, mais aussi auprès des personnes concernées.

Maze fut le premier groupe de hackers à pratiquer ce nouveau type d’attaques. Confiant d’être en mesure d’agir en toute impunité, Maze a créé son propre site web sur lequel il diffuse la liste des entreprises ciblées. Ils utilisent également leur site pour souligner les ramifications des entreprises qui ne payent pas la rançon demandée. Maze poste par ailleurs les données de ces entreprises sur son site web et/ou sur le DarkWeb. L’objectif de ce site est d’encourager les victimes à payer la rançon sans délai et de les y contraindre plus facilement. D’autres groupes criminels, comme Sodinokibi et DoppelPaymer, procèdent de la même manière, ce qui prouve que le phénomène prend de l’ampleur.

Le choix de l’entreprise victime de ce type d’attaque est beaucoup plus difficile à faire que celui des entreprises touchées par une attaque par ransomware classique. L’équilibre entre les avantages et les inconvénients du paiement de la rançon n’est pas leur seule préoccupation car ils doivent aussi faire face à toutes les obligations qui découlent d’une violation de données. Les entreprises doivent donc traiter les deux problématiques, avec la peur justifiée d’un dommage réputationnel et réglementaire, ce qui accroît la pression de procéder simplement au paiement de la rançon. Les Cyber criminels comptent sur cette pression additionnelle pour encourager les victimes à payer la rançon, ce qui leur confère plus de chance de succès que l’attaque ransomware traditionnelle.

En réalité, le choix semble impossible ! Tout d’abord parce que les entreprises concernées, même si elles payent la rançon, ne peuvent avoir la certitude que les criminels ne vont pas tout de même divulguer leurs données ou encore revenir ultérieurement avec une nouvelle demande de rançon. Ensuite, la violation de la confidentialité des données a déjà eu lieu, l’entreprise devra dans tous les cas se conformer à la réglementation en termes de protection des données.

Par conséquent, le seul moyen d’éviter efficacement ce type d’attaque ou d’en réduire les coûts est la mise en place en amont d’un programme de Cyber sécurité incluant un plan de réponse à incident ou gestion de crise.

Réduire le risque de ransomware grâce à un programme de Cyber sécurité robuste

Pour limiter les effets de cette nouvelle forme de ransomware (et de toute cyber-attaque), les entreprises devraient développer et adopter une stratégie de défense « en profondeur », qui comprend la mise en place d’une procédure de sauvegarde, des mises à jour notamment des correctifs et la surveillance de leur réseau. En outre, un contrôle technique accru ainsi que des stratégies de gestion des risques humains doivent être mis en place et adaptés à l’objectif visé c’est-à-dire répondre efficacement aux cybermenaces auquel l’organisation est confrontée.

Une mesure clé à prendre pour atténuer les attaques par ransomware est de s’assurer que l’entreprise dispose de sauvegardes à jour des données et des fichiers importants. Investir dans des back up et les protéger permettront à l’entreprise de s’appuyer sur ces dernières sauvegardes et – à la condition que cette sauvegarde soit réalisée fréquemment – ainsi revenir en arrière et éviter de devoir payer une rançon.

Les entreprises doivent s’assurer que leur sauvegarde est séparée de leur réseau, ou hébergée dans un service « cloud » conçu à cet effet. Toutefois, les services de synchronisation « cloud » (comme Dropbox, OneDrive, SharePoint et Google Drive) ne doivent pas constituer l’unique sauvegarde. En effet, la synchronisation peut se lancer automatiquement après le cryptage de données, l’organisation perdrait alors également ses copies sauvegardées.

De plus, certaines attaques par ransomware sont lancées par des attaquants ayant eu accès au réseau grâce à un logiciel d’accès à distance, comme le « remote desktop protocol (RDP) ». En mettant en place le « Multi-factor Authentification (MFA) » et en s’assurant que les utilisateurs se connectent au réseau par l’intermédiaire d’un « virtual private network (VPN) », les entreprises peuvent empêcher les attaquants de forcer l’accès à leurs réseaux.

En ce qui concerne les premiers vecteurs de menace, il faut savoir que les pirates chercheront toujours à exploiter ceux qui représentent la plus faible résistance. Il s’agit, dans un grand nombre de cas, de l’être humain, c’est-à-dire les employés. Les salariés ne sont « que » des êtres humains, ils peuvent faire des erreurs et en feront toujours. Ils peuvent devenir complaisants et cherchent souvent des raccourcis – les pirates informatiques le savent et chercheront à exploiter nos vulnérabilités humaines par le biais de l’ingénierie sociale (grâce à laquelle des logiciels de rançon peuvent être déployés). Par conséquent, il est urgent de donner la priorité à une stratégie centrée sur l’humain et qui se concentre sur la compréhension des actions et des attitudes dans l’environnement du travail afin de s’assurer que les salariés ne deviennent pas des acteurs de menaces (en grande partie involontaires et non intentionnels) qui exposent l’entreprise à un risque cybernétique accru.

Tout programme de cybersécurité solide doit comprendre un plan de réponse à incidents

En planifiant en amont, les entreprises peuvent garantir une réponse rapide dès les premiers signes d’infection. En s’efforçant de contenir la propagation dès le début et en mettant en œuvre des stratégies de surveillance, de réaction et de rétablissement solides déjà en place, les entreprises auront pris des mesures positives et pratiques pour renforcer leurs business contre un tel incident. En retour, ces mesures devraient permettre de réduire les répercussions, qu’elles soient financières, opérationnelles ou de réputation, sur leurs activités.

En acceptant la possibilité qu’une cyber-attaque (y compris une attaque avec demande de rançon comme celle dont il est question ici) frappe une entreprise, les plans et les stratégies peuvent être discutés, élaborés et mis en œuvre en amont. Des processus de réponse aux incidents et de gestion des événements peuvent être mis en place et testés afin que les entreprises puissent continuer à accéder à leurs fichiers, éviter toute fuite de données et, enfin, se protéger financièrement et sur le plan de la réputation tout en limitant les conséquences commerciales ou opérationnelles d’une attaque lorsqu’elle se produit.

Est-ce que votre police d’assurance Cyber couvre cette nouvelle menace ?

Pour les entreprises qui ont déjà décidé de couvrir leurs cyber-risques résiduels par une police d’assurance dédiée, cette nouvelle forme de rançon déclenchera un certain nombre de garanties. Mais avant d’identifier les garanties offertes par une police cyber et qui peuvent être déclenchées, analysons d’abord l’attaque.

Analyse de l’attaque

Cette nouvelle forme d’attaque est composée de cinq éléments, traduits en termes assurantiels entre parenthèses.

  • Un accès non autorisé à un système automatisé de traitement de données (une violation du système informatique)
  • Une violation de données (un événement affectant la confidentialité des données)
  • L’introduction d’un élément de cryptage (un événement affectant la disponibilité des données)
  • Une demande d’extorsion initiale pour décrypter les données (une première extorsion Cyber)
  • Une seconde demande d’extorsion avec menace de divulgation et de dénonciation (une seconde extorsion)

Les garanties offertes par une police d’assurance Cyber pouvant s’appliquer

Afin de remédier à une telle attaque, la victime va probablement engager des sommes considérables. Ce coût va évidemment dépendre du montant de la rançon demandée et de la décision de l’entreprise (payer ou non la rançon), de sa taille, de sa couverture géographique et du nombre ainsi que du type de données volées.

Lorsque l’entreprise découvre qu’il y a eu un accès non autorisé à un système automatisé de traitement de données et un cryptage de données, les coûts suivants peuvent être engagés et remboursés par les assureurs Cyber :

  • Frais d’experts informatique
  • Frais juridiques
  • Frais de restauration et de reconstitution des données
  • Frais de décontamination

En cas de violation de la confidentialité des données, les coûts suivants sont généralement couverts :

  • Frais juridiques
  • Frais de notification
  • Frais de monitoring et de surveillance
  • Frais de mise en place d’une hotline
  • Frais de surveillance du DarkWeb
  • Frais de relations publiques
  • Frais de défense et conséquences financières résultant de réclamations de tiers
  • Frais de défense et sanctions pécuniaires (si assurables) prononcées par l’autorité chargée de la protection des données. Le montant de celles-ci peut varier selon l’autorité.
  • Frais supplémentaires
  • Pertes d’exploitation.

Concernant les deux demandes d’extorsion, les garanties suivantes d’une police d’assurance Cyber peuvent s’appliquer :

  • Rançon (y compris en bitcoin ou toute autre cryptomonnaie), les fonds, les instruments monétaires ou la valeur vénale des biens remis
  • Frais de consultant en charge de déterminer l’origine de la Cyber extorsion et d’y mettre fin
  • Frais d’un traducteur qualifié
  • Les frais et intérêts d’emprunt contracté par l’Assuré
  • Les frais de déplacement et/ou de séjour engagés par l’Assuré durant le processus de négociation

Si la Cyber extorsion ou tentative de Cyber extorsion est rendue publique par les criminels, les assureurs Cyber pourraient également couvrir les coûts de :

  • Définition et mise en place d’une stratégie de communication
  • Coordination et réponse aux médias
  • Formation des Dirigeants de l’assuré qui pourraient être amenés à interagir avec les médias
  • Préparation d’un rapport d’audit réputationnel à la suite de l’attaque Cyber.

L’analyse ci-dessus démontre qu’être bien préparé et assuré constitue le meilleur moyen pour se remettre rapidement de ce nouveau mode d’attaque par ransomware. Les entreprises doivent envisager l’importance de la création d’un programme de Cyber sécurité avant d’être attaquées, ceci inclut un processus leur permettant de s’assurer que les systèmes sont mis à jour avec les correctifs adéquats, que les données sont régulièrement sauvegardées, que les salariés sont correctement formés et qu’un programme de réponse à incident sont en place, combinés avec une assurance Cyber pour une protection contre les risques résiduels.

Auteurs



Lead Consultant (Cyber Risk, GB) and Director (People + Cyber Solutions)

Cyber Risk Associate

Source link

Que pensez-vous du sujet ?

GRAS SAVOYE
Premier réseau de courtage d’assurance en France et tout particulièrement en région, Gras Savoye traite toute la chaîne des risques : le conseil, la négociation des contrats avec les assureurs, la gestion des contrats et des sinistres.
Gras Savoye est une société Willis Towers Watson, entreprise internationale de conseil, de courtage et de solutions logicielles qui accompagne ses clients à travers le monde afin de transformer le risque en opportunité de croissance.

Contacter Gras Savoye