Selon une étude menée par Sophos, les entreprises qui ont été victimes d’une attaque par ransomware ne sont plus jamais les mêmes

Sophos Press Release

Cette étude révèle que la confiance des managers IT et leur approche de la lutte contre les cyberattaques se trouvent radicalement altérées lorsqu’ilss ont été victimes d’une attaque par ransomware

Les nouvelles techniques utilisées par le ransomware Ryuk mettent en lumière la rapidité d’adaptation des cyberattaquants

Paris, le 15 octobre 2020 – Sophos, leader mondial en solution de cybersécurité Next-Gen, annonce la publication des résultats d’une étude menée auprès d’entreprises du monde entier intitulée « Cybersecurity: The Human Challenge ». Selon cette étude, les entreprises ayant été victimes d’une attaque par ransomware s’en trouvent transformées à jamais. La confiance des managers IT et leur approche de la lutte contre les cyberattaques, en particulier, sont radicalement différentes s’ils font partie d’une entreprise qui a été touchée par une de ces attaques.

À titre d’exemple, dans le monde, les managers IT issus d’entreprises qui ont été victimes de ransomwares sont presque trois fois plus susceptibles de se sentir « très en retard » en ce qui concerne leur compréhension des cybermenaces, comparés à leurs homologues provenant d’entreprises qui n’ont pas été touchées par ces attaques (respectivement 17 % et 6 %). En France, les managers IT qui se sentent « très en retard » représentent 6 % des répondants.

Plus d’un tiers (35 %) des victimes d’attaques par ransomwares déclarent que le recrutement et la fidélisation de personnels IT compétents et spécialisés dans la sécurité constituait le plus grand défi auxquels ils devaient faire face en matière de cybersécurité, tandis qu’ils n’étaient que 19 % à le penser dans les entreprises non touchées. En France, 23 % des répondants touchés partagent ce sentiment.

Concernant la sécurité, l’étude montre que les victimes de ransomwares passent proportionnellement moins de temps sur la prévention (42,6 %) et davantage sur la réaction aux menaces (27 %), comparées aux entreprises qui n’ont pas été touchées par une attaque (respectivement 49 % et 22 %), et allouent des ressources au traitement des incidents plutôt que de concentrer les moyens sur leur prévention. Pour la France, 44 % se concentrent sur la prévention et 24 % sur la réaction.

« La différence en matière de priorisation des ressources pourrait indiquer que les victimes de ransomwares sont confrontées à davantage d’incidents par rapport à l’ensemble des répondants. Toutefois, cela pourrait tout aussi bien montrer qu’ils sont plus vigilants au regard de la nature complexe et par étapes des attaques avancées et investissent par conséquent davantage de ressources dans la détection des signes avant-coureurs d’une attaque et dans leur réaction à ces événements, » déclare Chester Wisniewski, Principal Researcher chez Sophos.

Comme le démontre un article publié sur SophosLabs Uncut et intitulé « Inside a new Ryuk ransomware attack », le fait que les tactiques, techniques et procédures (TTP) des cyberattaquants qui utilisent des ransomwares ne cessent d’évoluer complique la tâche des équipes de sécurité IT. Cette publication déconstruit une attaque récente impliquant le ransomware Ryuk. Les personnels de Sophos en charge de la réaction aux incidents ont découvert que les cyberattaquants Ryuk utilisaient des versions mises à jour d’outils légitimes largement disponibles pour créer une brèche dans le réseau ciblé et déployer le ransomware. Fait inhabituel, l’attaque est entrée en action très rapidement – moins de trois heures et demie se sont écoulées entre l’ouverture par un employé d’un document malveillant joint à un e-mail de phishing et la mise en œuvre d’une opération de reconnaissance active du réseau par les cyberattaquants. En moins de 24 heures, ceux-ci avaient accédé à un contrôleur de domaine et se préparaient à lancer Ryuk.

« L’enquête que nous avons menée sur l’attaque impliquant le ransomware Ryuk qui a eu lieu récemment met en évidence le type de menaces auxquelles les entreprises sont confrontées. Les équipes de sécurité IT doivent se tenir en alerte 24h/24 7j/7 et maîtriser pleinement les derniers renseignements concernant les outils et les comportements des cyberattaquants. Les résultats de l’étude illustrent clairement l’impact de ces exigences quasi impossibles à satisfaire. De plus les victimes de ransomwares ont une confiance très affaiblie dans leur capacité à reconnaître des cybermenaces. Toutefois, leur expérience semble leur avoir donné une meilleure appréciation de l’importance de disposer de professionnels compétents en matière de cybersécurité, ainsi que de l’urgence qu’il y a à mettre en place une chasse aux menaces menée par des êtres humains afin de mieux comprendre et identifier les comportements les plus récents en matière de cyberattaques, » déclare Chester Wisniewski. « Quelles qu’en soient les raisons, il est clair que concernant la sécurité, une entreprise n’est plus jamais la même après avoir été victime d’un ransomware. »

Le rapport complet [étude sur Ryuk] est disponible sur SophosLabs Uncut, sur lequel les chercheurs de Sophos publient régulièrement les derniers résultats d’études et les découvertes, à l’instar de l’article sur le ransomware Maze qui adopte des techniques propres à Ragnar Locker. Les chercheurs spécialistes des menaces peuvent suivre les dernières publications SophosLabs Uncut en temps réel sur le compte Twitter @SophosLabs.

 

À propos de l’étude
L'étude intitulée « Cybersecurity: The Human Challenge » a été dirigée par Vanson Bourne, spécialiste indépendant des études de marché, aux mois de janvier et février 2020. Au cours de ce sondage, 5 000 décideurs IT de 26 pays différents ont été interrogés – États-Unis, Canada, Brésil, Colombie, Mexique, France, Allemagne, Royaume-Uni, Italie, Pays-Bas, Belgique, Espagne, Suède, Pologne, République Tchèque, Turquie, Inde, Nigéria, Afrique du Sud, Australie, Chine, Japon, Singapour, Malaisie, Philippines et Émirats Arabes Unis. Tous les répondants sont issus d’entreprises comprenant entre 100 et 1 500 employés.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de cybersécurité avancées, qui comprend des services managés de détection et réponse (MDR) et de réponse aux incidents, ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud contre les cyberattaques. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 500 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central basée dans le Cloud et sont alimentés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. L’intelligence de Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un datalake centralisé exploitant un ensemble riche d’API ouvertes à destination des clients, des partenaires, des développeurs et des autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité clés en main et entièrement gérées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services gérés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.