Anti-Ransomware : payer ou ne pas payer, telle est la question
Adrien Gendre
—06 janvier 2022
—4 min de lecture
De plus en plus violentes, les attaques des ransomwares contre les MSP sont aussi toujours plus nombreuses. Cet été, des cybercriminels s’en sont ainsi pris à Kaseya et indirectement, à ses 1 500 clients. Montant demandé à la société pour lui communiquer la clé de décryptage ? 70 millions de dollars.
Les MSP offrent une voie royale à leurs clients, et les hackers l’ont bien compris.
Les attaques par ransomware présentent aussi des conséquences méconnues. En effet, même après vous être acquitté de votre dîme, vous n’avez aucune garantie que vos données ou celles de vos clients seront décryptées. Pire encore, votre statut de victime multiplie les risques de récidive. Pour conclure cet article, nous verrons comment fonctionnent les solutions anti-ransomware et comment elles aident les entreprises à éviter ces écueils.
Les attaques
Les utilisateurs de ransomware forment désormais des groupes plus étendus et plus compétents. Ils s’associent les uns avec les autres pour donner naissance à des équipes redoutables, capables de mener des attaques éclair.
D’après un rapport de Statista, 54 % des MSP estiment que la plupart des infections par des ransomwares survenues en 2020 découlent d’attaques de phishing. L’email est un vecteur rapide, peu coûteux et facile à mettre en place, en particulier lorsque les attaquants recourent à l’ingénierie sociale pour pousser les employés à cliquer sur leurs liens malveillants.
Pourquoi payer la rançon n’est pas sans risque
L’exemple de Kaseya peut laisser perplexe : quel MSP irait payer 70 millions de dollars de rançon ? Ce montant est exorbitant ! Les attaquants en ont pleinement conscience. Il est bien plus faisable pour un MSP ou ses clients de s’acquitter d’une rançon de 5 000 $ pour retrouver l’ensemble de ses données. Certes, ce montant peut paraître dérisoire pour un MSP, mais le problème ne disparaît pas avec le paiement. En vérité, le paiement marque même le début d’une série d’autres problèmes :
- Les attaquants n’ont aucune raison de décrypter les données et sont même encouragés à recommencer.
- Même s’ils décryptent les données, ils peuvent très bien laisser derrière eux un cheval de Troie ou un ver pour rendre le MSP vulnérable à de futures attaques.
- Ils peuvent également vendre les informations qu’ils ont récupérées et laisser ainsi la porte du MSP grand ouverte à d’autres hackers.
De plus, après avoir payé, un MSP doit encore réaliser une analyse exhaustive de son réseau pour déterminer par où sont passés les attaquants et quelle méthode ils ont employée, mais aussi pour s’assurer qu’ils n’ont pas laissé derrière eux de programmes destructeurs ou de virus. La gestion des suites d’une violation de sécurité demande ainsi des heures de travail et beaucoup d’argent.
Plus important encore, le paiement d’une rançon peut s’avérer illégal. Les entreprises peuvent être tenues responsables si les personnes et organisations touchant leur argent sont soumises à des sanctions.
Pourquoi ne pas payer la rançon n’est pas sans risque
Si vous refusez de vous acquitter de la rançon et que vous ne disposez pas de sauvegardes, vous ne récupérerez jamais vos données. Malheureusement, le problème ne s’arrête pas là. Les hackers peuvent bloquer les services et le site d’un MSP, ou contacter ses clients et partenaires clés pour les informer de l’attaque. Ils peuvent aller jusqu’à diffuser des informations sensibles s’ils n’obtiennent pas l’argent demandé.
Une impasse ?
Que les MSP paient ou non, ils peuvent faire l’objet de poursuites de la part de leurs utilisateurs finaux après l’attaque. Leur défense contre une action de groupe visant à compenser les pertes subies en raison de leur négligence risque de leur coûter davantage que la rançon. Par exemple, le fabricant Boardman Molded Products s’est retourné contre son MSP après une attaque de phishing. D’après le rapport de police, l’attaque lui a coûté plus de 1,7 million de dollars.
Les entreprises exposées à une violation n’ont aucune garantie que leur assurance acceptera leur déclaration de sinistre : les MSP sont encore plus vulnérables aux conséquences financières et judiciaires d’une attaque contre leurs propres réseaux.
Pour toutes ces raisons, il est essentiel de mettre en place une stratégie anti-ransomware.
À quoi ressemble une stratégie anti-ransomware
Que peuvent faire les MSP pour se protéger et pour protéger leurs clients ?
L’email étant le vecteur d’attaque le plus simple, les MSP doivent accorder une attention particulière à la sécurité de l’email en formant avec soin les utilisateurs finaux et leurs équipes. Une formation régulière évitera à leurs clients de cliquer sur les liens d’un email de phishing, quand une formation déclenchée en cas de besoin permettra d’intégrer les bonnes pratiques dans tous les esprits.
Pour ce faire, il est nécessaire d’être en mesure d’analyser de manière rapide et complète les menaces pour localiser et éliminer les emails suspects avant qu’ils n’arrivent dans les boîtes de réception de leurs clients. Si une attaque survenait malgré tout, les MSP doivent toujours disposer d’une solution de sauvegarde sécurisée évitant que leurs clients ne soient à la merci des attaquants.
Les clients finaux, en particulier les PME, font reposer l’efficacité et la fiabilité de leur sécurité sur les MSP. Une attaque peut se produire à tout moment : les MSP doivent être prêts.
Les menaces sophistiquées imposent une protection qui l’est tout autant
Les utilisateurs de ransomwares sont chaque année plus malins et plus doués : vos solutions de cybersécurité anti-ransomware doivent évoluer tout aussi rapidement. Pour être protégé, optez pour une solution basée sur des technologies innovantes.
Les solutions de Vade pour les MSP sont conçues pour offrir un déploiement rapide, une grande simplicité d’utilisation et une protection optimale :
- Vade s’intègre nativement à Microsoft 365 et n’impose pas aux MSP de rediriger les enregistrements MX de leurs clients : notre solution est interne et reste invisible pour les hackers.
- Vade analyse les emails en temps réel, à chaque instant. Non seulement elle évite que les menaces n’atterrissent dans les boîtes mail des clients, mais elle supprime aussi après-coup les emails passés entre les mailles du filet.
- Vade propose une intégration aux SIEM et des outils d’analyse des menaces avancés. Les MSP peuvent ainsi consulter des métadonnées détaillées, étudier les pièces jointes, charger des fichiers à analyser et télécharger les emails pour déterminer si une remédiation est nécessaire et où.
Vade for M365 assure une protection contre les menaces, la sensibilisation des utilisateurs et la réponse aux incidents. Ainsi, les MSP peuvent créer un service de sécurité managé solide avec une seule solution, ce qui leur simplifie grandement la tâche.
Si vous vous demandez comment parler à vos clients des solutions anti-ransomware telles que Vade, n’hésitez pas à leur envoyer notre livre blanc, Protéger votre société contre les ransomwares.