Les ransomwares ne sont pas une fatalité mais lutter contre eux revient aussi à s'intéresser à la menace interne.

Secu

Ransomwares : la menace vient aussi de l’intérieur

Par Laurent Delattre, publié le 25 novembre 2022

Si les ransomwares font la une de l’actualité en matière de cyberattaques, une étude récente de rappelle aussi que les risques internes sont toujours d’actualité et constituent une porte d’entrée. La menace ne vient pas toujours d’où l’on croit.

Baptisée État des ransomwares 2022, l’étude menée en juin dernier par Vitreous World pour le compte de Gigamon a recueilli les témoignages de 1020 décideurs IT et sécurité aux États-Unis, au Royaume-Uni, en France, Allemagne, Australie et à Singapour.

Pas moins de 95% ont subi des attaques de ransomwares au cours de l’année écoulée. Et 59 % jugent que ces attaques se sont intensifiées depuis le début de l’année.

Si elle est moins visible et moins médiatisée, la menace interne reste d’actualité. Selon cette étude, 93% des quelques 200 DSI français interrogés estiment qu’elle constitue une menace importante pour leur entreprise. L’étude apporte un éclairage sur les origines de cette menace, sur ses variantes et propose des solutions.

De la négligence à la malveillance

Premier constat, la menace interne ne se limite pas aux collaborateurs mais peut inclure d’ex-salariés, voire des partenaires commerciaux ou des fournisseurs. Trois types de menaces ont été distinguées : les individus négligents ou imprudents, ceux qui sont mal intentionnés, et les vols d’identifiants par des cybercriminels.

Le constat s’impose, cette menace est dans la plupart des cas non intentionnelle. Elle résulte le plus souvent de la négligence d’un utilisateur qui n’a pas protégé correctement ses informations d’identification, ou s’est fait avoir par des attaques courantes comme le phishing ou spear phishing. Près d’un tiers, 29%, des DSI ou RSSI interrogés attribuent la recrudescence des attaques par ransomwares à des causes internes.

Selon l’étude, 64% des responsables IT français interrogés affirment avoir mis en place une stratégie pour gérer les menaces internes accidentelles ou malveillantes.

Une culture de la cybersécurité… pas du blâme

L’étude révèle que pour les DSI et RSSI français, les principales causes d’augmentation de la fréquence des attaques par ransomware sont d’abord la sophistication croissante de ces attaques (63%), la complexité des environnements IT à la fois hybrides et multicloud (40%), l’éternelle pénurie de compétences IT (40%) et la mauvaise configuration des actifs cloud (33%).

Là où l’étude se démarque vraiment c’est qu’elle s’intéresse à un sujet rarement abordé : la culture du blâme… « Plus les organisations sont victimes d’attaques, plus les DSI et les RSSI responsables de la protection de leur infrastructure sont inévitablement pointés du doigt, installant de fait une “culture du blâme” » rappellent les auteurs. Les résultats varient d’une région à l’autre, mais dans l’ensemble, 88 % des personnes interrogées à l’échelle mondiale pensent que la culture du blâme existe – au moins partiellement – dans leur secteur.

À LIRE AUSSI :

À l’échelon français, 29% des DSI/RRSI pensent que cette culture du blâme est très répandue et considèrent comme « trop facile » de pointer du doigt l’équipe sécurité. Mais la France est aussi le pays qui affiche le plus fort taux de DSI (18%) estimant qu’il n’existe aucune culture du blâme dans leur entreprise (ils ne sont que 8% au Royaume Uni, 6% aux USA et 5% en Australie par exemple).

Selon l’étude, pour éviter cette culture du blâme, il faut implanter une culture plus ouverte ou transparente de sorte que la sécurité soit considérée comme une responsabilité collective.

Maîtriser les risques

Pour maîtriser ces risques, les entreprises misent d’abord sur la formation et la sensibilisation des salariés, un facteur clé cité par 89 % des répondants.

L’implémentation d’une architecture Zero Trust (57%) et le recours à l’observabilité avancée (50%) arrivent ensuite.

Commercialisant des outils d’observabilité, Gigamon souligne sans surprise que les entreprises françaises ne sont pas assez équipées avec ce type d’outils. Pour rappel, l’observabilité avancée recouvre une approche consistant à collecter en continu des données, métriques, log, traces, sur tous les équipements et applications, dans une logique de bout en bout. Selon les résultats de l’étude, 59% des professionnels français interrogés, précisent qu’ils n’ont pas la visibilité nécessaire pour distinguer quel type de menace interne met en danger leur entreprise.

Pas étonnant, dès lors, de constater que seulement 4% des responsables IT se montrent très confiants quant à leur capacité à faire face à une attaque par ransomware.
Et 85% des DSI/RSSI interrogés craignent les répercussions sur l’activité de l’entreprise en cas d’infection par ransomware.

À LIRE AUSSI :

Dans l'actualité