Les attaques de ransomware deviennent plus courantes et dangereuses : voici comment les prévenir

Les rançongiciels demeurent l'une des plus grandes menaces de cybersécurité auxquelles les entreprises sont confrontées aujourd'hui. Selon recherches récentes Selon Check Point, ce vecteur d'attaque a augmenté de 126 % au premier trimestre 2025. Au total, 2289 XNUMX incidents se sont produits au cours de cette période, les biens de consommation et les services aux entreprises étant les secteurs les plus ciblés.

Mais les attaques par rançongiciel ne se multiplient pas seulement. Elles sont aussi plus sophistiquées que jamais, les pirates adoptant de plus en plus de tactiques de double extorsion et d'intelligence artificielle pour infliger des dommages plus importants à leurs victimes et intensifier leurs activités néfastes. Alors, que peuvent faire les équipes de cybersécurité pour faire face à cette menace en constante évolution ?

Les ransomwares évoluent rapidement

Un changement notable dans les tactiques de rançongiciels est que les pirates ne se contentent plus de chiffrer les données volées. Ils menacent également de les publier sur Internet si les victimes ne paient pas la rançon, ce qu'on appelle le rançongiciel à double extorsion. Le gang Maze a tristement célèbre cette tactique contre l'entreprise américaine de sécurité privée et de recrutement Allied Universal en 2019.

Après qu'Allied n'a pas payé la rançon de 2.3 millions de dollars de Maze, les pirates ont réagi en divulguant en ligne une petite partie des données volées de l'entreprise et en augmentant la rançon initiale de 50 %. Malgré cet ultimatum, Allied a persisté dans son refus d'accéder à la demande des pirates. Maze a ensuite divulgué encore plus de données.

Depuis, Maze a lancé des attaques similaires contre la ville de Pensacola, en Floride, et contre le géant des services professionnels Cognizant. On estime que le rançongiciel Maze a coûté à Cognizant entre 50 et 70 millions de dollars, ce qui illustre les graves conséquences financières des rançongiciels.

Compte tenu de la forte rentabilité des campagnes de rançongiciels comme celles menées par Maze, les pirates informatiques agissent désormais comme des entreprises pour maximiser leurs profits. De ce fait, les attaques de rançongiciels actuelles sont extrêmement sophistiquées, selon Dray Agha, responsable principal des opérations de sécurité chez Managed Cybersecurity Platform. ChasseresseIl observe que ces opérations impliquent souvent des filiales, des portails de service client et des stratégies ciblées – visant à garantir que les ransomwares restent cachés au plus profond des réseaux d’entreprise pendant de longues périodes tout en exploitant les faiblesses des personnes, des processus et de la technologie.

Ce sentiment est partagé par Pierre Noel, RSSI de terrain EMEA chez Managed Detection and Response Platform Expulser, qui décrit les groupes de rançongiciels comme de « vastes écosystèmes ». Il affirme qu'ils travaillent sans relâche pour « perfectionner leurs composants » et utilisent des stratégies utilisées par les véritables entreprises de SaaS. Parmi les exemples, on peut citer différentes options tarifaires, une documentation utilisateur complète et des tableaux de bord conviviaux, qui permettent aux pirates, novices comme expérimentés, de mener avec succès des campagnes de rançongiciels à double extorsion. Il ajoute : « Les rançongiciels sont devenus de plus en plus polymorphes, lançant des attaques à grande échelle, utilisant toute information ou IA disponible pour optimiser l'efficacité de leurs attaques. »

Grâce à l'évolution de ces tactiques, les campagnes de rançongiciels ne sont plus l'apanage des grands gangs et des États-nations. Aujourd'hui, n'importe qui peut lancer des attaques par rançongiciel, grâce à la fiabilité et à la disponibilité croissantes des outils et kits de rançongiciels prêts à l'emploi, selon Mick Baccio, conseiller mondial en cybersécurité chez Splunk, éditeur de logiciels américain. Il ajoute : « Les rançongiciels se sont industrialisés. »

Une autre tendance alarmante est la montée des attaques de rançongiciels alimentées par l’intelligence artificielle.

Giles Inkson, directeur des services EMEA au sein d'une société de cybersécurité NetSPI, affirme que les pirates informatiques utilisent cette technologie pour automatiser les attaques par rançongiciel, créer des campagnes de phishing plus percutantes, développer des logiciels malveillants difficiles à détecter et déchiffrer plus rapidement de grands volumes de mots de passe. Il poursuit : « Si l’IA peut contribuer à renforcer les stratégies de cyberdéfense, elle élargit également la surface d’attaque des organisations, rendant leurs actifs potentiellement exposés et vulnérables aux attaques. »

Risques multiformes

L'évolution des tactiques de rançongiciels s'accompagne d'enjeux croissants pour les entreprises. Baccio de Splunk prévient que les entreprises ne sont pas seulement confrontées à la perspective de vols de fichiers en cas d'attaque par rançongiciel. Les pertes financières, l'atteinte à la réputation, l'érosion de la confiance des clients et les conséquences juridiques sont également inévitables.

Le coût financier des attaques par rançongiciel, en particulier, peut être dévastateur pour les victimes. Le rapport de Splunk sur le coût des temps d'arrêt montre que les interruptions informatiques imprévues coûtent 2000 milliards de dollars par an aux 400 9 plus grandes entreprises mondiales. De plus, Baccio indique que le cours des actions peut chuter jusqu'à 22 % après une attaque par rançongiciel. Les amendes s'élèvent également en moyenne à 19 millions de dollars et les rançons à XNUMX millions de dollars.

Pire encore, il affirme qu'aucun chiffre ne peut être chiffré pour les dommages causés à la marque par les rançongiciels. Il explique à ISMS Online : « Les temps d'arrêt représentent désormais bien plus qu'une perte de revenus. Ils ternissent votre réputation, vous causent des problèmes de conformité et vos clients s'en aperçoivent avant vous. »

Agha de Huntress convient que l’impact des attaques de ransomware est multiforme.

D'un point de vue juridique, lorsqu'une entreprise perd des données sensibles suite à une attaque par rançongiciel, elle sera soumise à des règles strictes de notification des violations, à des poursuites judiciaires et à des amendes. Les entreprises qui ne seront pas en mesure de démontrer qu'elles disposent de protections de cybersécurité adéquates seront les plus durement touchées par ces sanctions, affirme-t-il.

Sans compter que les attaques de rançongiciels qui touchent les grandes organisations deviennent souvent publiques. Agha prévient que les régulateurs, les clients, les investisseurs et les journalistes voudront tous savoir pourquoi une organisation a pu succomber à un rançongiciel. Il poursuit : « L'implication des équipes juridiques et de relations publiques dès le départ garantit une réponse non seulement techniquement solide, mais aussi conforme à la législation et respectueuse de la réputation. »

Atténuer les risques de ransomware

Pour atténuer les risques de rançongiciels, Agha de Huntress souligne que les entreprises doivent garder à l'esprit que ces attaques comportent souvent plusieurs étapes et ne peuvent donc pas être stoppées par un seul produit de cybersécurité. Généralement, les pirates diffusent des e-mails de phishing avant de voler les identifiants d'utilisateurs peu méfiants qui cliquent sur des liens malveillants et accèdent ainsi aux données et aux systèmes du réseau informatique compromis. Ils diffusent ensuite des logiciels malveillants voleurs d'informations, exfiltrent des données sensibles, les chiffrent et, enfin, exigent une rançon.

Dans cette optique, il encourage les organisations à adopter une approche de cybersécurité multicouche. Celle-ci devrait inclure une formation de sensibilisation à la cybersécurité pour permettre aux employés de détecter rapidement les tentatives de phishing, l'utilisation d'une solution de détection et de réponse gérée pour empêcher les menaces de passer entre les mailles du filet, et des sauvegardes de données pour permettre aux organisations de se rétablir rapidement après une attaque par rançongiciel.

De plus, les organisations doivent corriger régulièrement les problèmes de sécurité, mettre en place des contrôles d'accès robustes et mettre en œuvre un plan complet de réponse aux incidents. Cela permettra de disposer d'une « défense résiliente et coordonnée » qui les protège contre les dernières tactiques de ransomware. Agha explique : « Il ne s'agit pas seulement d'acheter des outils ; il s'agit de bâtir une culture de la sécurité qui se prépare aux attaques actuelles. »

Baccio, de Splunk, estime également qu'il est impossible de prévenir les attaques de ransomware par une solution miracle. Tout comme on porte plusieurs couches pour survivre à une tempête de neige, il explique que les entreprises ont besoin de plusieurs couches pour se protéger contre les ransomwares. Ces couches doivent inclure des pare-feu, la protection des terminaux, la surveillance du réseau, des architectures Zero Trust, des sauvegardes et des formations. Il ajoute : « Car lorsqu'une attaque frappe, il faut de la mémoire, pas du chaos. »

Pour assurer la mise en œuvre harmonieuse de stratégies de cybersécurité multicouches, Satish Swargam – consultant principal chez une société de logiciels de sécurité des applications Black Duck – recommande aux organisations de détailler chaque étape dans une feuille de route. Investir dans des outils d'intelligence artificielle pourrait également accélérer nombre de ces étapes, selon Inkson de NetSPI. Mais il est clair que l'automatisation doit compléter – et non remplacer – les experts en cybersécurité.

À ce propos, Shobhit Gautam – architecte de solutions pour le personnel de la région EMEA chez un fournisseur de solutions de cybersécurité offensives HackerOne – soutient que l’implication d’experts externes par le biais de programmes de primes aux bugs aidera les organisations à identifier et à résoudre les failles de sécurité susceptibles de conduire à des attaques par ransomware.

Bien sûr, les stratégies de lutte contre les rançongiciels ne sont efficaces que si chacun au sein de l'organisation joue son rôle. C'est là que les normes professionnelles du secteur, comme la norme ISO 27001, se révèlent extrêmement utiles. Javvad Malik, responsable de la sensibilisation à la sécurité sur une plateforme de formation à la sensibilisation à la sécurité. KnowBe4, explique : « Il aligne les personnes, les processus et la technologie vers une sécurité de l'information robuste, améliorant ainsi la cyber-résilience globale au-delà de la simple protection contre les ransomwares. »

Sans aucun signe de ralentissement, les ransomwares ne peuvent clairement pas être ignorés. Cependant, la nature dynamique des menaces actuelles implique que les entreprises ne peuvent espérer y faire face en investissant dans une seule application de cybersécurité. Elles doivent concevoir et mettre en œuvre une stratégie de cybersécurité multicouche offrant des solutions efficaces pour gérer chaque étape du processus de ransomware. Plus important encore, tous les employés ont un rôle à jouer dans la mise en œuvre de cette stratégie. Ainsi, les tentatives de ransomware seront neutralisées au plus vite.