Ransomware : il est temps de mettre les audits de cybersécurité au niveau du RGPD

Spread the love

Les normes de cybersécurité devraient être traitées de la même manière que les règles de droit de protection des données en réponse aux cyberattaques, y compris les incidents liés aux ransomware, propose un expert en sécurité.

Le phénomène du ransomware est passé d’une épine dans le pied des individus à une menace réelle et fréquente qui peut entraîner des dommages catastrophiques aux réseaux d’entreprises, la perte de dossiers de clients et la fuite potentielle d’informations confidentielles. Les variantes de rançongiciels comprennent des logiciels comme WannaCry, Petya, Ryuk et Gandcrab, mais il y en a beaucoup, beaucoup d’autres. Une fois qu’un système informatique a été compromis, cette forme de malware chiffre les disques et les fichiers et exige le paiement d’une rançon en échange d’une clé de déchiffrement.

Selon Check Point, le nombre d’attaques quotidiennes de ransomware dans le monde a augmenté de moitié au cours des trois derniers mois car les pirates profitent de la perturbation opérationnelle et du passage rapide au travail à domicile provoqués par la COVID-19.

publicité

Une augmentation récente et “spectaculaire” du volume des incidents liés aux logiciels de rançon

Ezat Dayeh, ingénieur senior chez Cohesity, a déclaré à ZDNet dans une interview que l’entreprise a connu une augmentation récente et “spectaculaire” du volume des incidents liés aux logiciels de rançon. Comme de plus en plus de personnes travaillent à domicile en raison de la COVID-19, cela a peut-être introduit de nouveaux facteurs de risque – mais la sophistication croissante de ces attaques est également préoccupante.

“Quand on pense qu’il y a deux ou trois ans, lorsque les gens étaient touchés par des ransomware, neuf fois sur dix, ils disaient en gros, “cela a certainement eu un impact sur la production, nous avons des problèmes, mais nous pouvons revenir à nos sauvegardes”, et dans le pire des cas, “nous allons simplement faire une restauration”, a déclaré M. Dayeh. “Mais maintenant, cela devient plus sophistiqué. Les ransomware peuvent entrer dans un réseau et ne rien y faire, mais commencer à regarder autour d’eux et à voir à quoi ils peuvent accéder sur le réseau”.

Après cette période de reconnaissance, les opérateurs de logiciels malveillants sont désormais plus susceptibles de se diriger directement vers les sauvegardes. Si celles-ci peuvent être chiffrées avant que les administrateurs informatiques ne soient avertis d’une infection, cela supprime le filet de sécurité et les cyberattaquants ont plus de chances de réussir leur chantage.

Revenir à l’essentiel et de “mettre tout le monde sur un pied d’égalité”

Le problème est que peu de victimes de demandes de rançongiciels choisissent de s’adresser à la police, et certaines organisations se contentent de payer pour dissimuler l’incident selon Europol. Plus les victimes paient, plus l’entreprise criminelle est lucrative, et l’industrie du ransomware continue alors de gagner du terrain à mesure que de plus en plus de pirates adoptent ces formes d’attaque.

Combinez la sous-déclaration d’incident, l’acceptation du chantage, et le nombre croissant de pirates qui s’intéressent à cette activité, et vous avez un problème. Ce défi a été récemment soulevé par l’Office of Foreign Assets Control (OFAC) du Trésor américain, qui a publié des lignes directrices (.PDF) sur les cas où le paiement d’une rançon pourrait violer les sanctions américaines. “Les entreprises qui facilitent le paiement de rançons aux cyberacteurs au nom des victimes, y compris les institutions financières, les assureurs qui proposent de la cyber assurance, et les entreprises qui pratiquent de la réponse aux incidents, encouragent les demandes de paiement de rançons à l’avenir”, indique le ministère américain.

Une solution pourrait être de revenir à l’essentiel et de “mettre tout le monde sur un pied d’égalité”, explique M. Dayeh, en imposant des audits de sécurité sur le modèle de la manière dont le règlement général sur la protection des données (RGPD) de l’UE traite les responsables du traitement des données.

“Tout doit être vérifié”, a ajouté M. Dayeh. “Vous devez être audité pour découvrir tout ce que vous pouvez faire. Parce que cela donne au moins à l’entreprise une chance de se battre et lui permet de réfléchir à la manière dont elle va s’attaquer aux problèmes. Et s’ils ne le font toujours pas, et qu’on leur a dit “vous êtes vulnérable”, alors cela devrait aller jusqu’au PDG, dans mon esprit”.

Le RGPD s’efforce de traiter les organisations et les contrôleurs de données sur un pied d’égalité, et les failles s’accompagnent de la possibilité d’amendes basées sur le chiffre d’affaires annuel d’une entreprise.

Si les audits de sécurité étaient traités de la même manière, avec des règles que tout le monde peut essayer de suivre, cela pourrait promouvoir une meilleure norme en matière de cybersécurité ainsi qu’une prise de conscience de la manière dont les organisations sont censées maintenir une posture de sécurité raisonnable – ce qui est particulièrement important à un moment où les attaques potentiellement dévastatrices, y compris les demandes de rançon, sont en augmentation.

“Nous devrions au moins proposer une sorte de ligne directrice à suivre pour les gens ; cochez ces cases et vous devriez vous en sortir”, a déclaré M. Dayeh. “Mais laisser le marché s’en charger et laisser les entreprises se débrouiller seules peut être dangereux”.

Leave a Reply