Lorsqu'un rançongiciel frappe une entreprise, l'impact est global. Les fraudeurs qui utilisent le rançongiciels comme arme ont, nous l’avons vu, aussi les entreprises québécoises dans leur ligne de mire. Des attaques de rançongiciels contre des entreprises établies au Québec ont lieu tous les jours et leur impact se fait ressentir de manière aiguë. Notre dernier blogue fait mention d’un rapport de PricewaterhouseCoopers (PwC) qui avait émis le constat que plusieurs entreprises «ne prêtaient pas suffisamment attention aux risques de cybersécurité». Les entreprises québécoises doivent prendre des mesures pour prévenir l'impact des attaques de rançongiciels déjà subies dans d'autres régions du monde: impacts qui affectent les finances, la réputation, la motivation et la posture réglementaire, et qui peuvent faire en sorte de mettre la clé sous la porte pour les entreprises déjà sous pression avec les défis amenés par la pandémie Covid-19.
Le rançongiciel est l'une des attaques basées sur des logiciels malveillants les plus redoutées et à juste titre. Le logiciel malveillant encodera les fichiers et les documents, non seulement sur l'appareil infecté, mais sur l'ensemble du réseau et des référentiels cloud auxquels il aura accès. Même les sauvegardes, si elles ne sont pas correctement isolées, seront infectées et des documents seront rendus inutilisables car encryptés. Les rançongiciels sont un problème tellement omniprésent qu'un rapport prédit que d'ici 2021, une entreprise sera touchée par ransomware toutes les 11 secondes.
Ci-dessous, les cinq façons dont une entreprise ressent l’impact d’une attaque par rançongiciel.
Lorsqu'une attaque de ransomware (ou rançongiciel) se produit, les systèmes tombent en panne. Dès que la note de rançon est visible sur une station infectée, la première action doit être de tenter d'isoler l'infection. Cela signifie déconnecter les périphériques et les serveurs du réseau. Il en résulte des temps d'arrêt et des employés incapables d'accéder aux documents et aux fichiers, ce qui les empêche de travailler.
Lors de l'attaque mondiale du ransomware WannaCry en 2017, de nombreux établissements de santé ont été touchés. Cela a entraîné la fermeture des hôpitaux aux nouveaux patients, l'annulation de chirurgies et l'incapacité des médecins à prescrire des médicaments. Cela peut mener dans des cas extrêmes à la fermeture d’une entreprise. Ce fut le cas en 2019 pour The Heritage Company of Arkansas. Cette entreprise a été victime d'un ransomware qui a affecté son système comptable et le centre de courrier. Cette entreprise n'a pas pu traiter ou recevoir des fonds et n'a pas été en mesure d'envoyer des relevés de compte. Le résultat a été que l'entreprise a été contrainte de licencier 300 employés.
Une interruption de service due à un rançongiciel est en moyenne de 16,2 jours selon un rapport de Coveware. C'est plus de deux semaines à gérer les conséquences d'une attaque de ransomware, y compris les temps d'arrêt du système, le nettoyage des appareils, la récupération de fichiers, la communication auprès des parties concernées, etc.
Le Conseil des Caraïbes a publié une déclaration en 2020 qui pointe vers une étude du Centre d'études stratégiques et de McAfee sur l'Amérique latine et les Caraïbes (LAC). Cette étude révèle comment la région est désormais une « nouvelle frontière pour les cyber-attaques et la criminalité, pour un coût estimé à environ 90 milliards de dollars par an ». L'impact évident d'une attaque de ransomware est qu'elle implique de l'extorsion. Cependant, la rançon n'est qu'une partie du fardeau financier des ransomwares. Le montant moyen d'une attaque de ransomware est d'environ 730 000 $, y compris les temps d'arrêt des activités, les commandes perdues et les coûts opérationnels. Si la rançon est payée, cela augmente à un coût total moyen de 1,4 million de dollars.
Les ransomwares entraînent des données perdues et exposées. Cela a un impact sur un certain nombre de réglementations sur la protection des données telles que le RGPD, le CCPA et HIPAA, parce que des personnes non autorisées ont pris le contrôle des données protégées. Cependant, un impact réglementaire moins évident des ransomwares est discuté dans un avis récent du Département américain du Trésor. L'avis indique spécifiquement que « Faciliter les paiements de rançongiciels au nom d'une victime peut violer les règlements de l’OFAC ». En d'autres termes, si une rançon est payée, l'entreprise peut enfreindre les règlements de l'OFAC. La note continue en disant:
«Les institutions financières, les sociétés de cyber-assurance et les entreprises impliquées dans la criminalistique numérique et la réponse aux incidents, non seulement encouragent les futures demandes de paiement de ransomware, mais peuvent également risquer de violer les réglementations de l'OFAC.» et que «les entreprises qui s'engagent avec des victimes d'attaques de ransomware» devraient mettre en œuvre un «programme de conformité basé sur les risques pour atténuer l'exposition aux violations liées aux sanctions» pour «tenir compte du risque qu'un paiement de ransomware puisse impliquer un SDN ou une personne bloquée, ou une juridiction sous embargo. »
La protection des renseignement personnelles et de la vie privée est un droit fondamental dans de nombreuses juridictions mondiales et s’inscrit dans une myriade de lois sur la protection des données. Une attaque de rançongiciel contre toute entreprise met en danger la protection de vos données. Les cybercriminels peuvent non seulement crypter ces données, mais aussi les exposer. Selon la règle de sécurité de l’HIPAA, « la présence de ransomwares (ou de tout malware) dans les systèmes informatiques d'une entité ou d'un associé commercial est un incident de cybersécurité. » Cette position est prise parce que les ransomwares ne se limitent pas seulement au cryptage involontaire de vos données. Le groupe REvil est notoire pour la vente aux enchères de données volées. Les fraudeurs de ransomware sont des criminels et connaissent les vulnérabilités de leurs cibles. S'ils peuvent gagner de l'argent grâce à une attaque, au-delà du paiement d'une rançon, ils le feront. Une fois ces données vendues, la vie privée des individus est perdue et leur sécurité mise en danger.
À la suite d’une cyber-attaque de type rançongiciel, la confiance de vos clients envers votre entreprise risque de s’effriter. Des chercheurs ont d’ailleurs constaté que plus de deux tiers des clients iraient à un concurrent si une entreprise ne restaure pas les systèmes dans les trois jours suivant une cyberattaque.
Les scénarios discutés ci-dessus sont alarmants, mais de plus en plus d'entreprises peuvent riposter en adoptant de bonnes mesures de cybersécurité. La mise en place de structures pour atténuer une attaque de ransomware chevauche également la protection contre d'autres infections de logiciels malveillants. Cela implique de s'assurer que votre entreprise dispose de sauvegardes résistantes aux rançongiciels, d'une authentification robuste, d'une analyse et d'un filtrage des courriels et des URL, et d'une correction rapide des logiciels et des systèmes.
La cybercriminalité ne reconnaît pas les frontières ou les juridictions des pays. Les cybercriminels suivent simplement l'argent. Le Québec a aussi un potentiel économique important et des opportunités de croissance malgré l'impact du Covid-19 sur le tourisme. Plusieurs grandes entreprises d’ici ont vécu l'impact d’une cyberattaque et le moment est venu de s'assurer que les ransomwares sont un crime qui ne paie pas. Communiquez avec les spécialistes d’Hitachi Systems Security pour faire effectuer une évaluation de la résilience de votre entreprise face à une attaque de type rançongiciel
