6 raisons qui expliquent pourquoi le processus de rétablissement d’un rançongiciel est plus long que vous ne le pensez

6 raisons qui expliquent pourquoi le processus de rétablissement d’un rançongiciel est plus long que vous ne le pensez

Septembre 2021 - Les délais de récupération des rançongiciels sont très variables. Dans le meilleur des cas, lorsque l'infection est contenue, que les plans de reprise après sinistre ont été testés rigoureusement et que le décrypteur fonctionne sans problème, certaines entreprises peuvent remettre leurs systèmes en état de marche en quelques jours, mais c'est rare.

En moyenne, les organisations qui ont été touchées par un rançongiciel doivent faire face à 21 jours d'interruption de service. Dans certains cas, le processus de récupération peut s'étendre sur des mois.

Les entreprises sous-estiment régulièrement le temps nécessaire à la résolution d'un incident de rançongiciel. S'il est facile de tomber dans le piège qui consiste à penser que la récupération consiste simplement à restaurer le système à partir des sauvegardes ou, ce qui est moins souhaitable, à payer l'attaquant pour le décryptage, la vérité est qu'il existe de nombreuses variables qui peuvent prolonger le processus de récupération.

Voici 6 raisons qui expliquent pourquoi il faut presque toujours plus de temps que prévu aux entreprises pour se remettre d'une attaque par rançongiciel :

1. Manque de documentation
Le manque de documentation est souvent une cause majeure de perte de temps lors de la récupération.
De nombreuses organisations travaillent avec des systèmes ou des services archaïques pour lesquels la documentation est dépassée, inexacte ou tout simplement inexistante. En l'absence d'une documentation efficace, le personnel TI est contraint d'improviser des procédures d'intervention, ce qui sera certainement une période de confusion et d'incertitude qui entraînera des erreurs et de la perte de temps. Les infections peuvent être mal contenues, les données peuvent être compromises inutilement et les exigences de conformité peuvent être négligées. Selon l’expérience de l'équipe TI de l'entreprise, il se peut que ce soit la première fois que le personnel soit exposé à un incident de cybersécurité à grande échelle.

2. Tests inadéquats
L'élaboration d'un plan de réponse aux incidents clairement défini est un élément essentiel au sein d’une compagnie. Mais il ne suffit pas d'avoir un plan documenté. Les stratégies de récupération doivent également être testées régulièrement pour s'assurer que le personnel comprend les procédures de sécurité en vigueur et sait exactement quoi faire et à qui s'adresser en cas d'incident. Par exemple, la simulation d'un rançongiciel par le biais d'exercices formatifs peut être un bon moyen d'évaluer l'état de préparation d'une entreprise en matière de rançongiciel et de révéler les vulnérabilités du plan de récupération qui peuvent être renforcées en conséquence. Selon un rapport de Veritas, plus de la moitié (57 %) des entreprises n'ont pas testé leur plan de reprise après sinistre au cours des deux derniers mois.

3. Processus d'investigation
Avant de pouvoir restaurer les systèmes, l'entreprise touchée doit entreprendre une enquête en profondeur afin de comprendre l'ampleur de l'attaque et la manière dont le système a été compromis. Comme la chaîne d'attaque peut avoir commencé il y a plusieurs semaines, voire plusieurs mois, la réalisation d'une analyse approfondie peut prendre beaucoup de temps et nécessiter l'aide de spécialistes externes en criminalistique numérique, ce qui peut retarder davantage le processus de restauration.

4. Mauvaises performances du décrypteur
La récupération peut également être entravée par les mauvaises performances du décrypteur. Les entreprises doivent savoir que les décrypteurs fournis par les attaquants ne fonctionnent souvent pas comme prévu et que, par conséquent, le temps total de récupération peut être beaucoup plus long que prévu. Dans certains cas, le décrypteur peut contenir des bogues qui corrompent définitivement les données pendant le processus de décryptage.

5. Communication
La récupération est en grande partie une opération technique, mais elle nécessite également une bonne communication avec le personnel interne ainsi qu'avec les services externes qui peuvent être amenés à participer :

Juridique : Les entreprises devront probablement consulter leur équipe juridique pour obtenir des conseils concernant les obligations de déclaration, l'atténuation des litiges et la légalité du paiement de la rançon.
Assurance : Il y aura un dialogue permanent avec le fournisseur d'assurance de l'entreprise tout au long de la période de récupération. La couverture, les temps d'arrêt prévus, les coûts de récupération, les franchises, etc. feront l'objet de discussions approfondies.
Clients : L'entreprise touchée peut souhaiter divulguer l'incident à ses clients. Une communication efficace est essentielle à la fois pour la transparence et pour minimiser les dommages à la réputation. Il convient de faire appel à un spécialiste en communication de crise si l'équipe de communication interne de l'entreprise n'a pas l'expérience des événements graves liés à la cybersécurité.
Attaquants : En fonction de leur situation, certaines entreprises peuvent choisir de communiquer avec les attaquants afin d'obtenir un décrypteur et/ou de négocier le montant du rançongiciel. Il existe aussi des organisations qui peuvent mener les négociations au nom de la victime.

6. Reconstruire et renforcer le système
Techniquement parlant, la récupération est terminée lorsque les systèmes touchés ont été restaurés et que l'organisation est à nouveau opérationnelle. Cependant, "opérationnelle" n'est pas synonyme de "sécurisée". Pour éviter que des événements similaires ne se reproduisent à l'avenir, les entreprises devront consacrer beaucoup de temps au renforcement de leurs processus de sécurité, à la résolution des vulnérabilités et à l'amélioration des procédures de réponse.

Investir dans une solution antivirus éprouvée peut aider les entreprises à détecter et à stopper de manière fiable les menaces de rançongiciel avant que le cryptage ne puisse avoir lieu. N’hésitez pas à nous contacter pour obtenir de l’aide.

Source : Emsisoft Malware Lab


Ce à quoi vous consentez en vous inscrivant.

En vous inscrivant sur notre site Web, vous nous autorisez à communiquer avec vous par courrier électronique, téléphone, courrier postal ou tout autre moyen de communication disponible. Soyez sans inquiétude, nous ne vendrons jamais vos informations ni n'envahirons votre boîte de courriels. À tout moment, vous pouvez vous désinscrire de nos communications.