En matière de cybersécurité, il vaut mieux tromper l'ennemi !

Alors que les cybermenaces à succès continuent de faire la Une des journaux, les entreprises de tous les secteurs sont confrontées aux risques d’attaques de plus en plus élaborées. Mais aussi à leurs conséquences et dans le cas des rançongiciels, le montant des rançons demandées par les cybercriminels.

Et si le nombre d’entreprises ayant payé une rançon a diminué en 2022 d’après le dernier panorama du Clusif, la France reste le deuxième pays d’Europe et quatrième pays du monde en termes d’attaques, pour un montant estimé d’1,1 Md€ sur l’année écoulée. La sécurité informatique demeurera un enjeu essentiel pour toutes les entreprises, quelle que soit leur taille ou leur secteur d’activité. Parmi les préoccupations liées aux cyberattaques, il est possible de citer la prévention des compromissions de données (pour 88 % des professionnels de l’IT). En outre, 72 % des professionnels sont préoccupés par les possibilités de récupération après une attaque et la réduction des temps d'arrêt.

Le fait que de nombreuses équipes informatiques ne disposent pas actuellement d'outils capables de détecter les attaques par ransomware suffisamment tôt constitue un frein et donc une préoccupation majeure. En 2022, seules 12 % des entreprises ont déclaré que leurs outils de détection des ransomwares étaient suffisants et pouvaient également couvrir un patrimoine de données fluctuant, en taille comme en complexité, quel que soit l’emplacement de stockage des données.

Les ransomwares et les cyber-risques, en général, redéfinissent les contours de la manière dont les entreprises doivent améliorer leurs capacités à protéger leurs infrastructures et leurs données. Avoir une longueur d'avance est essentielle.

Dans cet environnement extrêmement difficile, la priorité actuelle de la plupart des entreprises est de fortifier leurs défenses afin d'éviter toute intrusion. Pour cela, une approche à plusieurs niveaux est nécessaire pour protéger complètement les données. Parce que la sauvegarde seule ne suffit pas et qu'éviter de se retrouver dans un scénario de récupération est, après tout, bien plus souhaitable pour atténuer les temps d’arrêt.

La nécessité d'une technologie de déception

Afin de renforcer sa posture face aux attaques de ransomware, les organisations ont besoin d'outils aux qualités multiples, et qui fonctionnent à chaque phase de la chaîne d'attaque. Apparues dans les années 1990 et bien qu'elles soient encore peu utilisées, les technologies modernes de déception jouent un rôle de plus en plus important dans la détection précoce des menaces invisibles et de type zero day qui réussissent à contourner les outils de sécurité classiques. Mais quelles sont ces technologies et comment fonctionnent-elles ?

La cyberdéception est une stratégie de sécurité proactive qui fonctionne en trompant les cyberattaquants et les attaques malveillantes. Les solutions de cyberdéception les plus avancées aujourd'hui commencent là où les outils de sécurité conventionnels s'arrêtent, en utilisant un processus en deux étapes pour ralentir et faire apparaître les menaces inconnues. Par exemple, en utilisant des leurres et des capteurs de menaces, les logiciels malveillants intrusifs peuvent être détournés vers des actifs convaincants mais complètement faux. À ce stade, des alertes haute-fidélité sont immédiatement envoyées aux principales parties prenantes et aux systèmes de sécurité, les informant de la présence de menaces en cours avant qu'elles ne puissent compromettre les systèmes ou les données réelles.

Contrairement aux honeypots qui sont conçus pour examiner les attaquants et leurs tentatives et en tirer des enseignements, les capteurs de menaces sont conçus pour guider les attaquants dès qu'une attaque est lancée. Utilisant une architecture efficace de type service web, ces capteurs de menaces sont conçus pour imiter n'importe quel actif de l'utilisateur, inondant leurs environnements d'actifs numériques falsifiés qui sont impossibles à distinguer pour les attaquants. Et cela sans avoir d'impact sur les opérations normales du réseau. Le système attire les attaquants avec des leurres qui les détournent et les trompent pendant que s’opèrent la phase de reconnaissance et de découverte des données.

Et comme les capteurs de menaces ne sont visibles que par l'attaquant, les entreprises bénéficient de notifications extrêmement précises sur les faux positifs, ce qui leur donne un aperçu de l'activité, des chemins d'attaque et des techniques déployées.

Cette approche permet aux organisations d'offrir une défense multi-couches contre les menaces telles que les attaques par ransomware, en donnant aux utilisateurs la possibilité d'identifier et de détourner immédiatement les menaces malveillantes avant que les données ne soient volées, endommagées ou compromises. Dans le climat actuel, où les ransomwares sont rapidement devenus un moteur important de la cybercriminalité dans le monde entier, il est clair que les technologies existantes ne peuvent à elles seules empêcher toutes les attaques de se produire ni garantir aux victimes une récupération rapide.

Au lieu de cela, les organisations doivent se concentrer sur la mise en place de solutions plus efficaces conçues pour répondre aux risques spécifiques posés par les ransomwares et autres tactiques de cybercriminalité sophistiquées. En utilisant la tromperie comme stratégie de protection proactive, elles peuvent se mettre dans une position beaucoup plus forte pour frustrer les mauvais acteurs avant qu'ils n'aient la possibilité de demander une rançon.