Alors que les problèmes de sécurité et de protection de la vie privée des entreprises deviennent de plus en plus complexes, les attaques par ransomware (en français, rançonlogiciels) sont l’une des activités cybernétiques malveillantes qui menacent l’écosystème de la cybersécurité et gagnent rapidement du terrain. Un nombre croissant d’entreprises et d’infrastructures critiques sont la cible d’une nouvelle vague de ransomware, une étude suggérant que le nombre de ces attaques a presque doublé au cours du premier semestre de 2021, par rapport à l’année dernière. Dans l’ensemble, les organisations à travers le monde ont connu une augmentation de 29% du nombre de ces attaques, avec des chiffres significatifs pour la région EMEA (36%) et les Amériques (24%). D’après les rapports, le secteur bancaire aurait connu une augmentation de 1318 % des attaques par ransomware en 2021.
Les attaques de ransomware de plus en plus sophistiquées peuvent avoir un impact négatif sur une organisation, notamment en entraînant la perte de données critiques, ce qui a un impact sur les opérations globales, les revenus et la confiance des parties prenantes dans l’entreprise. Par exemple, le Centre national de cybersécurité d’Irlande a détecté une attaque par ransomware liée à l’exécutif des services de santé du pays, ce qui a conduit à la compromission de données médicales critiques et a eu un impact sur les opérations de soins de santé. Il s’agit donc d’un problème qui mérite d’être pris en compte par les entreprises (grandes ou petites), en particulier lorsque la majorité d’entre elles veillent à se conformer aux réglementations et aux normes en matière de sécurité des données et de respect de la vie privée, tout en élaborant des stratégies de gestion des données.
La conformité aux règles de confidentialité des données pour atténuer les effets des attaques par ransomware
Bien que les attaques par ransomware puissent sembler être avant tout une menace pour la cybersécurité des entreprises, il est important de souligner que le règlement général sur la protection des données (la principale législation régissant les pratiques en matière de protection de la vie privée et des données en Europe, avec des implications mondiales) exige spécifiquement la mise en place de mesures de sécurité techniques et organisationnelles adéquates pour garantir la protection des données personnelles traitées. L’une des législations les plus importantes dans ce domaine aux États-Unis, à savoir la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act CCPA) et son amendement (California Privacy Rights Act), insiste également sur le fait que les entreprises qui collectent les informations personnelles d’un consommateur doivent mettre en œuvre des procédures et des pratiques de sécurité raisonnables afin d’empêcher tout accès, destruction, modification ou divulgation non autorisés. Étant donné que chaque modèle d’entreprise implique aujourd’hui la probabilité de traiter des données personnelles sous une forme ou une autre, y compris des données sensibles, la conformité à ces réglementations implique non seulement la mise en œuvre de contrôles de confidentialité, mais aussi de procédures de sécurité adéquates. Un risque élevé de compromission des données personnelles peut constituer une menace sérieuse pour l’intégrité et la disponibilité des données, ce qui soulève des inquiétudes quant au respect des principes de confidentialité des données par une organisation. Avec le nombre croissant d’attaques par ransomware, ces entreprises courent un risque énorme si elles sont soumises à une telle attaque, ce qui soulève également des inquiétudes quant à leurs efforts de conformité du point de vue de la confidentialité. Par conséquent, le respect des mesures de protection de la vie privée peut aider une entreprise à faire face à des dommages comparativement moindres en termes de perte de données essentielles, à des implications financières moindres et à la réputation globale de l’organisation sur le marché.
Les contrôles de sécurité des données à la rescousse
Alors que les entreprises tentent d’instaurer la confiance dans leurs processus de sécurité en adoptant des normes mondiales telles que la norme ISO 27001 pour une gestion saine de la sécurité de l’information, il devient important pour les organisations de continuer à mettre à jour les contrôles existants ou d’introduire de nouvelles mesures pour combattre les risques et les menaces posés par les attaques de ransomware. De solides contrôles cryptographiques (car de nombreux attaquants de ransomware ont tendance à crypter les données et à demander une rançon aux organisations pour permettre le décryptage, ce qui entraîne la non-disponibilité des données critiques), des évaluations régulières des risques dans le cadre d’une approche structurée comprenant des audits de sécurité réguliers, la mise en place de plans de réponse à la gestion des incidents, des sauvegardes régulières des données critiques, des contrôles d’authentification des utilisateurs et d’autres logiciels nécessaires sont quelques-uns des éléments essentiels qu’une organisation peut viser pour atténuer les risques. En outre, un personnel formé à la gestion de la sécurité par le biais de formations et d’une sensibilisation, ainsi que la mise en œuvre des contrôles ISO 27002 pour un SMSI amélioré peuvent constituer une autre approche bénéfique. La détection et l’atténuation proactives de ces menaces de sécurité exigent des entreprises qu’elles améliorent les contrôles de sécurité de l’information qu’elles adoptent, notamment pour s’assurer que les graves menaces que les ransomwares font peser sur la confidentialité, l’intégrité et la disponibilité des données sont traitées à temps. D’autres mesures comprennent l’adoption de techniques actualisées et d’un plan de gestion et de réponse aux incidents bien planifié pour garantir que l’entreprise continue de fonctionner en cas de perturbation imprévue, y compris un plan de communication de crise pour aider instantanément l’entreprise à communiquer et à prévenir les crises futures de manière formelle.
Considérations relatives à la gestion des données
Les risques posés par une attaque de ransomware peuvent être considérablement réduits si l’entreprise a mis en place ses pratiques de gestion des données. Cela implique de travailler sur une stratégie de gestion des données décrivant les principes clés qui guideraient la formulation d’un plan. En outre, la définition des rôles et des responsabilités au sein de l’organisation des données permettrait de garantir la protection des données critiques et de l’architecture. Une vue d’ensemble du cycle de vie des données dans le cadre d’une telle stratégie peut permettre d’économiser du temps et des efforts et aider une organisation à agir à temps en cas d’attaque. Des pratiques matures en matière de stockage, d’archivage et de conservation des données, conformément à des politiques et procédures formelles, ainsi qu’un contrôle opportun de celles-ci, peuvent constituer un outil essentiel pour faire face à une situation déplaisante résultant d’une attaque par ransomware. Par conséquent, outre le fait de se conformer aux réglementations en matière de protection de la vie privée et d’adopter des contrôles de sécurité, disposer d’une stratégie de gestion des données peut également aider les organisations confrontées à une attaque par ransomware, car elle permettra aux parties prenantes d’agir à temps, conformément à une politique officielle, et de gagner du temps dans la collecte d’informations supplémentaires sur la manière dont les données concernées sont déjà traitées.
À propos de Vanya
Vanya Rakesh est consultante en protection des données et en sécurité chez CRANIUM Pays-Bas. Dans son rôle de consultante et de délégué de la protection des données, elle a conseillé des clients basés dans le monde entier sur la confidentialité et les questions de sécurité connexes pour aider à la conformité avec le RGPD spécifiquement et les règlements pertinents.
Votre organisation est-elle exposée à une attaque par ransomware ? Ou voulez-vous avoir un aperçu de ce que cela signifierait pour votre organisation ? CRANIUM a déjà aidé des clients à l’échelle internationale à faire face à de telles menaces de cybersécurité. Nous serons heureux de vous aider davantage en matière de sécurité de l’information ! Contactez-nous dès maintenant.