Les solutions antivirus ont-elles fait leur temps?

Le ransomware est actuellement l’une des méthodes d’attaque les plus populaires des cybercriminels. Les fichiers sont cryptés dans le but d’extorquer une rançon aux entreprises. Les entreprises victimes d’une campagne de ransomware peuvent répondre à de telles demandes de rançon en espérant que les données cryptées seront récupérées dans un délai raisonnable. Il convient de noter que le décryptage proprement dit des données ou la restauration des données à partir de sauvegardes constituent le moindre problème. La défaillance des systèmes informatiques qui fournissent des services de base nécessite souvent beaucoup plus de temps pour une restauration réussie. Depuis 2019, les pirates vont encore plus loin. Avec la tactique dite de la double extorsion, les données ne sont pas seulement cryptées, mais aussi volées. Un client qui refuse de payer une rançon correspondante est désormais également menacé de voir ses données publiées. Les entreprises disposant de processus de sauvegarde et de récupération appropriés risquent de voir les données de leurs clients publiées et leur image de marque ternie par cette nouvelle tactique.

La Suisse est une cible intéressante : 46% des entreprises suisses interrogées par Sophos ont déclaré avoir été victimes d’une attaque de ransomware au moins une fois au cours de l’année dernière. C’est 9 % de plus que la moyenne mondiale. Le Centre national pour la cybersécurité (NCSC) met également en garde les PME en particulier contre les dangers des ransomwares. En effet, 80% des attaques signalées en Suisse ont été perpétrées contre des PME.

Pourquoi tant d’entreprises sont-elles victimes d’une attaque de ransomware et pourquoi les solutions antivirus traditionnelles n’offrent-elles pas une protection adéquate contre les ransomwares?

Les premiers logiciels antivirus identifient des virus à l’aide de signature du code malicieux. Cette méthode de détection peut toutefois être très facilement contournée par les attaquants en modifiant légèrement le code malveillant.

L’étape suivante de l’évolution a été l’arrivée sur le marché des « Endpoint Protection Plattforms » (EPP). Outre les signatures, elles utilisent l’apprentissage automatique, l’analyse comportementale, le sandboxing et d’autres moyens pour garantir la protection de l’équipement. Les solutions EPP modernes offrent la meilleure protection contre les menaces connues et inconnues, mais constituent la dernière ligne de défense.

Les attaquants de ransomware ne se contentent pas de chiffrer les équipements individuels ou leurs données accessibles. Ils se déplacent sur le réseau, obtiennent des droits élevés et compromettent des systèmes critiques. Le logiciel de cryptage est ainsi diffusé sur tous les systèmes accessibles. Les attaques sont commandées par des serveurs de commande et de contrôle.

Les systèmes EPP peuvent être complétés par des systèmes « Endpoint Detection and Response » (EDR) et « Network Detection and Response » (NDR). Ils apportent une plus grande visibilité et peuvent détecter des attaques ou des processus inhabituels. De nombreux messages sans autre contexte rendent toutefois difficile la réaction efficace et rapide des équipes de sécurité à une attaque. Les solutions EDR et NDR se concentrent avant tout sur l’aspect technologique et non sur les besoins opérationnels des entreprises.

À quoi ressemble une protection moderne contre les ransomwares ?

Dans l’évolution des solutions de protection des terminaux, une nouvelle étape importante a été franchie en 2018 : « Extended Detection and Response » (XDR). Avec XDR, les différents silos de données sont brisés et réunis afin de garantir une protection holistique. Outre les données du terminal, les données du réseau, des ressources cloud, de l’IAM et d’autres systèmes sont également prises en compte. Ce regroupement des différentes données offre une meilleure visibilité et un meilleur contexte. Les menaces peuvent ainsi être identifiées plus rapidement et éliminées avant que les dommages correspondants ne surviennent. Palo Alto Networks a inventé le nom XDR en 2018 et reste aujourd’hui encore le principal fabricant de solutions XDR.

Cortex XDR de Palo Alto Networks offre aux entreprises des outils qui n’étaient jusqu’à présent disponibles que pour les spécialistes des centres opérationnels de sécurité (SOC). Vous disposez ainsi d’une plateforme puissante qui vous permet d’avoir une visibilité sur tous les canaux et des outils pour intervenir en cas d’attaque. Asecus peut vous aider à configurer efficacement Cortex XDR et vous soutient dans l’exploitation et la maintenance.