Les petites entreprises face aux ransomwares : Ce qu’il vous faut savoir

On pense souvent à tort que les petites entreprises ne sont pas aussi souvent attaquées par des cybercriminels. Pourtant, les acteurs malveillants ne font aucune discrimination. Selon le rapport de Veeam sur les tendances de la protection des données en 2023, 85 % des attaques par ransomware ciblaient les petites entreprises.

Les attaques par ransomware ont des conséquences graves pour les petites entreprises, et les empêchent de maintenir leurs activités pendant l’incident. Beaucoup d’entreprises n’ont pas de plan de réponse aux incidents, et parmi celles qui en ont un, près d’un tiers ne l’ont pas testé depuis six mois. Un pourcentage élevé de petites entreprises indiquent également avoir dû payer la rançon pour retrouver l’accès à leurs données.

Le coût élevé de la restauration des données et les pertes d’activité signifient qu’environ 60 % des petites entreprises font faillite après une cyberattaque.

Bien que ces statistiques sur les ransomwares dans les petites entreprises soient inquiétantes, celles qui prennent la cyber-résilience au sérieux sont mieux préparées à résister aux cyberattaques. Dans cet article, nous vous offrons des conseils pratiques sur la manière d’évaluer vos vulnérabilités, de vous protéger contre les ransomwares et de vous relever après une attaque sans payer de rançon.

Les étapes clés comprennent la mise en œuvre d’un plan de réponse aux ransomwares et la garantie que l’entreprise dispose d’un plan de sauvegarde abordable. Une protection supplémentaire consiste à s’assurer de disposer de sauvegardes inaltérables (c.-à-d. immuables) stockées hors ligne, qui peuvent être utilisées pour une restauration autonome.

Comprendre les ransomwares pour les petites entreprises

Les cybercriminels savent que les petites entreprises disposent de ressources financières et informatiques limitées. Ils exploitent ces informations pour extorquer de l’argent aux PME, estimant qu’elles disposent de peu de solutions pour restaurer leurs données.

Le ransomware et les petites entreprises

Un ransomware est un logiciel malveillant utilisé par les cybercriminels pour verrouiller les ordinateurs des utilisateurs, les empêchant ainsi d’accéder à leurs fichiers et aux systèmes de l’entreprise. Les pirates chiffrent souvent les fichiers afin que les utilisateurs ne puissent pas y accéder sans une clé de déchiffrement. Elles menacent aussi fréquemment de divulguer au public des informations privées et sensibles sur l’entreprise pour faire pression sur les victimes afin qu’elles paient une rançon.

Malheureusement, payer une rançon ne signifie pas nécessairement la fin d’une attaque. Selon le rapport sur les tendances des ransomwares en 2023 de Veeam, parmi les 80 % des victimes ayant payé une rançon, 25 % n’ont toujours pas réussi à récupérer leurs données.

Les tactiques courantes utilisées par les cybercriminels

Les cybercriminels utilisent diverses tactiques pour infecter les ordinateurs de leurs victimes avec des logiciels malveillants. Les formes les plus courantes d’attaques par ransomware contre les petites entreprises sont les suivantes :

• Hameçonnage : E-mails et SMS frauduleux qui incitent les utilisateurs à fournir des mots de passe et des identifiants de connexion.
• Pièces jointes d’e-mails malveillantes : E-mails avec des pièces jointes de logiciels malveillants.
• Attaques à la volée : Logiciel malveillant téléchargé à partir d’un site Web infecté.
• Vulnérabilités logicielles : Utiliser les vulnérabilités non corrigées sur les serveurs pour accéder aux systèmes informatiques.

Comment les attaques par ransomware affectent-elles les petites entreprises ?

Les attaques par ransomware sur les petites entreprises ont des conséquences dévastatrices. Les petites entreprises disposent de ressources humaines et financières limitées et ne peuvent souvent pas se permettre d’interrompre leurs activités. L’atteinte à la réputation et la possibilité de poursuites judiciaires et réglementaires constituent d’autres défis. 

Incidences financières

Outre le coût direct associé au paiement d’une rançon, les petites entreprises doivent également faire face à des coûts de restauration substantiels. Il peut s’agir notamment d’une perte de revenus, du coût d’embauche de spécialistes en cybersécurité pour identifier et supprimer le ransomware, ou de dépenses liées au renforcement de la sécurité. Au final, rien ne garantit que l’entreprise pourra restaurer ses données chiffrées par les cybercriminels. Les statistiques du rapport sur les tendances des ransomwares en 2023 indiquent qu’en moyenne, 15 % des données de production affectées par une attaque par ransomware sont perdues.

Atteinte à la réputation

Les clients et les fournisseurs perdent rapidement confiance après une attaque par ransomware, en particulier si les pirates informatiques divulguent des données confidentielles de l’entreprise. Après une attaque, on soupçonne toujours, souvent à juste titre, que l’entreprise a fait preuve de négligence parce qu’elle n’avait pas mis en place de systèmes de protection des données sécurisés. Une conséquence directe de cette perte de confiance est que les clients des PME commencent à se sentir vulnérables et à chercher des solutions chez la concurrence.

Conséquences juridiques et réglementaires

En fonction de la juridiction et de l’ampleur de la violation, les entreprises peuvent faire face à de multiples sanctions de la part des autorités réglementaires, notamment :

• Des amendes en cas de non-conformité ou de non-protection adéquate des données.
• Des actions en justice sous forme de poursuites individuelles ou collectives.
• Des enquêtes réglementaires sur la cause et l’étendue d’une violation.
• Des dépenses liées à la prise de mesures correctives pour les vulnérabilités des données.

Les entreprises sont également souvent tenues de signaler les violations de données aux autorités réglementaires et d’en informer les parties potentiellement concernées. Cela ne fait qu’aggraver l’impact négatif sur la réputation d’une marque lorsqu’une violation de données se produit.

Vulnérabilités des petites entreprises

Les petites entreprises représentent entre 40 % et 50 % du PIB. Aux États-Unis, plus de 99,9 % des entreprises sont des PME. Avec une approche entrepreneuriale, la majorité des PME sont des entreprises privées, autofinancées et gérées par de petites équipes de direction. Cela les rend plus vulnérables aux cyberattaques pour plusieurs raisons, notamment :

• Expertise limitée en IT : De nombreuses PME comptent sur les fournisseurs pour développer leurs systèmes informatiques et relativement peu d’entre elles disposent d’équipes informatiques dédiées. Parmi celles qui en ont, les connaissances en cybersécurité restent souvent limitées.
• Contraintes budgétaires : Les petites entreprises disposent de ressources limitées et n’ont pas les moyens financiers d’investir dans des mesures de cybersécurité complexes.
• Lacunes en matière de sécurité : Les équipes IT des PME manquent souvent de l’expertise nécessaire pour mettre en œuvre des concepts tels que le modèle Zero Trust, l’authentification multi-facteurs (MFA) et la planification de la reprise après sinistre (DR).
• Sauvegardes : De nombreuses petites entreprises ne respectent pas la règle de sauvegarde 3-2-1 ou ne la connaissent pas, en particulier en ce qui concerne le chiffrement des sauvegardes et la conservation de copies hors ligne ou sur des systèmes séparés.

Comment protéger votre petite entreprise contre les ransomwares

La protection contre les ransomwares pour les petites entreprises est un processus multifacette comportant trois couches distinctes. La première couche consiste à prévenir une attaque en renforçant votre réseau contre les intrusions, la deuxième à mettre en place un processus de sauvegarde et de restauration, et la troisième à implémenter un plan de réponse aux incidents. Voici les principales mesures à prendre :

• Sensibilisation des employés : Formez vos employés à identifier et contrer les cybermenaces, en leur expliquant comment les pirates utilisent diverses techniques pour voler leurs identifiants et informations de sécurité. La technique la plus courante est l’hameçonnage, mais d’autres techniques consistent à inciter les employés à cliquer sur des fenêtres contextuelles malveillantes et à télécharger des logiciels infectés.
• Mesures de cybersécurité : Développez une stratégie de cybersécurité cohérente pour votre entreprise. Les meilleures pratiques en cybersécurité incluent une authentification et des contrôles d’accès robustes, la sécurité du réseau, le chiffrement des données et la protection des postes de travail.
• Plan de sauvegarde et restauration : Mettez en place un plan de sauvegarde et restauration efficace, sauvegardez régulièrement et conservez plusieurs sauvegardes. Analysez les sauvegardes pour détecter les logiciels malveillants et vérifiez-les en simulant un processus de restauration avec une machine hors ligne ou virtuelle (VM), et chiffrez toujours vos sauvegardes.
• Plan de réponse aux incidents : Préparez un plan de réponse aux ransomwares complet qui spécifie les étapes à suivre en cas d’incident. Testez et examinez votre plan en simulant des incidents de cybersécurité et assurez-vous que chaque membre de l’équipe connaît son rôle dans le confinement, l’éradication et le rétablissement des services.

Solutions collaboratives anti-ransomware

Avec la complexité de l’infrastructure moderne actuelle, il est difficile pour une PME avec une petite équipe IT de suivre toutes les menaces potentielles en cybersécurité. Cependant, vous pouvez largement surmonter ces limitations en établissant des partenariats avec des spécialistes IT, des responsables d’autres entreprises, des associations industrielles et des fournisseurs de solutions de sécurité.

Réseauter pour partager des informations

Encouragez votre équipe informatique à contacter d’autres responsables informatiques d’autres entreprises de la région, y compris celles avec lesquelles vous avez une relation d’affaires. Organisez des groupes de travail et des réunions au cours desquels vous pourrez discuter de cybersécurité et partager vos expériences et vos connaissances les uns avec les autres.

Collaborez avec les ressources de cybersécurité de l’industrie et du gouvernement

Rejoignez les associations de l’industrie pour obtenir des informations continues sur les problèmes de cybersécurité. Parmi les exemples, citons The Cyber Threat Alliance, the National Cybersecurity Alliance et the Center for Internet Security. Les ressources fédérales comprennent le Internet Crime Complaint Center du FBI et le Small Business Cybersecurity Corner du NIST.

Établissez des partenariats avec des fournisseurs de cybersécurité

Consultez des experts en cybersécurité pour analyser et identifier les lacunes de votre sécurité. Établissez un contrat avec eux pour fournir des logiciels de sécurité et de surveillance, former les employés aux bonnes pratiques et comportements à adopter sur Internet et fournir des services d’assistance en cas d’attaque par ransomware.

Assurer la conformité réglementaire

Toute petite entreprise domiciliée dans l’UE ou exerçant ses activités dans ces territoires doit se conformer au Règlement général sur la protection des données (RGPD) de l’UE. Ces exigences réglementent strictement la protection et la sécurité des données et peuvent imposer d’énormes amendes en cas de violation des données, y compris lorsque des données sont rendues publiques à la suite d’un vol informatique.

Bien qu’il n’existe aucune loi générale ou universelle sur la protection des données aux États-Unis, il existe de nombreuses lois qui peuvent entraîner des sanctions en cas de violation de données. Voici quelques-unes de ces lois :

• The Health Information Technology Act for Clinical and Economic Health (HITECH)
• Health Insurance Portability and Accountability Act (HIPAA)
• Loi sur la protection de la vie privée des conducteurs
• Right to Financial Privacy Act

Nombre de ces lois comportent des exigences spécifiques en matière de protection des données et de signalement des violations de données. Des sanctions sévères peuvent être imposées. Plusieurs États ont des lois strictes sur la protection des données, comme les suivantes :

• California Privacy Rights Act
• Virginia Consumer Data Protection Act
• Colorado Privacy Act
• New York’s Stop Hacks and Improve Electronic Data Security
• Illinois Biometric Information Privacy Act

En résumé, les PME ont l’obligation de prendre des mesures actives pour prévenir le vol ou la perte de données aux États-Unis, et leur manquement à cette obligation peut entraîner des amendes de la part des autorités et des poursuites judiciaires de la part des parties lésées.

Études de cas sur les ransomwares dans les petites entreprises

Voici trois études de cas sur des petites entreprises qui illustrent l’impact que peuvent avoir les ransomwares.

St. Margaret’s Health : Spring Valley, IL

En 2021, une attaque par ransomware contre le St. Margaret’s Health Hospital de Spring Valley a été le point de basculement qui a conduit à la fermeture de l’hôpital. L’attaque a affecté les systèmes de facturation de l’hôpital, ce qui signifiait qu’il ne pouvait pas soumettre de demandes de remboursement de frais médicaux aux assureurs maladie, y compris Medicaid et Medicare. Il a fallu plusieurs mois pour restaurer les systèmes, l’hôpital se trouvait déjà dans une situation difficile suite à la pandémie de COVID-19 et les pertes liées à l’attaque par ransomware l’ont poussé au bord du gouffre financier.

Toronto Library System

En octobre 2023, le réseau de la bibliothèque de Toronto a été victime d’une attaque par ransomware qui a paralysé l’ensemble de ses services. La bibliothèque a refusé de payer la rançon, mais sans sauvegardes, il a fallu plusieurs semaines pour rétablir des services limités sur place. Leur bibliothèque en ligne reste indisponible, avec un retour prévu début 2024.

Leçons apprises

Ces quatre exemples illustrent l’importance pour les PME de disposer d’une stratégie contre les ransomwares. Lors des restaurations réussies, les entreprises ont détecté le ransomware relativement rapidement et disposaient de sauvegardes saines, de sorte que la restauration a été rapide. Dans les deux autres incidents mentionnés ci-dessus, aucune sauvegarde n’était disponible, et le temps nécessaire pour reconstruire les systèmes a gravement affecté les opérations, ce qui a entraîné des fermetures et des suspensions de services.

Protégez votre petite entreprise avec Veeam

Les statistiques montrent que les petites entreprises sont une cible prioritaire pour les ransomwares. La raison s’explique en partie par le fait que les petites entreprises ne bénéficient pas du même niveau de sécurité informatique que les grandes organisations et que les PME préfèrent payer la rançon plutôt que de risquer de faire faillite.

Outre les coûts directs d’une attaque par ransomware, les PME s’exposent à de lourdes sanctions en cas de vol et de partage de données privées ou confidentielles. C’est pourquoi les entreprises doivent toujours chiffrer leurs données. Si un pirate informatique ou quelqu’un d’autre vole les données, elles sont inutiles sans la clé de déchiffrement. Pour résister aux attaques par ransomware, les entreprises ont besoin de solides cyberdéfenses et de sauvegardes inaltérables. Être cyber-résilient n’est plus une option, c’est une nécessité.

Ne mettez pas votre entreprise en péril. Protégez vos données avec les solutions de sauvegarde pour les petites entreprises de Veeam.

Contenus associés

• Meilleures pratiques pour la protection des données des petites entreprises
• Défense anti-ransomware : Détecter les attaques et y répondre
• Restauration après une attaque par ransomware : Guide complet pour la sauvegarde des données
• Tendances des ransomwares : Rapport mondial 2023
• Types de ransomwares courants