Meilleures pratiques pour la protection contre les ransomwares dans le cloud en 2025

Les attaques par ransomware dans le cloud sont en augmentation, car les entreprises adoptent de plus en plus les technologies cloud. Pour protéger votre organisation :

1. Mettez en œuvre des plans de sauvegarde et de restauration robustes
2. Utilisez l'authentification multifactorielle et des contrôles d'accès stricts
3. Déployez une surveillance continue et une détection des menaces basée sur l'IA
4. Maintenir tous les logiciels à jour et corrigés
5. Organiser régulièrement des formations sur la cybersécurité pour les employés
6. Cryptez les données sensibles et utilisez un stockage cloud sécurisé
7. Préparez un plan d'intervention clair en cas d'incident

Des outils tels que CWPP de SentinelOne peuvent aider à détecter et à répondre rapidement aux attaques. Restez vigilant et donnez la priorité à la sécurité du cloud afin de protéger votre entreprise contre les menaces évolutives liées aux ransomwares.

Le rapport BlackBerry Global Threat Intelligence Report (édition de septembre 2024) révèle que les ransomwares cloud sont utilisés à la fois par les cybercriminels et les syndicats organisés pour cibler des entreprises de tous les secteurs à travers le monde.

Un exemple récent est l'attaque par ransomware menée en mars 2024 contre la brasserie belge Duvel Moortgat par le groupe Stornomous, au cours de laquelle 88 gigaoctets de données ont été volés, provoquant l'arrêt de la production.

Des groupes comme celui-ci adoptent rapidement de nouvelles approches et tactiques pour contourner les mécanismes traditionnels de protection contre les ransomwares dans le cloud et recherchent toute nouvelle faille de sécurité. Les acteurs qui déploient des ransomwares dans le cloud sont principalement motivés par des raisons financières, car ils exigent une rançon en échange des données volées.

Les attaques de ransomware dans le cloud sont en constante augmentation, environ 40 % des organisations interrogées dans le cadre de l'enquête annuelle 2024 sur la sécurité SaaS ayant admis avoir été confrontées à un incident de ransomware SaaS au cours des deux dernières années. Cela arrive plus souvent que vous ne le pensez.

Sans surprise, la même enquête a révélé que 71 % des organisations ont augmenté leurs investissements dans la protection contre les ransomwares dans le cloud, tandis que 68 % des organisations ont augmenté leurs investissements dans le recrutement et la formation de personnel spécialisé dans les outils et stratégies de protection contre les ransomwares dans le cloud.

Cet article aborde donc les défis particuliers liés à la protection contre les ransomwares dans le cloud. Vous y trouverez des tactiques pratiques pour renforcer votre configuration cloud, que vous utilisiez un système hybride ou que vous ayez entièrement adopté le cloud computing.Les attaques de ransomware dans le cloud sont en constante augmentation, puisque près de 40 % des entreprises interrogées dans le cadre de l'enquête annuelle 2024 sur la sécurité SaaS ont admis avoir été confrontées à un incident de ransomware SaaS au cours des deux dernières années. Cela arrive plus souvent que vous ne le pensez.Sans surprise, la même enquête a révélé que 71 % des entreprises ont augmenté leurs investissements dans la protection contre les ransomwares dans le cloud, tandis que 68 % ont augmenté leurs investissements dans le recrutement et la formation de personnel spécialisé dans les outils et stratégies de protection contre les ransomwares dans le cloud.

Cet article abordera donc les défis particuliers liés à la protection contre les ransomwares dans le cloud. Vous y trouverez des tactiques pratiques pour renforcer votre configuration cloud, que vous utilisiez un système hybride ou que vous ayez entièrement adopté le cloud computing.

Qu'est-ce qu'un ransomware cloud ?

Le ransomware cloud est un logiciel malveillant qui s'attaque à vos ressources cloud, telles que les applications SaaS, le stockage cloud ou l'infrastructure. Il verrouille vos données ou vos systèmes et exige un paiement pour restaurer l'accès ou déchiffrer vos fichiers.

Vecteurs d'attaque du ransomware cloud

Un exemple récent de faille de sécurité impliquant Microsoft Power Apps s'est produit en mars 2023, lorsque des chercheurs ont découvert une vulnérabilité critique dans la fonctionnalité Custom Code de la plateforme Power.

Cette vulnérabilité présentait un risque de divulgation d'informations. Heureusement, Microsoft a réagi rapidement et a publié un correctif initial le 7 juin 2023 afin d'atténuer le problème pour la plupart des clients.

Cet incident met en évidence la manière dont les opérateurs de ransomware cloud exploitent divers points d'entrée, appelés vecteurs d'attaque, pour infiltrer et compromettre les environnements cloud. Ces vecteurs d'attaque peuvent être classés comme suit :

Vulnérabilités potentielles

• Failles dans les API des fournisseurs de services cloud (par exemple, contournement de l'authentification, autorisations excessives, vulnérabilités d'injection)
• Faiblesses des modèles de sécurité à responsabilité partagée
• Vulnérabilités des plateformes d'orchestration de conteneurs (par exemple, Kubernetes)

Erreurs de configuration courantes

• Contrôles d'accès trop permissifs sur les compartiments de stockage cloud
• Segmentation du réseau virtuel mal configurée
• Paramètres de chiffrement inadéquats pour les données au repos et en transit

Pratiques de sécurité insuffisantes

• Mauvaise gestion des clés d'accès et des secrets
• Correctifs incohérents entre les ressources cloud
• Absence de politiques de gestion des identités et des accès

Pourquoi la protection contre les ransomwares dans le cloud est essentielle en 2025

Les ransomwares sont un fléau moderne qui se propage rapidement. Rien qu'en 2023, le FBI a signalé avoir reçu plus de 2 800 plaintes, pour un montant total de pertes s'élevant à 59,6 millions de dollars. Mais ce n'est qu'un début : le coût réel des ransomwares peut détruire vos données, perturber vos opérations et ruiner votre réputation.

Voici quelques exemples d'attaques récentes par ransomware basées sur le cloud :

• Une sophistication croissante des attaques : Le groupe de ransomware CL0p a exploité une vulnérabilité SQL injection zero-day dans le logiciel cloud MOVEit Transfer en mai 2023, affectant de nombreuses organisations et exposant des données sensibles stockées dans le cloud.
• Criticité des données : Le service de transfert de fichiers basé sur le cloud GoAnywhere MFT a subi une attaque zero-day en mai 2023. Le groupe de ransomware Cl0p a exploité cette vulnérabilité pour accéder et exfiltrer des données sensibles de plus de 130 organisations utilisant le service.
• Pressions réglementaires : Le 13 avril 2024, Young Consulting a été victime d'une attaque par ransomware de Black suit. Cette attaque a exposé les données personnelles d'environ 1 million de personnes. Cette violation n'a pas seulement entraîné une perte de données, elle a également déclenché des problèmes de conformité avec le RGPD et la loi HIPAA.
• Atteinte à la réputation : L'attaque par ransomware de 2022 contre le gestionnaire de mots de passe basé sur le cloud LastPass a entraîné le vol des données du coffre-fort des clients, ce qui a gravement nui à la réputation de l'entreprise et à la confiance de ses utilisateurs.
• Continuité des activités : En décembre 2021, le fournisseur de solutions de gestion des ressources humaines basées sur le cloud Ultimate Kronos Group (UKG) a été victime d'une attaque par ransomware qui a perturbé ses services de cloud privé, affectant la gestion de la paie et des effectifs d'entreprises telles que MGM Resorts, Samsung, PepsiCo, Whole Foods, Gap et Tesla.

Meilleures pratiques pour prévenir les ransomwares dans le cloud

Cybersecurity Ventures qualifie les ransomwares de " menace la plus immédiate " à l'heure actuelle. Pour s'en prémunir, voici quelques pratiques essentielles :

N° 1 : Mettre en œuvre des plans de sauvegarde et de restauration robustes

En raison de plans de sauvegarde ou de restauration inadéquats, les organisations peuvent être confrontées à des temps d'arrêt prolongés et à des pertes financières importantes.

L'incident impliquant le ransomware Royal Mail , perpétré par le gang LockBit, nous rappelle de manière frappante les risques qui existent. Testez régulièrement vos plans de reprise, soumettez-les toujours à des tests de résistance et ne vous contentez pas de leur faire confiance.

L'automatisation des sauvegardes peut également réduire les risques d'erreur, en garantissant que vos fichiers restent verrouillés à tous les niveaux, qu'ils soient en transit ou au repos.

#2 Authentification multifactorielle (MFA) et contrôles d'accès

Configurez un mot de passe MFA. Cela peut constituer un obstacle difficile à franchir pour les acteurs non autorisés. La MFA est très sous-estimée, mais pourtant cruciale, comme l'indiquent les rapports de Microsoft indiquent que 99,9 % des comptes piratés n'avaient pas de MFA, ce qui aurait pu empêcher plus de 99,2 % des attaques.

En plus de l'authentification multifactorielle, vous pouvez essayer de renforcer l'accès grâce à des politiques de privilèges minimaux garantissant que les utilisateurs n'obtiennent que ce dont ils ont besoin, rien de plus.

Les professionnels de l'informatique peuvent mettre en place des méthodes d'authentification adaptatives qui varient en fonction de l'emplacement, de l'appareil ou d'autres facteurs contextuels. Vérifiez régulièrement ces autorisations et, pour les actions sensibles, vous pouvez vous appuyer sur l'accès juste à temps (JIT) afin de réduire les risques d'exposition inutiles

#3 Surveillance continue et détection des menaces

Selon IBM, le délai moyen pour identifier une violation en 2023 était de 204 jours, ce qui est beaucoup trop long pour adopter une approche proactive. Vous devez mettre en œuvre des systèmes avancés de détection des menaces qui utilisent l'analyse comportementale pour repérer rapidement les anomalies.

Les systèmes de gestion des informations et des événements de sécurité (SIEM) utilisent l'analyse du comportement des utilisateurs et des entités (UEBA) pour détecter les menaces de manière nuancée. Envisagez de mettre en place un centre d'opérations de sécurité (SOC) fonctionnant 24 heures sur 24, 7 jours sur 7, ou de vous associer à un fournisseur de sécurité gérée tel que McAfee, IBM Security ou Microsoft Azure Security Center afin d'assurer une vigilance permanente.

#4 Mises à jour logicielles et correctifs réguliers

Une vulnérabilité critique – la vulnérabilité Microsoft Exchange (CVE-2023-21709) – est apparue en août 2023 et permettait aux pirates d'élever leurs privilèges sans interaction de l'utilisateur. Microsoft a publié un correctif plus complet (CVE-2023-36434) en octobre, éliminant ainsi la nécessité de modifications manuelles de la configuration.

L'automatisation de la gestion des correctifs à l'aide d'outils tels que Microsoft Intune, Google Workspaces, Amazon Workspaces ou WSUS vous permet de rester à jour avec ces correctifs critiques.

Surveillez vos actifs cloud en vérifiant régulièrement les logiciels obsolètes et les erreurs de configuration, et maintenez un inventaire complet de toutes vos ressources cloud afin de vous assurer que rien ne passe entre les mailles du filet.

#5 Programmes de formation et de sensibilisation des employés

Votre sécurité dépend souvent de votre maillon faible, qui est souvent l'erreur humaine.

Une formation cohérente et ciblée sur le phishing et l'ingénierie sociale est essentielle pour maintenir la vigilance de votre équipe.

Les chefs de service doivent organiser des simulations d'attaques de phishing afin de tester la réaction des employés sous pression et s'assurer qu'ils sont prêts à faire face à des menaces réelles.

Il est recommandé et encouragé de dissuader les employés de rejeter la responsabilité sur autrui et de les inciter à signaler rapidement toute activité suspecte.

Plus votre équipe se sentira à l'aise pour donner l'alerte rapidement, plus les menaces potentielles pourront être neutralisées rapidement.

#6 Chiffrement des données et stockage sécurisé dans le cloud

La violation de données du ministère américain des Transports en 2023, qui a compromis les données personnelles de 237 000 employés, a souligné l'importance cruciale du cryptage.

Ne laissez pas vos données à la vue de tous, cryptez-les. Sécurisez vos clés, changez-les régulièrement et choisissez un stockage cloud doté d'un cryptage intégré solide. Pour vos informations les plus sensibles, allez plus loin en utilisant un cryptage côté client afin d'être le seul à détenir les clés.

#7 Utilisation de l'intelligence artificielle et de l'apprentissage automatique

Des recherches récentes ont montré que l'intelligence artificielle est un outil puissant pour améliorer la précision et renforcer la sécurité face à diverses menaces et cyberattaques.

L'IA peut vous aider à passer au crible de grandes quantités de données et à identifier les modèles de comportement dès qu'ils se produisent. L'apprentissage automatique améliore la détection des menaces au fil du temps et automatise les tâches routinières. Cependant, il doit compléter, et non remplacer, l'expertise humaine dans le cadre d'une stratégie de sécurité solide.

Comment réagir à une attaque de ransomware dans le cloud

L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) recommande aux entreprises de suivre la liste de contrôle fournie dans le guide #StopRansomware. Nous partageons ici une version condensée de cette liste de contrôle qui vous guidera tout au long du processus de réponse, depuis la détection jusqu'à l'endiguement et l'éradication.

Voici les étapes à suivre :

1. Identifiez l'attaque

• Détectez l'incident: surveillez vos systèmes à la recherche d'activités inhabituelles, telles que des fichiers cryptés ou des tentatives d'accès non autorisées.
• Isoler les systèmes infectés: déconnectez les appareils affectés afin d'empêcher le ransomware de se propager davantage. S'il n'est pas possible d'arrêter temporairement le réseau ou de déconnecter les hôtes affectés, vous pouvez envisager de mettre les appareils hors tension. Concentrez-vous d'abord sur l'isolation des hôtes essentiels aux opérations quotidiennes afin de minimiser les perturbations supplémentaires.
• Rassembler des preuves : collectez les journaux, les captures d'écran et toutes les données pertinentes qui faciliteront l'enquête. Pour les environnements cloud, prenez des instantanés des volumes afin de capturer une vue à un moment donné, ce qui fournira une référence claire pour une analyse ultérieure pendant la phase d'enquête.

2. Évaluer les dommages

• Déterminer l'étendue de l'attaque : Avant de pouvoir reprendre le contrôle, vous devez avoir une idée précise de l'impact de l'attaque. Effectuez une analyse approfondie pour identifier les systèmes affectés et les données compromises, et assurez-vous que le vecteur d'attaque est désormais inactif. Lorsque vous coordonnez les actions avec votre équipe, utilisez des canaux de communication sécurisés, tels que les appels téléphoniques, afin d'éviter d'alerter les pirates, qui pourraient intensifier leur attaque ou déclencher un ransomware s'ils se rendent compte qu'ils ont été démasqués.
• Évaluer l'impact sur l'activité : Évaluez les conséquences financières et réputationnelles potentielles de l'attaque. Les pertes directes peuvent être mesurées en termes monétaires, telles que les coûts liés à l'indisponibilité du système, les coûts liés à la violation des données, les coûts de récupération, les indemnités, les frais juridiques et les amendes ou pénalités. Les pertes indirectes telles que l'atteinte à la réputation, la perte d'avantage concurrentiel, la baisse du moral des employés et l'augmentation du taux de désabonnement des clients peuvent être mesurées à l'aide de différentes méthodes, telles que des enquêtes, des analyses comparatives du secteur, l'analyse de données historiques et des simulations.

3. Contenir l'attaque

• Mettre en œuvre des mesures de confinement : Tirez parti de la segmentation du réseau pour isoler les systèmes compromis et déployez des outils EDR tels que SentinelOne Singularity, ainsi que des solutions de sécurité natives du cloud, afin de verrouiller les zones touchées.
• Corrigez les vulnérabilités : Assurez-vous que tous les systèmes sont à jour avec les dernières mises à jour de sécurité. Malheureusement, les correctifs ne sont pas automatiquement appliqués aux logiciels. Les professionnels de l'informatique appliquent les derniers correctifs publiés par les éditeurs de logiciels via une stratégie de gestion des correctifs. Étant donné que les auteurs d'attaques par ransomware recherchent les systèmes qui ne disposent pas des derniers correctifs de sécurité à l'aide de logiciels d'analyse automatisés, les vulnérabilités doivent être corrigées régulièrement.

4. Récupérer les données

• Utiliser des sauvegardes : Restaurez les données à partir de sauvegardes propres qui ne sont pas affectées par le ransomware. Envisagez de renforcer la sécurité des sauvegardes en combinant des sauvegardes immuables avec des techniques de sécurité avancées telles que l'air gapping. Ainsi, même si le ransomware tente de crypter les sauvegardes, une version propre reste accessible.
• Envisagez d'autres méthodes de récupération : Si les sauvegardes ne sont pas disponibles ou sont compromises, explorez d'autres options telles que les services de récupération de données ou la négociation avec les pirates. En août 2024, l'ARRL a confirmé avoir versé une rançon d'un million de dollars au groupe de ransomware Embargo après qu'une attaque en mai ait chiffré ses systèmes.

5. Informez les parties prenantes

• Informez les parties concernées : informez la direction, le service informatique, l'assurance cyber et les prestataires de services de sécurité de votre plan d'intervention en cas d'incident.
• Communiquez de manière transparente: Limitez les dégâts et veillez à communiquer à vos clients votre position concernant la violation et les mesures prises. Contactez également les autorités chargées de l'application de la loi, telles que le FBI Internet Crime Complaint Center, la CISA ou votre bureau local du FBI, pour obtenir de l'aide.

6. Enquêter et tirer des enseignements

• Enquête approfondie : Analysez les journaux de votre système pour identifier le type de ransomware et localiser les fichiers cryptés. Vérifiez ensuite les journaux des applications pour voir quelles applications étaient actives pendant l'attaque.

Passez ensuite en revue les journaux de sécurité pour retracer l'adresse IP de l'attaquant et découvrir comment il a obtenu un accès non autorisé. Enfin, les journaux réseau peuvent aider à détecter des modèles de trafic anormaux et à localiser précisément l'endroit où l'attaque a pu commencer ou se propager.

• Mesures préventives: renforcez vos défenses en déployant régulièrement des contrôles de sécurité robustes tels que des pare-feu, des IDPS, EDR, antivirus/antimalware, gestion des correctifs, MFA et sauvegardes automatisées. Les tests de pénétration réguliers jouent un rôle crucial dans l'identification proactive des vulnérabilités avant que les attaquants ne puissent les exploiter, vous permettant ainsi de garder une longueur d'avance sur les menaces potentielles.

7. Signaler l'incident

• Respecter la réglementation : si la loi l'exige, signalez immédiatement l'incident aux autorités. Aux États-Unis, la loi de 2022 sur le signalement des incidents cybernétiques touchant les infrastructures critiques (Cyber Incident Reporting for Critical Infrastructure Act) impose de signaler les incidents cybernétiques importants qui pourraient menacer la sécurité nationale, les relations étrangères ou la confiance du public, entre autres facteurs critiques. Le non-signalement peut entraîner des conséquences juridiques et financières.
• Tirez les leçons de l'expérience: partagez ce que vous avez appris avec les principales parties prenantes, notamment vos partenaires commerciaux, vos assureurs et les forces de l'ordre. Cet échange de connaissances aide les autres à renforcer leurs défenses et réduit le risque que des attaques similaires se produisent dans l'ensemble du secteur.lt;/li>

Détecter et remédier aux incidents liés aux ransomwares dans le cloud avec SentinelOne CWPP

La détection, le confinement et la récupération rapides sont des étapes importantes dans la protection contre les ransomwares dans le cloud. Bien que nous ayons abordé diverses stratégies, leur gestion peut s'avérer difficile.

Les solutions intégrées telles que SentinelOne’s Cloud Workload Protection Platform (CWPP) peuvent rationaliser ce processus. Voyons comment la CWPP aborde ces aspects critiques :

• Détection des menaces en temps réel : le moteur alimenté par l'IA de SentinelOne surveille en permanence les charges de travail dans le cloud à la recherche d'activités suspectes, détectant ainsi les attaques par ransomware dès le début de leur cycle de vie.
• Prévention automatisée : La plateforme peut bloquer automatiquement les attaques par ransomware avant qu'elles ne causent des dommages importants, minimisant ainsi l'impact des incidents.
• Réponse rapide : SentinelOne permet aux équipes de sécurité de réagir rapidement aux incidents liés aux ransomwares en fournissant des informations détaillées sur l'origine, la portée et l'impact de l'attaque.
• Surveillance continue : la plateforme surveille en permanence les environnements cloud afin d'identifier et de traiter les vulnérabilités potentielles que les auteurs d'attaques par ransomware pourraient exploiter. Elle peut se défendre en temps réel contre les ransomwares, les attaques zero-day et les attaques sans fichier.
• Intégration avec les plateformes cloud : le CWPP en temps réel de SentinelOne s'intègre aux principales plateformes cloud, offrant une protection complète dans les environnements hybrides et multicloud.
• Visibilité forensic de la télémétrie des charges de travail : facilite les enquêtes et les interventions en cas d'incident grâce à un journal des données sur l'activité au niveau des processus du système d'exploitation. CWPP déploie des millions d'agents qui ont gagné la confiance de grandes marques, d'hyper-scalers et d'organisations hybrides dans le monde entier.
• Architecture eBPF et renseignements sur les menaces : le moteur d'IA comportementale ajoute la dimension temporelle à l'évaluation des intentions malveillantes. Le moteur d'IA statique de SentinelOne est entraîné sur plus d'un demi-milliard d'échantillons de logiciels malveillants et inspecte les structures de fichiers à la recherche de caractéristiques malveillantes. Le moteur de contrôle des applications neutralise les processus malveillants qui ne sont pas associés à l'image de la charge de travail.
• Détection enrichie en temps réel avec contexte de compilation : Visualisation automatisée des attaques Storyline™ et mise en correspondance avec MITRE ATT&CK TTP. Comprend également IaC pour le provisionnement DevOps, l'intégration Snyk, et prend en charge 15 distributions Linux, 20 ans de serveurs Windows et 3 environnements d'exécution de conteneurs.

Conclusion

Le cloud computing a transformé le monde des affaires, mais il introduit également de nouveaux risques liés aux ransomwares. À mesure que les menaces évoluent, les défenses doivent s'adapter. Des sauvegardes solides, des contrôles d'accès stricts et une détection des menaces basée sur l'IA sont essentiels, mais la sécurité doit être dynamique et multicouche pour garder une longueur d'avance.

La technologie seule ne suffit pas. Il est essentiel de développer une culture de la cybersécurité. La formation régulière des employés, les simulations d'attaques et la communication ouverte sur les menaces doivent faire partie de la routine. Si la prévention des ransomwares est l'idéal, c'est en étant préparé avec un plan d'intervention testé que vous serez protégé en cas d'attaque.

Assurez-vous que votre équipe dispose d'un plan d'intervention clair, sait qui contacter et comprend comment se remettre rapidement d'une attaque.

Des outils tels que le CWPP de SentinelOne peuvent renforcer vos défenses, mais la responsabilité finale vous incombe, à vous et à votre équipe. La lutte contre les ransomwares dans le cloud est permanente, alors restez informé, soyez prêt et ne baissez jamais votre garde. L'avenir de votre entreprise en dépend.

Contactez SentinelOne dès aujourd'hui pour obtenir de l'aide. Pour en savoir plus, demandez une démonstration gratuite en direct.

FAQs