Le calme avant la rançon. On ne voit pas tout, dit ESET

BACK to News

Le calme avant la rançon. On ne voit pas tout, dit ESET

ESET I 11:17 am, 27th April

Technology Cybersecurity

Un système fonctionne sans problème pendant longtemps et cela génère une confiance généralisée. Mais cette confiance érode insidieusement la vigilance qui assurait au départ son bon fonctionnement. Ensuite, le système tombe en panne au moment où tous les acteurs impliqués auraient assuré qu'il était en parfait état. Mais la stabilité peut être déstabilisante. Ce phénomène se résume en six mots : « Le calme sème les graines de la folie ».

Il se manifeste de façon assez visible et avec une grande régularité sur les marchés financiers, mais comme il est intrinsèquement lié à la psychologie humaine, la cybersécurité n'y échappe pas.

Une entreprise n'ayant jamais subi de cyberattaque peut considérer sa sécurité comme suffisante. Une idée s'installe: tout se passe bien, nos défenses sont donc excellentes. L'absence d'incident visible est un silence pouvant avoir plusieurs significations. Une entreprise avec un bilan impeccable dispose probablement d’une défense de pointe. Mais elle peut aussi avoir échappé à l'attention de personnes mal intentionnées.

Cela génère des questions : L’environnement est-il aussi sûr que possible face aux menaces actuelles ? Les mécanismes de contrôle sont-ils en place ? Beaucoup d'organisations répondent à la seconde question croyant avoir répondu à la première. Elles peuvent alors recourir à des cadres de conformité, même si ceux-ci ne vérifient pas si les mesures correspondent aux menaces du moment. Une entreprise peut être et conforme et vulnérable.

Encore d’autres pièges

L’état de la sécurité d’une organisation se mesure et s’évalue facilement. Mais il est plus difficile de savoir si les identifiants de connexion d’un employé changent de mains sur le dark web ou si l’outil EDR d’une organisation peut, dans certains cas, être neutralisé par un outil malveillant d’accès facile. Il faut donc explorer des pistes que beaucoup d’organisations négligent.

L'être humain a tendance à privilégier les informations facilement accessibles. L'esprit utilise les informations disponibles et construit ce qu'il croit être un récit cohérent. Il ne relève pas les lacunes : le tableau semble complet et la confiance est acquise. Un acronyme a même été créé pour décrire cette habitude : WYSIATI (What You See Is All There Is).

Nombre de décideurs ne tiennent pas compte du facteur risque : pour eux, ce qu’on ne peut pas mesurer n’a pas d’importance. Mais c’est souvent l’inverse et le problème sous-jacent est alors considéré comme une idée fallacieuse.

Dans son rapport 2025 Data Breach Investigations Report, Verizon constate que 54 % des victimes de rançongiciels avaient leurs domaines repris dans au moins un journal de voleurs d'informations ou une annonce sur un marché illicite avant l'attaque. Les identifiants de connexion circulaient déjà et la violation avait peut-être déjà eu lieu, alors que tout semblait en règle.

Ce type d'angle mort touche plus particulièrement les entreprises dont l'architecture de sécurité ne détecte pas les comportements suspects des attaquants, comme les tentatives de désactivation des processus de sécurité. Pour y remédier, il faut modifier ce qui est visible et utiliser des outils qui, en plus de la vérification de la présence des contrôles, signalent toute activité suspecte au sein d’un environnement.

Quand la confiance disparaît

Une attaque par rançongiciel a des conséquences considérables pour la continuité des activités. Lorsqu’en 2024 Change Healthcare fut victime d'un rançongiciel, les répercussions sur les hôpitaux et les pharmacies se sont prolongées pendant des mois. L'incident a touché la quasi-totalité de la population américaine et son coût total a été estimé à 3 milliards de dollars. En 2025, une attaque contre Jaguar Land Rover a causé des dommages similaires.

Selon IBM, le coût moyen d'une violation de données est d’environ 5 millions de dollars, y compris l'indisponibilité des services, la récupération des données et les dommages indirects. Pour les organismes de santé, ce coût moyen est d’environ 10 millions de dollars. Ces chiffres ne tiennent pas compte des contrats clients non renouvelés ni de la hausse des primes d'assurance.

Les dégâts s'accumulent au fil du temps, surtout lorsque des données volées se retrouvent sur un site de fuite de données. Les contrats, courriels et données personnelles alimentent des attaques ultérieures, comme le phishing et la fraude aux faux ordres de virement. Les clients et partenaires posent des questions et les responsables de la sécurité doivent garder à l'esprit que les données ne sont que ce que les criminels choisissent de montrer.

La discipline est primordiale

En plus des outils et des personnes adéquates, la sécurité durable repose sur une vigilance et une capacité d'adaptation constantes. Il faut donc être conscient de l'évolution des menaces.

Une vigilance constante en l'absence de menace visible et imminente est coûteuse. L'être humain est mal adapté à rester attentifs aux événements qui ne semblent pas imminents, et la dérive vers la complaisance est si progressive qu'elle passe souvent inaperçue.

Mais comme les menaces évoluent constamment, la défense doit faire de même. Les renseignements sur les menaces, qui fournissent des informations sur les campagnes en cours, sont essentiels à cette vigilance. Les outils de sécurité peuvent les transformer en détections et alertes, permettant aux équipes de sécurité d'agir à temps. Sans ces renseignements, l'écart entre la perception et la réalité peut se creuser, jusqu'à ce que les cybercriminels le comblent, et généralement à grands frais.