Travelex, les logiciels de rançon et le rôle des logiciels de gestion des risques dans la défense contre ceux-ci

Lorsque nous avons prédit les tendances de la cybersécurité pour 2020, les logiciels contre rançon ont été l’un des principaux facteurs dont nous avons discuté. Ils existent depuis 2012 et sont devenus une véritable menace, notamment ces dernières années.

Cette croissance des attaques par rançon a conduit les entreprises à prendre la gestion des risques informatiques beaucoup plus au sérieux qu’auparavant. Elle a également encouragé une croissance significative des outils de cybersécurité et des modules de cybersécurité intégrés dans les logiciels et les outils informatiques de GRC.

Les organisations ont désespérément besoin de ces outils plus intelligents pour se défendre contre les logiciels de rançon (et autres menaces de cybersécurité).

Les organisations ont désespérément besoin de ces outils plus intelligents pour se défendre contre les logiciels de rançon (et autres menaces de cybersécurité), comme l’a montré la dernière attaque de ce type, qui a vu la société de change Travelex rançonnée par des attaquants, au cours des premières semaines de 2020.

Attaque de Travelex

L’année 2019 a vu de nombreuses attaques de rançon, dont l’une des plus importantes a été celle de Robbin Hood. Ce logiciel de rançon a attaqué le gouvernement de la ville de Baltimore, affectant les achats immobiliers, les factures d’eau et les frais municipaux, et a finalement coûté à la ville 13,8 millions de livres sterling.

Janvier 2020 a vu une attaque de logiciel de rançon potentiellement encore plus importante, car Travelex a été forcé d’éteindre presque tous ses systèmes informatiques et de revenir au papier et au crayon, les pirates demandant 4,6 millions de livres sterling pour déverrouiller à nouveau ses systèmes.

Les banques qui utilisent Travelex pour gérer des services de change – dont Barclays, Lloyds et RBS – n’ont pas pu vendre d’argent de voyage deux semaines après l’attaque initiale. Bien qu’il n’y ait pas encore de preuve que les données des consommateurs aient été affectées, et que le Bureau du Commissaire à l’information (ICO) n’ait pas reçu de rapport de violation de données de la part de Travelex, cela ne signifie pas nécessairement qu’il n’y a pas eu de violation. L’ICO doit être informé dans les 72 heures de la prise de connaissance d’une violation par une organisation.

Toutefois, si cette entreprise décide qu’il n’est pas nécessaire de signaler un manquement, elle doit être en mesure d’expliquer pourquoi elle ne l’a pas fait et l’OIC décidera alors si un manquement a eu lieu ou non.

Fait inquiétant pour Travelex, les pirates informatiques – un gang appelé Sodinokibi – affirment avoir accédé au réseau informatique de l’entreprise il y a six mois et avoir téléchargé 5 Go de données sensibles sur les clients.

Logiciels de gestion des risques informatiques et cyberattaques

Le récent rapport AMRAE RMIS PANORAMA, qui enquête auprès des vendeurs et des gestionnaires de risques pour mieux comprendre le marché, a révélé que le pourcentage de vendeurs disposant d’un module de cybersécurité intégré est passé à 46 % en 2019.

C’est un signe certain que les menaces de sécurité informatique – telles que les logiciels de rançon – sont de plus en plus perçues comme les risques commerciaux qu’elles ont toujours été, et aussi que les outils de gestion des risques commerciaux jouent un rôle important dans la gestion et l’atténuation de ces risques.

Oxial a une approche légèrement différente avec notre solution sGRC. Nous travaillons avec un large éventail de partenaires commerciaux et technologiques qui ajoutent à notre logiciel GRC de base des connaissances, une expertise et une compréhension du marché.

L’un de nos partenaires technologiques est la société de sécurité informatique Global Data Sentinel, dont la plateforme offre des contrôles et des fonctionnalités de sécurité avancés, et s’intègre parfaitement à la solution sGRC, ce qui constitue une différence d’approche importante et s’est avéré très efficace pour aider les organisations à se protéger contre les attaques de logiciels contre rançon et autres cybermenaces.

En 2020, les cybercriminels sont tellement sophistiqués et professionnels que les entreprises doivent constamment avoir une longueur d’avance pour protéger efficacement leur activité. Pour ce faire, elles doivent notamment sélectionner le bon logiciel de GRC et l’utiliser pour établir une cartographie des risques efficace, en déterminant les risques qui peuvent se présenter.

Atténuer les risques liés aux logiciels de rançon

L’utilisation d’un logiciel de gestion des risques, dans le cadre d’une solution logicielle intégrée de GRC, permet à une entreprise d’évaluer et d’atténuer les risques liés à une attaque par logiciel de rançon.

Il existe de nombreux autres coûts associés à une attaque par logiciel contre rançon, notamment les temps d’arrêt des employés, les commandes non exécutées des clients, qui entraînent l’insatisfaction de ces derniers, la perte de nouvelles opportunités commerciales, l’atteinte à la réputation de la marque et même les amendes pour non-conformité, comme dans le cas de GDPR.

Lors de la planification des investissements en matière de cybersécurité, il convient de tenir compte de tous ces éléments dans les discussions. Si le coût de la correction des vulnérabilités semble plus élevé que ce qu’une organisation souhaite payer, alors le coût de l’escalade du risque de rançon sera probablement bien plus élevé.

C’est pourquoi de plus en plus d’organisations traitent les logiciels de rançon et autres menaces de cybersécurité comme un risque commercial, et gèrent et atténuent ce risque à l’aide d’outils informatiques GRC.

Notre nouvelle solution sGRC offre une approche innovante de cette tâche et peut apporter une valeur ajoutée à toute organisation. l’attaque par rançon de Travelex n’est que la partie visible de l’iceberg et il y en aura bien d’autres en 2020.

Si votre organisation souhaite explorer les moyens d’adopter la gestion des risques d’entreprise, veuillez nous contacter ici pour discuter de vos besoins.

Share This!