Les cyberattaques augmentent à un rythme alarmant, avec une entreprise victime d'une attaque par ransomware toutes les 14 secondes. En Suisse, cette hausse est particulièrement marquée, touchant fortement des secteurs clés comme la santé, la finance et le gouvernement/défense, qui deviennent des cibles privilégiées de ces attaques malveillantes.
La particularité de ces attaques réside dans le fait qu'elles sont qualifiées de "rançongiciel/ransomware". Il s'agit pour la plupart d'attaques opportunistes qui profitent du faible niveau de maturité de leurs victimes en matière de sécurité numérique.
Qu’est-ce qu’un rançongiciel ?
Un rançongiciel ou ransomware est un programme malveillant conçu pour obtenir le paiement d'une rançon par la victime. Lors d'une attaque par rançongiciel, le pirate informatique désactive de manière réversible l'ordinateur ou le système d'information de la victime. En pratique, la plupart des rançongiciel utilisent des mécanismes cryptographiques pour crypter les données de l'ordinateur ou du système, rendant impossible leur accès ou leur utilisation. Le pirate envoie ensuite un message non chiffré à la victime, lui proposant de lui fournir les moyens de déchiffrer les données en échange du paiement d'une rançon.
Quel est l’objectif ?
L'objectif est d'extorquer de l'argent à la victime en échange de la promesse (pas toujours tenue) de retrouver l'accès aux données corrompues. Certaines attaques visent simplement à endommager le système de la victime pour lui causer des pertes opérationnelles et une atteinte à son image.
Il est possible de se protéger contre ce type d'attaques, pour ce faire, les différentes organisations spécialisées dans la cybersécurité ont mis en place plusieurs tâches pour aider les organisations et les particuliers à protéger leurs systèmes. Vous trouverez ci-dessous une liste non exhaustive de mesures à mettre en œuvre afin d'éviter les attaques de ransomware :
Sauvegarde régulière des données
Toutes les données devraient être sauvegardées régulièrement, y compris les données sur les serveurs de fichiers, l'infrastructure et les applications critiques pour l'entreprise (par exemple, les systèmes bancaires en ligne, le stockage de données dans le nuage, etc. En effet, de plus en plus de cybercriminels tentent de s'attaquer aux sauvegardes afin de limiter la possibilité pour une victime de récupérer ses données, maximisant ainsi ses chances de payer la rançon. Ces sauvegardes, au moins pour les plus critiques, doivent être déconnectées des systèmes d'information pour éviter qu'elles ne soient cryptées comme les autres fichiers. Pour ce faire, il est recommandé d'utiliser une solution de stockage à froid, comme un disque dur externe ou une bande. Les sauvegardes peuvent être protégées des infections du système et les données critiques sont préservées lors de la reprise de l'activité.
Mises à jours des logiciels et des systèmes
Les vulnérabilités non corrigées des systèmes d'exploitation ou des logiciels présents sur les systèmes d'information peuvent être utilisées pour infecter les systèmes ou faciliter la propagation des infections. Les éditeurs de ces solutions publient régulièrement des mises à jour comprenant des correctifs de sécurité. Il est essentiel de les installer dans un délai court selon un processus contrôlé. Si cela n'est pas possible, par exemple pour des raisons commerciales, des mesures d'isolation doivent être imposées aux systèmes concernés. Une attention particulière doit être portée aux logiciels installés sur les postes de travail des utilisateurs (navigateurs web, suites bureautiques, lecteurs PDF, lecteurs multimédias, etc.) Il est donc important de prévoir la durée de vie du matériel et des logiciels présents dans le système d'information afin de les maintenir à jour.
Utilisation et maintenance d’un logiciel antivirus
Aujourd'hui, les logiciels antivirus sont toujours nécessaires pour se défendre contre les ransomwares sur les ressources exposées (par exemple, les postes de travail, les serveurs de fichiers, etc.) Ces outils ne garantissent pas la protection de votre entité contre les ransomwares inconnus, mais dans la plupart des cas, ils peuvent empêcher la compromission et éviter le cryptage de vos fichiers. Toutefois, pour que ces outils soient efficaces, il est important de mettre fréquemment à jour la signature et le moteur du logiciel, et de vérifier régulièrement si le stockage de fichiers du logiciel contient des logiciels malveillants connus.
Partitionnement du système d’information
Sans protection et à partir d'une seule machine infectée, un ransomware peut se propager dans vos systèmes d'information et infecter la plupart des machines accessibles. Sur un réseau informatique non cloisonné, un attaquant peut contrôler un grand nombre de ressources et ainsi amplifier les conséquences de l'attaque. Par exemple, il peut accéder à des fonctions de gestion ou à des dispositifs réservés aux administrateurs. Pour limiter les risques de diffusion, il est recommandé de mettre en place un ou plusieurs dispositifs de filtrage permettant un cloisonnement entre différentes zones réseau plus ou moins critiques du système d'information (par exemple, zones serveurs internes, zones serveurs exposées à Internet, zone poste utilisateur, zone administrative, etc.)
Limitation des droits d’accès des utilisateurs et des autorisations pour les applications
La première bonne pratique consiste à vérifier que les utilisateurs ne sont pas administrateurs de leur poste de travail. Ainsi, l'installation de logiciels et l'exécution involontaire de codes malveillants seront impossibles par défaut. L'autre bonne pratique à adopter est de dédier et de limiter les comptes d'administration sur les ressources du système d'information et de mettre en place des postes d'administration dédiés, sans accès à Internet. En effet, lors d'une compromission, on constate que les attaquants tentent souvent d'accéder à ces comptes privilégiés.
Contrôle de l’accès à Internet
Les rançongiciels profitent souvent de l'accès à l'internet des entités pour communiquer avec une infrastructure hébergée en ligne par des cybercriminels. De plus, en naviguant sur un site web compromis, un employé peut, à son insu, télécharger le logiciel malveillant et l'installer automatiquement sur son poste de travail.
Sensibilisation des employés
La plupart du temps, l'attaque par ransomware commence par l'ouverture d'une pièce jointe de phishing ou la consultation d'une page web malveillante. La formation des utilisateurs aux bonnes pratiques de sécurité numérique est donc une étape essentielle dans la lutte contre cette menace, même si elle ne peut constituer un bouclier absolu. Il s'agit également de créer ou de renforcer certains réflexes chez les utilisateurs en les invitant à signaler tout élément suspect au service informatique de la structure (ex : pièce jointe ou clé USB suspecte, demande inhabituelle, etc.)
Cyber assurance
Aujourd'hui, les contrats d'assurance cybernétique permettent de soutenir les victimes de cyberattaques en leur fournissant une assistance juridique ainsi qu'une couverture financière des dommages (matériels, immatériels, etc.). Cependant, le marché n'en est qu'à ses débuts et doit continuer à se développer, notamment en ce qui concerne la jurisprudence relative à l'activation ou non des clauses d'exclusion.
Mise en place d’un plan de réponse aux cyber-attaques
La particularité des attaques par ransomware réside dans leur effet déstabilisant sur les organisations. Les fonctions de support telles que la téléphonie, la messagerie, mais aussi les applications métiers peuvent être désactivées. Cela signifie qu'il faut passer à un mode de fonctionnement dégradé et, dans certains cas, revenir au papier et au crayon. L'attaque entraîne généralement une interruption partielle de l'activité et, dans les cas les plus graves, une interruption totale.
Stratégie de communication en cas de cybercrise
Pour faire face à une attaque de ransomware, il est essentiel de déterminer la stratégie de communication globale de son entreprise, qui doit être adoptée dès les premières heures pour limiter l'impact de la crise sur l'image et la réputation de l'entité, tant en interne qu'en externe.
Que faire en cas d’attaque?
Selon le NCSC (National Cyber Security Centre), en cas d'attaque, il convient de prendre les mesures suivantes :
- Limitez les dégâts : déconnectez immédiatement les systèmes infectés du réseau.
- Prévenez le service informatique ou le fournisseur d'accès.
- Identifier les systèmes infectés : les journaux (fichiers journaux) peuvent aider à identifier les systèmes affectés.
- Détection : Les journaux des serveurs de messagerie, des serveurs proxy, des pare-feu et de tout logiciel de sécurité peuvent être utilisés pour déterminer l'étendue de l'infection et pour détecter les URL et les adresses IP des attaquants.
- Signalement : Le NCSC recommande de déposer un rapport criminel auprès des autorités compétentes.
- Analyse médico-légale : Décidez dès le départ si vous allez procéder à une analyse criminelle. Cela est particulièrement important si vous avez l'intention de déposer une plainte pénale.
- Sauvegarder les données cryptées : Si des copies de sauvegarde ont également été cryptées, il est recommandé de conserver et de sauvegarder ces données cryptées afin de pouvoir les décrypter ultérieurement si une solution est trouvée.Reinstall affected systems: It is necessary to reinstall the infected systems before starting data recovery. The operating system used should come from a reliable data carrier.
Devons-nous payer la rançon ?
Les autorités compétentes déconseillent vivement de payer la rançon. Il n'y a aucune garantie que les criminels remettent à disposition les données cryptées et cela revient à alimenter le système mafieux.
Pour toute question complémentaire, n'hésitez pas à solliciter nos experts Pierre Messus (contact LinkedIn), Head of IT Risk Advisory et Syrilia Amine (contact LinkedIn), consultante IT Risk Advisory. Ils sont à votre disposition pour vous accompagner dans vos démarches de sécurité.