Défendre les Pme contre les rançongiciels (ransomware)

Le Centre pour la Cybersécurité Belgique (CCB) a publié un nouveau guide pour aider les petites et moyennes organisations à lutter efficacement contre les attaques par ransomware et à prévenir d’éventuelles violations futures. En cas d'attaque par ransomware, vous pouvez adopter plusieurs mesures afin de gérer efficacement l'incident. Ce document vous fournit davantage d'informations sur la manière de répondre à l'incident et de contribuer à sa prévention à l'avenir.​

En suivant ce guide concis, les organisations peuvent répondre efficacement aux incidents liés aux ransomwares et améliorer leur situation globale en matière de cybersécurité.

Un double volet

Il s’articule en 2 volets: le premier énumère un certain nombre de mesures concrètes à prendre afin de réagir aux incidents liés aux ransomwares (p.ex. isoler les appareils infectés, vérifier les sauvegardes, signaler l’incident aux autorités, etc.)

Le second met en évidence quelques mesures préventives permettant d’éviter ce type d’attaques (p.ex. mise à jour des systèmes, authentification renforcée, etc.)

Comment réagir ?

1. Déterminez et confirmez l'ampleur de l'attaque par ransomware

La restauration des systèmes n'est PAS la première étape de votre réponse. Évaluez d’abord l'ampleur de l'attaque par ransomware en vous concentrant sur ce qui a été crypté et/ou potentiellement volé par l'intrus. La réponse à cette question sera l’élément central de votre intervention. Tentez de documenter les données qui se trouvaient sur les machines cryptées et recherchez les données qui ont pu être volées.

2. Isolez autant que possible les appareils touchés afin d'éviter toute propagation

Lorsqu'un ransomware sévit, il est essentiel d'isoler autant que possible les appareils touchés afin d'éviter toute propagation. Partez du principe que les assaillants étaient déjà profondément implantés dans votre environnement avant que l'attaque par ransomware ne se produise.

Commencez par isoler les appareils infectés et retirez-les du réseau. Débranchez les câbles réseau et interrompez les connexions réseau (y compris les réseaux Wi-Fi). Si votre réseau le permet et s'il est correctement segmenté, vous pouvez également déconnecter le segment de réseau infecté.

• N'éteignez PAS les appareils infectés et évitez d'arrêter les systèmes. Il se peut que des logiciels malveillants installés ne soient pas activés. Le fait de disposer d'un système en état de marche peut également s'avérer utile pour demander l'aide d'une société de gestion des incidents afin de mener des enquêtes.
• Ne lancez pas les opérations de restauration tant que l'étendue de l'attaque n'est pas connue, c'est-à-dire la méthode utilisée, le moment de l’attaque et les systèmes touchés.

3. Évaluez l'intégrité de vos sauvegardes

Vérifiez que les assaillants n'ont pas également compromis l'intégrité de votre système de sauvegarde. Vous devez avoir la confirmation que les sauvegardes n'ont pas été compromises ou consultées avant de les utiliser pour restaurer votre environnement.

4. Lancez votre réponse à l’incident

Si vous disposez d'un service IT interne, ce dernier peut entamer ses activités de résolution du problème. Dans le cas contraire, faites appel à une équipe professionnelle de gestion des incidents pour vous aider à évaluer l'étendue des dégâts.

Vu les coûts élevés générés par l’intervention d’une telle équipe, vérifiez si votre contrat d'assurance couvre la réponse aux incidents.

Le Centre pour la cybersécurité Belgique (CCB) déconseille fortement le paiement d'une rançon.

Dans certaines situations, le paiement semble être l’ultime et unique option. N'oubliez pas que les assaillants sont plus que probablement guidés par l’appât du gain. Ils évalueront toutes les possibilités d'extorquer toujours plus d'argent à votre organisation.

Soyez prudent lorsque vous interagissez avec l’assaillant : faire appel à un négociateur professionnel n'est pas une solution miracle. Rappelez-vous qu'il n'y a aucune garantie que les clés de décryptage vous seront fournies après paiement.

5. Informez les autorités

Déposez plainte auprès de votre service de police local, et informez l'autorité chargée de la protection des données si vous soupçonnez que des données ont été volées. La loi impose que toute perte éventuelle de données à caractère personnel soit signalée et cette démarche doit être effectuée en priorité.

Prévenir pour mieux guérir

Voici quelques mesures préventives qui vous aideront à vous prémunir contre de futures attaques par ransomware

1. Veillez à la mise à jour de vos systèmes

Maintenez vos systèmes d'exploitation, vos logiciels et vos solutions de sécurité à jour afin d’atténuer leur vulnérabilité aux attaques. Pour ce faire, appliquez régulièrement des correctifs et recherchez d'éventuelles failles. Votre fournisseur IT peut et doit être tenu responsable de la mise à jour de vos systèmes. Même si un système entièrement corrigé n'est pas étanche, il peut faire la différence et vous inviter un incident.

2. Utilisez un mot de passe fort et l’authentification à deux facteurs

Utilisez des mots de passe forts et uniques pour tous vos comptes et modifiez-les régulièrement. Tous vos comptes doivent nécessairement être liés à l’authentification à deux facteurs. Cette méthode vous assurera une couche de sécurité supplémentaire et sera votre meilleur allié dans le cadre de votre défense.

3. Formez vos collaborateurs

Formez vos collaborateurs afin qu’ils puissent reconnaître le phishing et éviter ainsi les mails et liens suspects, entre autres. Ces mails ouvrent souvent la voie à la compromission de votre organisation.

Pour plus d’informations sur le sujet, rendez-vous sur safeonweb.be.​