Ransomware : les bonnes pratiques pour protéger son entreprise
Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), le nombre d’attaques par ransomware rapportées en 2020 a bondi de 255 % par rapport à 2019. Tour d’horizon pour se protéger au mieux contre ces attaques désormais omniprésentes.
Définition d’un ransomware
Les ransomwares ou rançongiciels sont des logiciels malveillants (ou malwares). Ils infectent un ordinateur et empêchent la victime d’accéder à ses données. Soit en bloquant l’accès à l’ordinateur (ransomware Locker), soit en chiffrant les données (ransomware Crypto). Ce code malveillant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner, mais de manière réversible. Les auteurs de l’attaque réclament ensuite une rançon en échange de l’accès aux données capturées ou au système d’information. Mais sans aucune garantie. Voilà pourquoi les experts préconisent de ne pas payer la rançon demandée.
Les différents types de ransomwares
On trouve trois principales types d’attaques par ransomware :
Les campagnes d’attaques non ciblées
Ces attaques se caractérisent par leur faible coût et leur faible sophistication. Il s’agit d’attaques opportunistes qui profitent du faible niveau de maturité en sécurité numérique de leurs victimes. L’attaquant lance une campagne massive, tous azimuts, avec l’espoir qu’une attaque débouche sur une infection. Les entreprises ou organismes qui ne sont pas à jour en matière de protection numérique peuvent alors se faire piéger.
Les campagnes massives automatiques
Il s’agit d’un ransomware auto-réplicant, très sophistiqué et capable de se propager à grande vitesse. L’exemple du ransomware WannaCry est édifiant. En 2017, il a infecté plus de 300 000 ordinateurs dans 150 pays. Ce qui en fait, encore à ce jour, la plus grande attaque par ransomware. Wannacry est toujours actif, quoique moins dangereux, et se décline en plus de 12 000 variantes. « WannaCry est aujourd’hui considéré comme l’une des attaques de maliciel la plus importante et la plus dévastatrice de l’histoire », souligne ainsi la Cellule Accompagnement Cybersécurité des Structures de Santé.
Les attaques ciblées dites « Big Game Hunting »
C’est le niveau supérieur de l’attaque par ransomware. Les attaques ciblées de ce type visent à se propager au sein du réseau ciblé de manière furtive. Objectif : fureter pour identifier et chiffrer les ressources essentielles de la cible et de son activité. Avec à la clé des demandes de rançons souvent plus importantes. On peut par exemple citer l’attaque contre la Colonial Pipeline, aux États-Unis, par le groupe cybercriminel DarkSide, spécialisé dans les attaques de cibles à haut niveau. Après plusieurs jours de blocage des infrastructures de distribution de carburant, le président Joe Biden a déclaré l’état d’urgence et la société a reconnu avoir payé une rançon de 4,4 millions de dollars.
Les principaux types d’attaques contre les entreprises
Si la loupe médiatique a mis la focale sur les attaques visant les collectivités locales ou encore les hôpitaux – des attaques particulièrement inquiétantes pour le bon fonctionnement de nos services publics – les entreprises sont tout aussi vulnérables aux ransomwares, et ce peu importe leur taille ou leur chiffre d’affaires.
Ainsi, selon une enquête cabinet IDC réalisée en juillet 2021 auprès de 791 décideurs informatiques de moyennes et grandes entreprises, 37% des entreprises ont été la cible d’une ou plusieurs attaques de ransomware au cours des 12 mois précédents.
L’une des techniques favorites des cybercriminels est le phishing, qui utilise les messageries électroniques. La personne ou l’entreprise visée reçoit un email en apparence anodin, incluant un lien externe ou une pièce jointe. Si l’utilisateur clique sur le lien ou ouvre la pièce jointe, le logiciel se déploie sur le terminal (fixe ou mobile) sans que ce dernier ne s’en aperçoive. C’est notamment, selon le Monde Informatique, ce qu’il s’est passé dans la récente attaque contre un cabinet d’avocat de Caen. Résultat : près de 9000 documents très sensibles ont fuité.
Avec la convergence entre l’OT et l’IT dans l’industrie, la surface d’attaque augmente encore. Ainsi en 2017, Renault a dû mettre ses sites industriels français à l’arrêt après une vague d’attaques mondiale. En 2020, c’est au tour de Honda d’être victime d’une attaque d’envergure. Le malware détecté serait Snake (ou Ekans), connu pour cibler les systèmes qui régissent de grandes infrastructures publiques ou privées.
Se protéger des ransomware
Comme tout logiciel malveillant, un ransomware a besoin d’une porte d’entrée pour s’infiltrer dans le système d’information. Pour protéger au maximum ces points de vulnérabilités, quelques bonnes pratiques et solutions techniques sont à mettre en place.
Les bonnes pratiques en entreprise
Entre nouveaux concepts de cybersécurité et approche Zero Trust, voici quelques bonnes pratiques à garder en tête :
- Réaliser des sauvegardes régulières de ses données
- Maintenir à jour les logiciels et les systèmes, avec l’application des correctifs de sécurité et la mise à jour des signatures antivirus (pour traquer les virus)
- Cloisonner son système d’information, avec la mise en œuvre d’une politique de filtrage sur les postes de travail et les appareils utilisés
- Limiter les privilèges accordés aux utilisateurs
- Maîtriser les accès à Internet
- Sensibiliser les utilisateurs aux risques
- Enfin, penser à se doter d’un plan de reprise d’activité (PRA), pour mieux rebondir en cas d’attaque.
Les défenses numériques & techniques à adopter
Il faut aussi et surtout s’assurer que l’antivirus et le pare-feu qui sont utilisés par l’entreprise soient bien adaptés face à ces nouveaux risques et qu’ils bénéficient des dernières mises à jour. Cependant, lorsque les ransomwares sont trop récents, les antivirus ne sont pas forcément à même de les détecter à temps.
La sécurité ultime reste donc de sauvegarder systématiquement les données sur les serveurs distants d’un prestataire, ou sur des supports stockés dans l’entreprise (clés USB, disques durs externes) qui ne soient pas connectés au réseau interne de préférence.