15 septembre 2021

Comment vous protéger contre les ransomwares ?

Si vous suivez l’actualité, il ne vous a pas échappé que la fréquence des attaques par ransomware était en augmentation constante, avec des tactiques et des contraintes toujours plus ciblées, plus destructrices et plus difficiles à détecter rapidement.

Les TPE, PME et administrations sont de loin les premières victimes des ransomwares, car elles ne disposent généralement pas des compétences et des outils nécessaires pour éviter l’attaque. Pour autant, les grandes entreprises ne doivent pas se croire à l’abri de ce type de menace et sous-estimer leur risque d’attaque.

Qu’est-ce qu’une attaque par ransomware ?

Voici la définition qu’en fait la plateforme cybermalveillance.gouv.fr : Un ransomware (ou rançongiciel en français) est un logiciel malveillant qui bloque l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. La machine peut être infectée après l’ouverture d’une pièce jointe, ou après avoir cliqué sur un lien malveillant reçu dans des courriels, ou parfois simplement en naviguant sur des sites compromis, ou encore suite à une intrusion sur le système. Dans la majorité des cas, les cybercriminels exploitent des vulnérabilités connues dans les logiciels, mais dont les correctifs n’ont pas été mis à jour par les victimes.

Le but recherché par ces personnes malintentionnées est d’extorquer de l’argent à la victime en échange de la promesse (pas toujours tenue) de retrouver l’accès aux données corrompues. Certaines attaques visent juste à endommager le système de la victime pour lui faire subir des pertes d’exploitation et porter atteinte à son image.

Quelles sont les mesures préventives pour se prémunir d’une attaque par ransomware ?

Les principes de précaution

Même l’organisation la mieux préparée ne peut pas se protéger complètement contre les attaques par rançongiciels. Mais vous pouvez limiter les risques en appliquant des mesures préventives.

  • Appliquez de manière régulière et systématique les mises à jour de sécurité du système et des logiciels installés sur votre machine.
  • Préférez un outil EDR à un simple antivirus et configurez correctement votre pare-feu. Vérifiez qu’il ne laisse passer que des applications, services et machines légitimes.
  • N’ouvrez pas les courriels, leurs pièces jointes et ne cliquez par sur les liens provenant de chaînes de messages, d’expéditeurs inconnus ou d’un expéditeur connu, mais dont la structure du message est inhabituelle ou vide. En effet, les cybercriminels distribuent souvent de faux e-mails qui ressemblent beaucoup aux notifications par e-mail d'une boutique en ligne, d'une banque, de la police, d'un tribunal, des impôts. Ils incitent les destinataires à cliquer sur un lien malveillant qui libérera le logiciel malveillant dans leur système.
  • N’installez pas d’application ou de programme dont l'origine ou la réputation sont douteuses. Si vous téléchargez quelque chose sur votre téléphone ou votre tablette, assurez-vous d'utiliser des sources et des magasins réputés, comme l'App Store (Apple) ou le Google Play Store (Android). La meilleure façon de déterminer si un site Web est frauduleux est de porter une attention particulière à l'URL. Le nom de domaine dans l'URL doit correspondre au nom du site Web. Une connexion HTTPS et l'affichage de l'icône de cadenas sont des signes de connexion sécurisée, mais cela ne signifie pas que vous pouvez lui faire confiance.
  • Évitez les sites non sûrs ou illicites tels ceux hébergeant des contrefaçons (musique, films, logiciels…) ou certains sites pornographiques qui peuvent injecter du code en cours de navigation et infecter votre machine. En cliquant sur des liens suspects, des pop-ups ou des boîtes de dialogue, vous risquez de télécharger des logiciels malveillants sur vos systèmes, le lien ne menant souvent pas au site Web prévu. Si vous n'êtes pas sûr, lancez d'abord le site Web via un moteur de recherche pour voir s'il existe vraiment.
  • N’utilisez pas un compte avec des droits « administrateur » pour consulter vos messages ou naviguer sur Internet. Les droits d'administrateur permettent aux utilisateurs d'installer de nouveaux logiciels et de contrôler le fonctionnement des systèmes. Effectuez plutôt des tâches quotidiennes via un compte utilisateur standard.
  • Utilisez des mots de passe suffisamment complexes (vérifier le niveau de sécurisation de vos mots de passe) ayant au moins 8 caractères (12 ou 14 idéalement) et constitués de différents types de caractères : chiffres, majuscules, minuscules, caractères spéciaux. Pour cela, vous pouvez vous faire aider d’un gestionnaire de mots de passe. Vérifiez également que ceux créés par défaut soient effacés s’ils ne sont pas tout de suite changés.
  • Pensez à utiliser l'authentification multifacteur sur vos comptes en ligne importants. L'authentification multifacteur (MFA) est une couche de sécurité supplémentaire utilisée pour s'assurer que les personnes essayant d'accéder à un service en ligne (tels que des comptes bancaires, de messagerie ou de réseaux sociaux) sont bien ce qu'elles prétendent être. Après avoir entré votre nom d'utilisateur et votre mot de passe, vous devrez fournir une autre information (deuxième étape). Ces informations doivent être quelque chose auquel vous seul pouvez accéder, par exemple un code envoyé par SMS ou un code généré par un authentificateur.
  • Ne connectez jamais des clés USB inconnues à vos systèmes. N'insérez pas d'USB ou d'autres périphériques de stockage amovibles dans votre ordinateur si vous ne savez pas d'où ils viennent. Les cybercriminels peuvent avoir infecté l'appareil avec un ransomware et l'avoir laissé dans un espace public pour vous inciter à l'utiliser.
  • Utilisez un réseau privé virtuel (VPN) lorsque vous utilisez le Wi-Fi public. Lorsque vous vous connectez à un réseau Wi-Fi public, votre appareil est plus vulnérable aux attaques . Pour rester protégé, évitez d'utiliser le Wi-Fi public pour des transactions confidentielles ou utilisez un VPN sécurisé.
  • Activez l'option « Afficher les extensions de fichier » dans les paramètres Windows de votre ordinateur. Cela rendra beaucoup plus facile de repérer les programmes potentiellement malveillants. Éloignez-vous des extensions de fichiers telles que ".exe", ".vbs" et ".scr". Les escrocs peuvent mettre en file d'attente plusieurs extensions pour dissimuler un exécutable malveillant tel qu'une vidéo, une photo ou un document.
  • Éteignez votre machine lorsque vous ne vous en servez pas.

Les cybercriminels découvrent toujours de nouvelles vulnérabilités et malgré toutes ces précautions, il arrive qu’une organisation soit victime d’une attaque. Mais malheureusement, une fois que le ransomware a été publié sur votre appareil, vous ne pouvez pas faire grand-chose à moins d'avoir un logiciel de sauvegarde ou de sécurité en place.

 

Les solutions de sauvegarde

Si un logiciel de cybersécurité constitue le meilleur moyen de détecter et prévenir les rançongiciels, il ne peut pas toujours les arrêter. C’est pourquoi il est essentiel d’avoir une solution de sauvegarde et de restauration offrant un second périmètre de défense pour détecter les attaques par rançongiciel, et protéger et rétablir votre environnement.

Il est préférable de créer trois copies de sauvegarde. Une copie sur deux supports différents (disque dur, clé USB, serveur NAS…) et une copie hors site (cloud)

Même si un ransomware n’a infecté qu’un seul appareil du réseau, il peut se propager au réseau complet rapidement et à l’insu du propriétaire. Il est important de s’assurer que les données sauvegardées sont isolées afin d'éviter toute modification/suppression orchestrée par un acteur malveillant. Vous devez donc veiller à ce que vos copies de sauvegarde ne soient pas connectées à Internet ni à un réseau local. Ces copies non altérées et sauvegardées hors ligne sont essentielles à la récupération et à la réinstallation de vos données si vous êtes victime d’une attaque.

Les entreprises doivent rechercher une solution de stockage qui protège continuellement les informations en prenant notamment des instantanés (sauvegarde de l'état d'un système à un instant donné) aussi fréquemment que possible (toutes les 90 secondes par exemple). De cette façon, même lorsque les données sont cryptolockées, il est possible de restaurer une version originale enregistrée grâce à l’instantané.

Lorsque toutes les solutions de sauvegarde sont en en place, il faut s’assurer qu’elles fonctionnent correctement. Le seul moyen de s’assurer de l’intégrité d’une sauvegarde de données est de procéder à un test de restauration à une fréquence définie.

Que faire en cas d’attaque ?

- Débranchez votre PC d’Internet et du réseau informatique, cela empêchera l'infection de se propager.

- Alertez immédiatement votre service ou prestataire informatique.

- Ne payez pas la rançon réclamée car vous n’êtes pas certain de récupérer vos données et vous alimenteriez le système mafieux.

- Conserver les preuves : Photo ou une capture d'écran du message piégé et de la demande de rançon, fichiers de journalisation (logs) de votre pare-feu, disques durs.

- Déposez plainte au commissariat de police ou à la gendarmerie ou en écrivant au procureur de la République en fournissant toutes les preuves en votre possession.

- Notifiez l’incident à la CNIL s’il y a eu une violation de données personnelles.

- Identifiez la source de l’infection et prenez les mesures nécessaires pour qu’elle ne puisse pas se reproduire.

- Appliquer une méthode de désinfection et de déchiffrement lorsqu’elle existe. Effectuez une restauration complète de votre ordinateur. Reformatez les postes et/ou serveurs touchés et réinstallez un système sain puis restaurez les copies de sauvegarde des fichiers perdus lorsqu’elles sont disponibles.

- Faites-vous assister au besoin par un professionnel qualifié en sécurité informatique.

 

En conclusion : Les attaques par ransomware causent de graves dégâts aux entreprises touchées. Malgré la mise en place d’outils de protection des données et l’application des mesures préventives, il n’est pas garanti qu’une entreprise victime de ransomware récupère toutes ses données. Et si tel est le cas, le système informatique s’en trouve maintenant fragilisé et exposé à une potentielle deuxième vague de ransomware qui serait, cette fois, dévastatrice pour l’entreprise.

Il faut donc anticiper ce type d’attaque en s’équipant de solutions de protection et de système de sauvegarde et de restauration, tout en s’assurant régulièrement de leur bon fonctionnement.

Le marché de la sécurité informatique évolue constamment avec la sortie régulière de nouvelles solutions. Le budget dédié à la sécurité des matériels et des réseaux doit suivre cette évolution permanente pour s’assurer de détenir les meilleures armes contre une attaque.

Pour s’y retrouver, il est préférable de se faire accompagner d’un prestataire de services informatiques expert en sécurité tel que Promosoft Informatique.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

pROMOSOFT iNFORMATIQUE

Depuis plus de 30 ans, Promosoft informatique est une entreprise informatique basée à Orléans et Rouen qui couvre la Normandie, le Centre-Val de Loire et l'Ile de France. 
Elle accompagne les TPE, PME, ETI et Administrations dans la conception, le déploiement et la maintenance de leur système d'informations.
CONTACTEZ-NOUS
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram