Les rançongiciels représentent un pan toujours plus important de cette triste réalité qu’est la cybercriminalité. Certaines études estiment la croissance annuelle de ces délits à 1 070 %. Les deux années écoulées ont constitué un terreau fertile à ces attaques : introduction du télétravail, formation en ligne, connectivité accrue dans tous les secteurs (y compris ceux des voitures individuelles et des outils industriels).
Comme leur nom le laisse deviner, les rançongiciels permettent aux criminels de bloquer l’accès à des systèmes ou fichiers afin d’exiger une rançon pour les débloquer. Les vecteurs les plus courants sont les e-mails d’hameçonnage, la prise de contrôle à distance d’un ordinateur ou les failles logicielles existantes. Il existe deux catégories principales d’attaques par rançongiciel :
- Le ransomware Crypto : Des informations sensibles sont chiffrées – sans que ne soient touchées les fonctionnalités basiques de l’ordinateur. Une rançon est demandée pour les décrypter ;
- Le ransomware Locker : L’ordinateur et les fichiers qu’il contient ne sont pas affectés, mais des outils ou interfaces de base deviennent inaccessibles. Une rançon est demandée pour les débloquer.
Afin de prévenir de telles attaques, une approche proactive est indispensable. Parmi les principales façons de sécuriser votre activité :
- La gestion des comptes utilisateurs
Les principes les plus simples à mettre en place sont souvent les plus efficaces. Avant toute chose, il faut garantir une bonne gestion des données et des comptes utilisateurs. Imposer des mots de passe robustes – par exemple via un nombre de caractères minimum – mais qui restent acceptables par les utilisateurs est ainsi l’un des premiers pas les plus importants pour limiter le risque d’hameçonnage. L’authentification multi-facteurs (MFA) est également très utile, surtout lorsque les mots de passe ont été piratés. Cependant, toutes les authentifications multi-facteurs ne se valent pas. Aussi, lorsque cela est possible, il convient de privilégier les notifications push sur téléphone plutôt que les codes à usage unique envoyés par texto, plus facilement interceptés.
- La segmentation réseau
Certains rançongiciels se servent de vers informatiques utilisant le protocole SMB (Server Message Block) pour se propager rapidement et peuvent mettre à mal une large partie des réseaux. La segmentation réseau permet de contenir ces attaques et d’en limiter les conséquences négatives. Il n’existe pas de « bonne » façon de segmenter : chaque organisation doit déterminer ce qui fonctionne le mieux pour sa structure et isoler les composantes les moins fiables du réseau du reste de son architecture.
- EDR (Endpoint Detection & Response) / XDR (Extended Detection & Response)
La détection d’activités inhabituelles permet de lutter efficacement contre les attaques de rançongiciels. Les systèmes EDR suivent et analysent les utilisateurs et le trafic sur le réseau afin de donner de la visibilité sur les menaces et les points d’accès. La solution XDR va encore plus loin en proposant une plateforme de protection pour faire face à un grand éventail de menaces visant vos terminaux, points d’accès, réseau, utilisateurs et cloud workloads.
- Les systèmes de gestion des événements et des informations de sécurité (SIEM)
Face à n’importe quelle cybermenace, la clé réside dans la rapidité d’exécution. Les solutions SIEM proposent des alertes d’analyse sécurité en temps réel – pour les applications et le matériel – pour arrêter les menaces avant qu’il ne soit trop tard. La définition de « use cases » SIEM permet de mettre en place des mesures préventives contre d’éventuelles attaques, venant ainsi soutenir la sécurité du système en lien avec votre département dédié.
- Les logiciels de sécurité anti-ransomware
Se doter d’un outil anti-ransomware est un bon début pour mettre en place votre défense contre les rançongiciels. Rapide et facile d’utilisation, cette solution offre une protection robuste contre de nombreux rançongiciels courants, en « immunisant » votre activité. Lorsque votre système est menacé, les outils de suppression des ransomwares (Ransomware Removal Tools) permettent une évacuation rapide de l’infection.
- La vaccination contre les rançongiciels
Certains programmes malveillants peuvent laisser des traces sur le terminal, afin d’éviter de l’infecter deux fois. Toutefois, un « vaccin » peut être utilisé pour « injecter » ces marques d’infection et bloquer le processus de cryptage des « souches » connues du rançongiciel.
- La sécurisation du DNS
Le système de noms de domaine (DNS) est l’annuaire du net, un élément essentiel qui va des e-mails à la navigation. Les cybercriminels exploitent régulièrement les noms de domaine en intégrant des liens malveillants dans des e-mails d’hameçonnage, soit pour renvoyer les utilisateurs vers des sites malveillants, ou bien pour accéder à l’infrastructure DNS elle-même. Empêcher la constitution de noms de domaine malveillants est l’une des meilleures pratiques pour protéger vos utilisateurs et votre entreprise.
- Le « Bac à sable »
La préparation face aux attaques est essentielle à la protection de vos activités.Un « bac à sable » est une machine virtuelle isolée qui fait croire au logiciel malveillant qu’il interroge des serveurs externes alors qu’il est en train d’interagir avec de fausses adresses IP. Cet outil permet de détecter et d’analyser des attaques avancées dans un environnement déconnecté du système d’information décisionnel, pour in fine mieux protéger votre activité des menaces par e-mail.
- La sauvegarde des données
Parfois, en dépit des précautions, les rançongiciels réussissent à s’installer. Dans ces cas-là, la meilleure solution est parfois de tout effacer pour tout recommencer. Les cybercriminels essaient également d’atteindre les sauvegardes de données, qui doivent donc être protégées. La stratégie de sauvegarde 3-2-1 est une approche répandue : disposer de trois copies de vos données, deux stockés sur des types de supports différents et une conservée hors site. Préparez-vous au pire et faites des sauvegardes de vos sauvegardes. Ainsi, si vous êtes victime d’un rançongiciel, vous aurez les ressources pour reconstruire vos serveurs et vos postes de travail.
Pour en savoir plus sur les solutions proposées par Expleo pour protéger votre activité contre les rançongiciels et autres menaces, sécuriser votre présent et votre futur, contactez-nous.
