FICHE #5

se protéger des rançongiciels

=> Fiches Thélématiques

 

 

Les attaques par rançongiciels augmentent en nombre, en fréquence et en sophistication. Depuis le 1er janvier 2020, l’ANSSI (Agence Nationale de la Sécurité des Système d'Information) a traité 1041 attaques par rançongiciels. Leurs conséquences sont de plus en plus dévastatrices, sur la continuité d’activité, voire la survie de l’organisation victime.

 

« Les acteurs privés comme publics sont encore trop peu conscients du risque
et de leur propre vulnérabilité »
constate Guillaume Poupard, directeur général de l’ANSSI.

 

« Il est urgent pour les entreprises et les collectivités de mettre en œuvre des mesures pour
prévenir les attaques par rançongiciels et d’apprendre à bien réagir lorsqu’il est trop tard »
explique François Deruty, sous-directeur Opérations de l’ANSSI.

 

MAIS Qu'est-ce qu'un rançongiciel ?

 

Un rançongiciel – ransomware en anglais – est un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Les rançongiciels figurent au catalogue des outils auxquels ont recours les cybercriminels motivés par l’appât du gain. Lors d’une attaque par rançongiciel, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière réversible. En pratique, la plupart des rançongiciels, tel que CryptoWall, CryptoLocke et TorrentLocker, chiffrent par des mécanismes cryptographiques les données de l’ordinateur ou du système, rendant leur consultation ou leur utilisation impossibles. L’attaquant adresse alors un message non chiffré à la victime où il lui propose, contre le paiement d’une rançon, de lui fournir le moyen de déchiffrer ses données sans aucune garantie. 

 

La meilleure solution est de bien se protéger et surtout de mettre en place les bonnes pratiques pour faire face en cas d'attaque réussies pour assurer sa résilience et garantir la pérennité de son entreprise. 

 

Ci-dessous nous vous proposons quelques unes de ces bonnes pratiques à mettre en place afin d'assurer votre résilience.

 

1- Mettez votre système d'exploitation à niveau

 

Les systèmes d'exploitation (MS Windows, Mac OSx, Linux...) périmés sont relativement plus vulnérables aux attaques de rançongiciels. C'est pourquoi il est essentiel d'effectuer des mises à jour du système d'exploitation et des logiciels pour améliorer la sécurité de votre ordinateur.

 

2- Installez une suite de sécurité réputée

 

Installez un bon logiciel antivirus ou une suite de sécurité réputée pour vous aider à détecter et à combattre les menaces malveillantes, ce qui vous donne une forme supplémentaire de protection.

 

3- Évitez les fichiers suspects

 

Restez sur vos gardes et réfléchissez à deux fois avant d'ouvrir une pièce jointe email ou de cliquer sur des fichiers de source inconnue. Faites attention aux fichiers suspects avec des extensions de fichiers cachées telles que ".pdf.exe" souvent envoyés par mail sous forme de message important (phishing - hameçonnage) . Une personne avisée en vaut deux. Une formation de m'ensemble des collaborateurs sur ces risques est fortement conseillée.

 

4- Désactivez les éventuelles accès à distance

 

Les logiciels malveillants ciblent souvent les ordinateurs utilisant le protocole Microsoft RDP (Remote Desktop Protocol). Gardez RDP désactivé si vous n'avez pas besoin d'un accès à distance. Ne l'activer que quand c'est nécessaire et bien vérifier sa configuration.

 

5- Sauvegardez vos données

 

Si ces bonnes pratiques sont indispensable pour assurer sa sécurité numérique, elles ne sont pas suffisantes et ne protégeront pas à 100 % des risques liés aux rançongiciels. Les rançongiciels deviennent toujours plus sophistiqué et les logiciels anti-virus les détectent rarement à temps. Une fois infecté, l'accès à vos propres données deviendra impossible et il n'y a pas de garantie que vous pourrez récupérer vos données même après avoir payé la rançon Seules de bonnes sauvegardes peuvent vous garantir de bien récupérer vos données à un coût bien moindre que le paiement de la rançon demandée par les pirates 

La sauvegarde multi-versions, votre meilleure arme contre un rançongiciel.

 

Il est fortement recommandé d'effectuer des sauvegardes régulières pour pourvoir restaurer facilement et rapidement les fichiers infectés et réduire les dommages. Seule une sauvegarde multi-version permet de restaurer les versions précédentes de fichiers infectés.

 

• Sauvegarder les données des PCs 
  Les NAS (Network Attached Storage - Serveur de Stockage en Réseau) permettent de créer une sauvegarde multiversion qui permettent de récupérer les données à un point dans le temps et éviter de payer le prix fort pour déverrouiller vos données. Certaines solutions conservent jusqu'à 32 versions d'un même fichier. 
   
• Sauvegarde les données du NAS principal vers d'autres destinations
  La sauvegarde locale peut ne pas être suffisante si un rançongiciel plus destructif attaque des dossiers partagés sur votre serveur NAS en accédant aux services de fichiers sur votre PC. La meilleure façon de prévenir cela est d'ajouter une autre couche de protection en stockant les versions de sauvegarde non infectées dans un emplacement hors site. Si vous êtes victime d'un rançongiciel, vous pouvez toujours accéder à vos données stockées sur des sites différents.

 

6- Préparez un plan d'actions en cas d'attaque

 

Il est indispensable de préparer un plan d'action  à mener à court, moyen et long terme vis-à-vis de l’externe (relations presse, communication web, etc.) et de l'interne (collaborateurs, service informatique...) afin de limiter les dommages du rançongiciel et de lancer les actions pour restaurer tous les services tout en préservant le business de l'entreprise. 

 

Et si malgré tout vous êtes victime d'un rançongiciel ?

 

Si malgré toutes les précautions et bonnes pratiques vous êtes victime d'un rançongiciel, quelques étapes cruciales  à suivre: 

 

1. Isoler les PCs infectés du réseau en désactivant le WiFi ou en débranchant le câble réseau : veillez à bien être déconnecter d'internet.
2. Informer votre service informatique ou votre prestataire. 
3. Faire une déclaration sur cybermalveillance.gouv.fr et à la gendarmerie ou police.
4. Trouvez la source de l'infection si possible.
5. Nettoyer complètement le système de votre ordinateur de l'infection avec les logiciels adéquats. Souvent le formatage et la réinstallation complète du système est la meilleure solution.
6. Assurez-vous que votre ordinateur est dans un état propre avant de le reconnecter au réseau.
7. Restaurer les versions précédentes des fichiers qui ont été sauvegardées via les sauvegardes mises en place comme nous avons vu plus haut. 
8. Revoir les procédures et bonnes pratiques de protection pour les améliorer et éviter une prochaine attaque. 

 

------------------------------------------------

 

Pour en savoir plus :

 

• Application des mesures d’hygiène préconisées par l’ANSSI 

• Fiche sur « les rançongiciels » de Cybermalveillance

  Comment vérifier que mes données personnelles n’ont pas été volées ?

• Site cybermalveillance.gouv.fr => bonnes-pratiques

• Cybersécurité : ma petite entreprise est aussi concernée

• Bienvenue sur le MOOC de l’ANSSI (CyberSécurité)