Un ransomware ou « logiciel de rançon » est un logiciel malveillant (« malware ») que les cybercriminels peuvent installer sur l’appareil d’une organisation par de nombreux moyens, comme en demandant à la victime de télécharger un virus ou de cliquer sur un lien qui ouvre une annexe infectée (phishing). Une fois le ransomware installé avec succès, les cybercriminels cryptent les informations/systèmes d’informations pour bloquer tous les accès de l’organisation et demandent une certaine somme pour restituer ces accès. L’organisation n’a ainsi plus aucune emprise sur ses ordinateurs et ne sais plus effectuer aucune opération. En plus de rendre les informations inaccessibles, les cybercriminels peuvent aussi menacer l’organisation de rendre toutes ses données publiques, causant d’importants problèmes, d’autant plus si l’organisation gère des informations sensibles.

L’objectif des cybercriminels lorsqu’ils installent un ransomware sur un appareil est d’obtenir quelque chose en échange, en général de l’argent. À cette fin, ils montreront clairement qu’ils ont pris le contrôle et veulent quelque chose en échange, souvent en affichant un message univoque sur l’écran de l’appareil infecté.

En général, les cybercriminels évaluent les efforts qu'ils devront fournir pour installer le ransomware au regard des bénéfices. Il est dès lors primordial de s’assurer que les protections implémentées compliquent un maximum la tâche des cybercriminels. Plusieurs types de contrôle peuvent être mis en œuvre :

1.    Mettez vos appareils et logiciels à jour dès que possible

Il suffit d'une seule vulnérabilité dans un système, une application ou un appareil pour que les cybercriminels s'en emparent pour causer des dommages et accéder à des informations. Il est donc crucial d'installer les mises à jour dès qu'elles sont disponibles. Cela garantit la solidité de votre cyberdéfense et permet de s'assurer que la version du système utilisée est toujours prise en charge par le fournisseur.

2.    Sécurisez l'accès à vos comptes

Les comptes sont une porte d'entrée vers l'ensemble de l'environnement d'une organisation. Ils doivent donc être protégés par des mots de passe forts, différents pour chaque compte. Un mot de passe fort comporte au moins douze caractères et une combinaison de majuscules et de minuscules, de chiffres et de symboles. L'authentification multifacteurs doit être activée dans la mesure du possible, en complément de mots de passe forts. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.  

3.    Protégez vos appareils à l’aide d’antivirus et de pare-feux locaux

Un virus peut infecter un appareil de plusieurs façons : lors de l’ouverture d'une pièce jointe, d’un clic sur un lien, du branchement d'une clé USB ou d’une simple navigation sur un site Internet. Un virus est un logiciel malveillant qui vise à endommager les ressources, à supprimer des fichiers, à ralentir les performances ou à voler des informations confidentielles. Une fois qu'un virus a infecté votre ordinateur, il faudra du temps, des efforts et des moyens financiers pour le supprimer. C'est pourquoi il est préférable de protéger tous les appareils autorisés à se connecter au réseau de l'organisation avec un logiciel antivirus dès le départ.

Il est également conseillé d'installer un pare-feu pour surveiller et filtrer les demandes d'accès au réseau de l'entreprise sur la base de règles de sécurité prédéfinies. Le pare-feu agit comme un mur entre le réseau de l'entreprise et un réseau non fiable (réseau domestique, Internet, etc.). Il permet à l'organisation de limiter l'accès externe aux seules personnes autorisées.

4.    Sensibilisez les collaborateurs aux arnaques destinées à leur voler des informations confidentielles

Les collaborateurs d'une entreprise forment sa première ligne de défense. Vos collaborateurs doivent être capables d’identifier les arnaques et les faux messages afin d'adopter les bons réflexes. Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Les e-mails de phishing font partie des arnaques les plus fréquentes. Les cybercriminels tentent ici de convaincre leur victime de partager ses mots de passe ou ses informations confidentielles. Il est donc important d'organiser régulièrement des sessions d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.

5.    N'utilisez que des sites et des plateformes officiels pour télécharger des applications et des logiciels

Les applications et les logiciels piratés sont généralement infectés par des logiciels malveillants. Essayez donc d'installer et de télécharger uniquement des applications et des logiciels officiels, via les plateformes et les sites Internet officiels des vendeurs.

6.    Limitez les actions pouvant être exécutées avec un compte administrateur

Limitez le nombre de comptes d’administrateur ou privilégiés au strict minimum. Personne ne devrait disposer de droits d’administrateur pour les tâches quotidiennes. Si chacun dispose de droits d’administrateur, les cybercriminels pourront plus facilement prendre le contrôle de l'appareil ou installer un logiciel malveillant.

7.    Réalisez régulièrement des copies de sauvegarde de vos ressources critiques

Sauvegardez tous les systèmes, applications, serveurs et données pour vous assurer que, même en cas d'incident, toutes les informations importantes pourront être récupérées. Veillez à tester régulièrement ces sauvegardes pour vous assurer qu'elles peuvent toujours être utilisées en cas de besoin, après un incident.

8.    Contrôlez l'installation de logiciels sur les appareils de l'entreprise en établissant une liste des logiciels autorisés

Un collaborateur à la recherche d'un logiciel spécifique et n'ayant que peu ou pas de connaissances en cybersécurité aura moins tendance à vérifier ce qu'il trouve sur Internet. Il est donc primordial de s'assurer que le responsable informatique ait marqué son accord concernant la sécurité et les performances de tous les logiciels téléchargés. En outre, le responsable informatique peut établir une liste blanche, c’est-à-dire une liste de logiciels que les collaborateurs sont autorisés à installer sur leurs appareils professionnels.

1. Signalez immédiatement l'incident à votre responsable IT.
2. Isolez du réseau les ressources infectées afin d’éviter que le logiciel malveillant ne fasse tache d’huile.
3. Ne payez pas la rançon.
4. Mettez en place un canal de communication distinct.
5. Convoquez une équipe de gestion de crise.
6. Prévenez immédiatement la police locale.
7. Collectez toutes les informations nécessaires : le type ou le support de données, le système d’exploitation, le mode d’infection, le nom du ransomware, le moyen de paiement et, si possible, des captures d’écran de tous les systèmes infectés.
8. Changez tous les mots de passe qui auraient été enregistrés (le cas échéant) sur tous les comptes utilisés.
9. Analysez votre appareil à l’aide d'un antivirus.
10. Identifiez toutes les vulnérabilités utilisées pour accéder au réseau et remédiez-y le plus rapidement possible.
11. Essayez de décrypter les dossiers cryptés s’il y a une solution (le site Accueil | The No More Ransom Project donne des solutions de décryptage qui peuvent s’avérer utiles).
12. Si nécessaire, contactez des spécialistes (externes) officiels en sécurité pour qu'ils vous aident à récupérer vos ressources en ayant recours au décryptage.

Les cybercriminels envoient de faux mails ou passent de faux appels téléphoniques pour collecter des informations sur une entreprise, des données personnelles ou des identifiants de connexion à utiliser pour accéder sans autorisation à des ordinateurs ou à des applications. Une fois à l’intérieur de l’organisation, ils essaient d'obtenir des informations confidentielles, de vendre les identifiants de connexion et/ou des informations sensibles, ou de réaliser des profits - en utilisant un ransomware, par exemple.

Pour soutirer des informations ou convaincre la victime de faire ce qu'ils demandent, les cybercriminels joueront sur un élément auquel la victime croit ou se feront passer pour une personne de confiance en jouant sur l'autorité, le sentiment d'urgence ou en s'appuyant sur l'instinct humain de solidarité.

Phishing par e-mail

Le phishing classique à lieu par mail. Les cybercriminels envoient un mail qui semble véridique et demandent à la victime d'ouvrir une pièce jointe ou de cliquer sur un lien. Ouvrir la pièce jointe entraine généralement le téléchargement d’un logiciel malveillant, qui s'installe alors sur l'ordinateur ou le téléphone portable de la victime. Le lien redirige vers un site Internet à première vue inoffensif mais qui, en réalité, a pour objectif de voler des informations sensibles, comme des identifiants et des mots de passe, afin d'accéder aux comptes d'une organisation ou de ses collaborateurs, à des comptes des médias sociaux, personnels et/ou bancaires. Cliquer sur un lien peut également déclencher le téléchargement automatique d'un logiciel malveillant (ou malware).

Phishing par téléphone (et smishing)

Aujourd'hui, un autre type de phishing se répand également : le phishing par téléphone. Que ce soit par un SMS (on parle alors de smishing) ou par un appel téléphonique, l'objectif final reste le même : les cybercriminels tentent d'accéder aux informations d'une organisation et/ou aux comptes personnels de ses collaborateurs afin de pouvoir les utiliser à mauvais escient. Par SMS, les cybercriminels peuvent envoyer un lien et inciter la victime à cliquer dessus et à saisir ses coordonnées de connexion. Au téléphone, ils peuvent essayer de manipuler la victime afin d'obtenir des informations personnelles et de les utiliser ensuite pour accéder à ses comptes professionnels, à ses médias sociaux et à ses comptes bancaires ou à d'autres informations personnelles.

Les cybercriminels utilisent plusieurs techniques pour s'assurer que leur victime ouvre leur pièce jointe ou clique sur leur lien. Cet article rassemble quelques conseils à suivre pour éviter de tomber dans le piège du phishing. Les principales questions que les collaborateurs doivent se poser sont les suivantes :

•    Est-ce inattendu ?
Vous recevez sans raison un message de ce correspondant ; vous n’avez rien acheté, vous n’avez plus eu de contacts depuis longtemps, etc. C'est une raison valable pour être vigilant et vérifier l'authenticité du message.
•    Est-ce urgent ?
Gardez votre sang-froid ; avez-vous réellement reçu une première sommation de payer ? Connaissez-vous vraiment ce prétendu « ami en difficulté » ?
•    Connaissez-vous l’expéditeur ?
Contrôlez l’adresse e-mail, vérifiez si elle contient des fautes d’orthographe. Mais attention, une adresse e-mail légitime n’offre toujours pas de garanties quant à la véracité de l’e-mail.
•    La question qui vous est posée vous semble-t-elle étrange ?
Une instance officielle ne vous demandera jamais de transmettre par e-mail, SMS ou téléphone votre mot de passe, vos coordonnées bancaires ou vos données personnelles. 
•    Où mène le lien sur lequel on vous incite à cliquer ?
Placez votre curseur sur le lien sans cliquer. Le nom de domaine, c'est-à-dire le mot qui précède .be, .com, .eu, .org et la première barre oblique « / », correspond-il réellement au nom de l’organisation ?
Exemple :
•    Dans le lien www.safeonweb.be/conseils, le domaine est « safeonweb ».
•    Dans le lien www.safeonweb.conseils.be/safeonweb, le domaine est « conseils »  ; ce lien vous dirige vers un site Internet différent.
•    Le message contient-il un code QR ?
Si un code QR est affiché, vérifiez soigneusement à quel site web il renvoie. Lorsque vous scannez le code, vous verrez l'URL. Vérifiez le domaine comme décrit ci-dessus.
•    Est-ce que l’e-mail s’adresse à vous personnellement ?  
Il vaut mieux se méfier des messages dont le titre général est vague ou dont le titre est votre adresse e-mail.
•    Le message contient-il beaucoup de fautes d'orthographe ou de grammaire ?
Même si les cybercriminels malins s’efforcent d’utiliser un langage correct, des fautes ou l’emploi d’une langue étrangère peuvent être le signe d’un message suspect.
•    Le message se trouve-t-il dans votre dossier Spam/Junk/Indésirables ?
Si oui, soyez particulièrement prudents. Vous pouvez marquer vous-mêmes un message suspect comme « Spam » ou « Junk » ou « Indésirable » et avertir ainsi d’autres utilisateurs.
•    Est-ce que quelqu’un essaie d'éveiller votre curiosité ?
En recevant des messages comprenant un lien dont le titre est « Regardez ce que j’ai lu sur vous… » ou « Est-ce bien vous sur cette photo ? », il est naturel d'être curieux. Mais ne tombez surtout pas dans le panneau.
•    On vous demande d'effectuer un paiement ?
Si l'on vous demande d'effectuer un paiement que vous n'attendez pas, soyez toujours prudent. Le numéro de compte est-il le même que celui que vous utilisez habituellement pour payer cette organisation ou cette personne ? Dans le cas contraire, n'effectuez pas le paiement. Les courriels de phishing utilisent souvent des numéros de compte étrangers ou demandent d'effectuer des paiements par le biais d'un cryptowallet. C'est suspect.
Si vous avez un doute sur un paiement, vérifiez d'abord auprès de votre banque ou de l'organisation qui réclame le paiement. N'utilisez pas les coordonnées figurant dans le courrier, mais vérifiez l'info sur le site web de l'organisation.

1.    N'y répondez pas, n'ouvrez pas les pièces jointes et ne cliquez pas sur les liens

La meilleure chose à faire lorsqu'on reçoit un e-mail ou un SMS de phishing est de ne pas y donner suite.

2.    Contactez directement l'expéditeur

Si après tous les conseils ci-dessus, vous ne savez toujours pas s'il s'agit d'un e-mail de phishing ou non, renseignez-vous directement auprès de la personne concernée en la contactant par un autre canal. Si l'expéditeur de l'e-mail est un collègue, un client ou un fournisseur, appelez cette personne pour voir si elle a vraiment besoin de votre aide. S'il s'agit d'une autre organisation, vérifiez son site Internet officiel en écrivant vous-même l'adresse officielle dans la barre de recherche.

3.    Ne communiquez jamais les informations bancaires demandées par SMS ou par mail

Gardez à l'esprit qu'aucune banque n’enverra jamais un lien direct permettant de se connecter à un compte bancaire par SMS ou par e-mail, et qu'elle ne demandera jamais de code PIN ou de code secret, que ce soit par écrit ou par téléphone.

4.    Signalez la tentative de phishing et supprimez l'e-mail ou le SMS.

L'e-mail ou le SMS de phishing doit être signalé au responsable informatique et à l'autorité nationale compétente (suspicious@safeonweb.be (EN); suspect@safeonweb.be (FR); verdacht@safeonweb.be (NL/DE)) et doit être immédiatement supprimé. Si un e-mail arrive dans votre dossier Spam, vous ne devez pas lui faire confiance.

Que faire si l’arnaque a eu lieu ?

1. Signalez immédiatement l'incident à votre responsable IT
2. Prévenez vos collaborateurs, clients et fournisseurs qu'ils pourraient recevoir un message d'une personne se faisant passer pour vous, mais qu'ils ne doivent pas s'y fier.
3. Changez tous les mots de passe qui auraient été enregistrés (le cas échéant) sur tous les comptes utilisés.
4. Si l'escroquerie portait sur des coordonnées bancaires et que vous constatez que de l'argent a été volé sur votre compte, portez plainte auprès de la police.
5. Appelez immédiatement Card Stop au +32 78 170 170 et vérifiez vos relevés de compte. Si vous identifiez une activité suspecte, appelez immédiatement votre banque pour qu'elle puisse vous aider.

Le défacement est une cyberattaque particulière, dans le sens où les cybercriminels ne cherchent généralement pas à voler des informations. Leur objectif initial est la plupart du temps de faire le plus de bruit possible. Ils partagent ainsi leurs opinions ou leurs réflexions via le site Internet piraté ou affichent simplement une page blanche ou noire et des photos ou vidéos de leur choix. Dans les deux cas, le site Internet ne peut plus remplir sa fonction initiale, qu'il s'agisse d'informer ou de fournir des services.

En général, le défacement est le fait de « hacktivistes ». Ces personnes cherchent à promouvoir leurs opinions politiques ou initier un changement social par le biais du piratage ou de toute autre attaque informatique. Leurs cibles sont donc souvent les sites Internet d’autorités gouvernementales ou religieuses. Les hackers ordinaires, qui ne cherchent pas spécifiquement à partager des idées idéologiques, peuvent toutefois également s'adonner au défacement et n’importe quel site Internet est une cible potentielle.

L'assaillant recherche une ou plusieurs failles de sécurité qui lui permettront d'accéder à l'environnement d'une organisation. Une fois dans l’environnement, son objectif sera d'obtenir des privilèges, en termes d'accès, afin d'obtenir les accès d'un compte administrateur et de pouvoir modifier ce qu'il veut et ainsi contrôler ce que les visiteurs du site Internet peuvent voir. En outre, une fois en possession des accès d’un compte administrateur, qui bénéficie de nombreux privilèges, les pirates peuvent accéder à d'autres ressources de l'organisation et lancer d'autres types d'attaques ou de perturbations.

Comme le principal objectif des cybercriminels est ici de faire le plus de bruit possible, les modifications apportées au site Internet ciblé seront bien visibles. C’est là le principal signe d'une attaque par défacement. Cependant, des moyens de détection peuvent être mis en place pour savoir si une intrusion est en cours ou a déjà eu lieu. Surveiller tous les systèmes critiques assurant le fonctionnement d'une organisation est un élément clé pour garantir un bon niveau de protection contre une attaque par défacement. Si une attaque a effectivement lieu, le responsable informatique et son équipe peuvent être prévenus par des alertes qu'ils auront programmées au préalable. En outre, plusieurs outils de surveillance de sites Internet peuvent aider à détecter les modifications du contenu et d'autres types de changements apportés à un site Internet (un assaillant tente de lier le site à des nouveaux domaines, etc.).

Lorsqu'une organisation envisage de mettre en œuvre des outils de surveillance d'un site Internet, elle doit comparer les coûts et les avantages. La plupart du temps, ces outils peuvent surveiller trois aspects : la disponibilité, la vitesse et le contenu. Dans le contexte du défacement, l'accent sera mis sur le contenu. Il n'existe toutefois pas de solution universelle. Le coût global dépendra de l'importance et de la régularité avec lesquelles une organisation souhaite que le contenu de son site Internet soit surveillé. Il sera donc différent pour chaque organisation, en fonction de ses besoins et de ses exigences : si le site Internet représente un élément clé pour mener à bien les opérations quotidiennes ou fournir des services aux clients, il sera préférable d'investir dans des outils de surveillance du site Internet.

1.    Sensibilisez vos collaborateurs au risque de défacement

Vos collaborateurs ne peuvent pas réagir correctement à des événements suspects s'ils ne sont pas conscients des dangers auxquels ils peuvent être confrontés en utilisant les technologies de l'information et de la communication. Chaque organisation doit analyser tous les cyberrisques actuels, décider de comment les atténuer et définir un ensemble de politiques pour communiquer le bon code de conduite. Cependant, toutes ces mesures sont vouées à l'échec si elles ne sont pas communiquées correctement aux collaborateurs et si ceux-ci ne le comprennent pas. Il est donc important de s'assurer que chacun sait comment identifier un défacement et quels sont les processus internes permettant de signaler un incident et d’y remédier.

2.    Sensibilisez les collaborateurs aux arnaques destinées à voler leurs identifiants

Les collaborateurs d'une entreprise forment sa première ligne de défense. Cependant, ils ne peuvent pas adopter les bons réflexes face à une cyberattaque s'ils ne les connaissent pas.
Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Il est donc important d'organiser régulièrement des séances d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.

3.    Activez et configurez un Web Application Firewall (WAF)

Un Web Application Firewall surveille le trafic réseau entrant et sortant afin d'autoriser ou de refuser les communications en fonction de règles de sécurité définies. Il agit comme un contrôleur entre le serveur et le client et, en décryptant le trafic, analyse les demandes d'accès au réseau des utilisateurs. Ainsi, s'il détecte une activité suspecte selon ses règles de configuration, il peut générer des alertes et les envoyer au responsable informatique et à son équipe afin qu'ils puissent décider des actions à entreprendre.

4.    Mettez à jour tous les logiciels, systèmes d'exploitation et navigateurs Internet

Les cybercriminels sont toujours en quête de vulnérabilités à exploiter. Il est donc important de maintenir tous les systèmes à jour, afin de s'assurer que la version la plus récente et la plus sûre est utilisée.

5.    Maintenez à jour tous les composants du serveur Internet

Comme pour tous les systèmes d'information et de technologie, les mises à jour des composants d’un site Internet sont cruciales pour s'assurer que toutes les vulnérabilités connues sont corrigées et que les hackers n'ont aucune chance de les exploiter.

Les composants typiques d'un serveur Internet comprennent :

• Le BIOS/firmware du matériel sur lequel le serveur de l’organisation tourne ;
• Le système d'exploitation du serveur ;
• Le service Internet utilisé (Apache, nginx, IIS, etc.) ;
• Le système de gestion de contenu (Drupal, Joomla, WordPress, etc.) ;
• En option, la couche de virtualisation.

Très peu d'entreprises créent elles-mêmes leur site Internet dans son intégralité. Elles font généralement appel à des tiers qui proposent un grand nombre de plugins et de thèmes. Veillez à les maintenir à jour. Les développeurs des tierces parties sont constamment à la recherche de nouvelles vulnérabilités. Il est donc crucial d'effectuer les mises à jour pour disposer de la version la moins vulnérable des composants utilisés.

6.    Sécurisez l'accès au système de gestion de contenu (CMS) et mettez-le à jour

Comme expliqué précédemment, l'une des mesures importantes à prendre pour sécuriser un système de gestion de contenu est de le maintenir à jour, ainsi que ses plugins. Les cybercriminels sont toujours à la recherche de nouvelles vulnérabilités à exploiter, des correctifs de sécurité sont développés pour remédier à ces vulnérabilités. Il est donc indispensable d'effectuer les mises à jour dès qu'elles sont disponibles.

En outre, un autre moyen de protéger le CMS est de ne jamais utiliser la configuration par défaut des comptes et des mots de passe, et de créer votre propre compte administrateur avec un mot de passe suffisamment fort et en utilisant en outre l'authentification multifacteurs (MFA). L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.

Enfin, un examen régulier de la liste des utilisateurs doit être intégré dans le processus de gestion des accès. Cela s'applique non seulement aux utilisateurs ayant accès au système de gestion de contenu, mais aussi à tous les autres utilisateurs de l'organisation en général. Cette vérification permettra de s’assurer qu'aucun utilisateur test n'est encore actif et qu'aucun utilisateur qui ne devrait pas être là n'a été ajouté.

7.    Implémentez le protocole HTTPS

Le protocole HTTPS est utilisé sur Internet pour sécuriser la communication et le transfert de données sur un réseau informatique. Il s'agit de la version sécurisée du protocole HTTP. Tout comme HTTP, HTTPS est utilisé pour envoyer des données entre un navigateur et un serveur Internet. La différence est que HTTPS crypte les données afin d'augmenter la sécurité du transfert. Grâce au cryptage de tous les échanges entre un navigateur et un serveur Internet, le protocole HTTPS garantit qu'aucune personne extérieure ne peut espionner les communications. En fait, même si un cyberpirate parvient à intercepter les données, comme elles sont cryptées, il ne pourra ni les comprendre ni les utiliser.

8.    Cryptez, sauvegardez et contrôlez l'accès à la base de données

Les données sont l'une des possessions les plus précieuses d'une organisation. C'est pourquoi elles doivent être protégées en conséquence. Il est important de crypter les données au repos (c'est-à-dire lorsqu'elles sont stockées dans une base de données et ne sont pas utilisées) et de contrôler strictement l'accès à cette base de données.

En outre, ces bases de données doivent être sauvegardées pour s'assurer que, même en cas d'incident, toutes les données peuvent être récupérées. Veillez à tester régulièrement ces sauvegardes pour vous assurer qu'elles peuvent toujours être utilisées en cas de besoin, après un incident.

9.    Désactivez la navigation dans les répertoires

La navigation dans les répertoires offre la possibilité aux personnes qui visitent un site Internet d'accéder au contenu du répertoire, c'est-à-dire à l'ensemble des fichiers et des dossiers.
La navigation dans les répertoires doit être désactivée afin que les cyberpirates ne puissent pas trouver les données d’une organisation par hasard, en utilisant simplement des moteurs de recherche. De plus, les fichiers ne doivent pas être stockés dans des emplacements par défaut ou accessibles au public.

Il existe plusieurs étapes à suivre lorsqu'on est confronté à une attaque par défacement :

•    Signaler l'incident au responsable informatique de l'organisation

Vous devez signaler immédiatement tout changement potentiel détecté sur le site Internet au responsable informatique de l'organisation afin qu'il puisse prendre les mesures correctives reprises ci-dessous.

•    Isoler les dispositifs compromis d'Internet et du réseau de l'organisation

Afin d'empêcher l'attaque et ses dommages de s'étendre à l'ensemble du réseau de l'organisation, tous les appareils infectés doivent être déconnectés d'Internet. Cela peut se faire en débranchant le câble Ethernet ou en désactivant directement le Wi-Fi sur les appareils.

•    Rassembler toutes les preuves nécessaires

Le défacement d’un site Internet est un cybercrime qui doit être signalé à la police. Plusieurs éléments peuvent être rassemblés pour compléter le dossier en vue de déposer plainte : captures d'écran du site Internet attaqué, captures d'écran de tout le contenu inhabituel affiché sur les appareils et enregistrements des historiques du pare-feu et des serveurs.

•    Signaler l’incident à la police et déposer plainte

Une attaque par défacement est punissable par la loi et doit être signalée aux autorités pour leur permettre d'enquêter sur les responsables et les empêcher d'exécuter d'autres attaques.

•    Faire une copie de tous les appareils compromis

Si possible, tous les appareils infectés doivent être copiés sur un support physique pour faciliter l’enquête.

•    Dresser l'inventaire de toutes les informations sensibles consultées ou volées

Cela permet d'évaluer l'ampleur de l'attaque et d'anticiper ce que le hacker pourrait utiliser à l'avenir pour lancer d'autres attaques.

•    Identifier toutes les vulnérabilités qui ont été utilisées pour obtenir l'accès et y remédier.

En déterminant exactement comment l'assaillant a pu accéder à une ressource, les mesures correctives nécessaires peuvent être prises pour s'assurer que cette vulnérabilité ne pourra plus être utilisée pour d'autres attaques. Il peut s'agir, par exemple, d'installer un correctif de sécurité ou de changer un mot de passe compromis.

•    Informer le fournisseur du site Internet

La plupart des organisations ne développent pas leur site Internet en interne. Lorsque l’organisation a fait appel à un fournisseur externe, celui-ci doit être contacté et informé de l'incident afin qu'il puisse également prendre les mesures nécessaires pour y remédier.

•    Si nécessaire, contacter des spécialistes officiels de la sécurité externe

Toutes les organisations ne disposent pas de ressources suffisantes pour remédier efficacement à un cyberincident. Plusieurs spécialistes de la sécurité peuvent être engagés pour vous aider à résoudre l'incident. Ces spécialistes ne peuvent provenir que d'organisations officielles, telles que des sociétés de conseil connues, afin d'éviter d'engager un escroc.

Lorsqu'un cybercriminel pirate un site Internet, son objectif principal est d'obtenir un accès non autorisé à sa configuration et à ses données. Ensuite, il utilisera ces mêmes données à des fins malveillantes, ce qui lui permettra de gagner de l’argent. En étant disponible 24 heures sur 24 et 7 jours sur 7, un site Internet constitue une cible de choix pour les cybercriminels. Plusieurs raisons peuvent les pousser à vouloir accéder à un site Internet et en prendre le contrôle :

• Utiliser le site Internet comme point de départ d'autres attaques (infecter les appareils des personnes qui visitent le site Internet, etc.)
• Accéder à des données sensibles provenant de paniers d'achats, de formulaires de soumission, de pages de connexion, etc.
• Utiliser la bande passante du site Internet (en d’autres termes le serveur) pour des activités criminelles (comme distribuer des produits illégaux)
• Publier des contenus illégaux (par exemple, des discours haineux)
• Modifier l'ordre d'apparition d'un site Internet dans un moteur de recherche en associant le site Internet à des mots-clés spécifiques
• Mener des tentatives de phishing en redirigeant les visiteurs vers un site de phishing, afin de voler leurs informations confidentielles.

Les cyberpirates recherchent une ou plusieurs failles de sécurité qui leur permettront d'accéder à l'environnement d'une organisation. Une fois dans cet environnement, leur objectif sera d'obtenir des privilèges d'accès afin de parvenir à gérer un compte administrateur et de pouvoir modifier ce qu'ils veulent pour ainsi contrôler ce que les visiteurs du site Internet voient. En outre, une fois qu’ils disposent d’un compte administrateur, ils disposent de privilèges élevés et sont en mesure d’accéder à d'autres ressources de l'organisation et de lancer d'autres types d'attaques ou de perturbations.

L'une des première choses à faire est de naviguer sur votre propre site Internet comme si vous étiez un utilisateur externe. Si vous constatez des changements suspects, voire une modification complète de la page Internet qui n'a pas été effectuée par votre équipe de marketing ou de développement, c'est une première indication que le site Internet est compromis.

En outre, il est possible d’installer des moyens de détection pour identifier si une intrusion est en cours ou a déjà eu lieu. Surveiller tous les systèmes critiques qui assurent le fonctionnement d'une organisation est essentiel si l’on entend garantir un niveau de protection élevé contre le piratage d'un site Internet. En cas d’intrusion, le responsable informatique et son équipe peuvent être prévenus par des alertes qu'ils auront préalablement mises en place. En outre, il existe plusieurs outils de surveillance de sites Internet qui peuvent aider à détecter les modifications du contenu et d'autres types de changements apportés à un site Internet, par exemple lorsqu’un cyberpirate tente de relier le site à de nouveaux domaines.

Lorsqu'une organisation envisage de mettre en place des outils de surveillance d'un site Internet, elle doit en évaluer les coûts par rapport aux avantages. La plupart du temps, ces outils peuvent surveiller trois aspects : la disponibilité, la vitesse et le contenu. Cependant, il n'existe pas de solution universelle. Le coût global dépendra de l'importance et de la régularité avec lesquelles une organisation souhaite surveiller le contenu de son site Internet. Il sera donc différent pour chaque organisation, en fonction de ses besoins et de ses exigences : si le site Internet représente un élément clé pour mener à bien les opérations quotidiennes ou fournir des services aux clients, il sera préférable d'investir dans des outils de surveillance du site Internet.

1.    Sensibilisez les collaborateurs au risque de défacement d'un site Internet

Vos collaborateurs ne peuvent pas réagir correctement à des événements suspects s'ils ne sont pas conscients des dangers auxquels ils peuvent être confrontés en utilisant les technologies de l'information et de la communication. Il est important que chaque organisation analyse tous les cyberrisques modernes, évalue comment les atténuer et définisse un ensemble de règles attestant d’une bonne pratique. Cependant, toutes ces mesures sont vouées à l'échec si elles ne sont pas communiquées correctement aux collaborateurs et qu'ils ne les comprennent pas. Il est donc primordial de s'assurer que tout le monde sache comment identifier une attaque de piratage d’un site Internet et connaisse les processus internes pour notifier un incident et y remédier.

2.    Sensibilisez les collaborateurs aux arnaques destinées à leur voler leurs identifiants

Les collaborateurs d'une entreprise forment sa première ligne de défense. Cependant, s’ils sont confrontés à une cyberarnaque, ils ne sont pas en mesure d’adopter les bons réflexes s'ils ne les connaissent pas.

Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Il est donc important d'organiser régulièrement des séances d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.

3.    Sécurisez le serveur hôte

En utilisant une approche de « défense en profondeur », il est possible de protéger le site Internet en mettant en place des méthodes indépendantes pour sécuriser le logiciel et le matériel du serveur mais aussi l’infrastructure hôte. Parmi ces méthodes citons par exemple un pare-feu, une application pare-feu, un anti-virus, etc. qui, combinées, protègent le serveur contre des cybermenaces répandues (malware, DDoS, etc.). Si le site Internet hôte est externalisé, veillez à ce que le fournisseur mette en place suffisamment de contrôles de sécurité pour assurer sa protection.

4.    Activez et configurez un Web Application Firewall

Une méthode spécifique de protection à inclure dans l'approche de défense en profondeur consiste à mettre en place un WAF. Ce pare-feu surveille le trafic entrant et sortant d'un réseau afin d’autoriser ou de refuser des communications, en fonction de règles de sécurité prédéfinies. Le WAF agit comme un contrôleur entre le serveur et le client et, en décryptant le trafic, analyse les demandes d'accès au réseau des utilisateurs. Ainsi, s'il détecte une activité suspecte selon ses règles de configuration, il peut générer des alertes et les envoyer au responsable informatique et à son équipe, qui décideront des actions à entreprendre.

5.    Configurez et sécurisez le serveur en fonction de vos besoins

Seuls les services nécessaires au serveur doivent être configurés, tout le reste doit être interdit pour éviter les points d'accès inutilisés et potentiellement dangereux. Des règles spécifiques peuvent également être mises en place, comme le filtrage des adresses IP ou l'interdiction de certains formats de fichiers. Enfin, tous les services et fonctionnalités inutilisés doivent être désactivés ou limités, afin de réduire le risque de piratage.

6.    Mettez à jour tous les logiciels, systèmes d’exploitation et navigateurs Internet

Les cybercriminels sont constamment à la recherche de vulnérabilités ; il est dès lors important de maintenir tous les systèmes à jour. Ceci, afin d’en utiliser la dernière version et la plus sécurisée.

7.    Maintenez à jour tous les composants du serveur Internet

Comme pour tous les systèmes d'information et de technologie, les mises à jour des composants du serveur Internet sont cruciales pour s'assurer que toutes les vulnérabilités connues sont corrigées et que les cybercriminels n'ont aucune chance de les exploiter.

Les composants typiques d'un serveur Internet comprennent :

• Le BIOS/firmware du matériel sur lequel le serveur tourne ;
• Le système d'exploitation du serveur ;
• Le service Internet utilisé (Apache, nginx, IIS, etc.) ;
• Le système de gestion de contenu (Drupal, Joomla, WordPress, etc.) ;
• En option, la couche de virtualisation.

Très peu d'organisations créent elles-mêmes leur site Internet dans son intégralité. Elles font généralement appel à des tiers qui proposent un grand nombre de plugins et de thèmes. Veillez à les maintenir à jour. Les développeurs de ces tierces parties sont constamment à la recherche de nouvelles vulnérabilités ; il est donc crucial d'effectuer les mises à jour pour disposer de la version la moins vulnérable des composants utilisés.

8.    Cryptez, sauvegardez et contrôlez l’accès à la base de données

Les données sont l'une des possessions les plus précieuses d'une organisation. C'est pourquoi elles doivent être protégées en conséquence. Il est important de crypter les données au repos (c'est-à-dire lorsqu'elles sont stockées dans la base de données) et de contrôler strictement l'accès à la base de données.
En outre, ces bases de données doivent être sauvegardées pour s'assurer que, même en cas d'incident, toutes les données importantes peuvent être récupérées. Veillez à tester régulièrement ces sauvegardes pour vous assurer qu'elles peuvent toujours être utilisées en cas de besoin, après un incident.

9.    Implémentez le protocole HTTPS

Le protocole HTTPS est utilisé sur Internet pour sécuriser la communication et le transfert de données sur un réseau informatique. Il s'agit de la version sécurisée du protocole HTTP.  Tout comme HTTP, HTTPS est utilisé pour envoyer des données entre un navigateur et un serveur Internet. La différence est que HTTPS crypte les données afin d'augmenter la sécurité du transfert. Grâce au cryptage de tous les échanges entre un navigateur et un serveur Internet, le protocole HTTPS garantit qu'aucune personne extérieure ne peut espionner les communications. En fait, même si un cyberpirate parvient à intercepter les données, comme elles sont cryptées, il ne pourra ni les comprendre ni les utiliser.

10.    Sécurisez l’accès au système de gestion du contenu et gardez-le à jour

Comme dit plus haut, si l’on entend sécuriser le système de gestion du contenu, il est primordial de le maintenir à jour ainsi que ses plugins. Les cybercriminels sont toujours à la recherche de nouvelles vulnérabilités à exploiter, mais des correctifs permettent d’y remédier. Il est donc indispensable d'effectuer les mises à jour dès qu'elles sont disponibles.

En outre, un autre moyen de protéger le Content Management System est de ne jamais utiliser la configuration par défaut des comptes et des mots de passe, et de créer votre propre compte d'administrateur avec un mot de passe suffisamment fort et en utilisant en outre l'authentification multifacteurs(MFA). L'authentification multifactorielle exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.

Enfin, un examen régulier de la liste des utilisateurs doit être intégré dans le processus de gestion des accès. Ceci vaut pour tant pour les utilisateurs qui ont accès au CMS que pour les autres utilisateurs au sein de l’organisation. Cette vérification permet à l’organisation de s’assurer qu'aucun utilisateur test n'est encore actif et qu'aucun utilisateur qui ne devrait pas être là n'a été ajouté.

11.    Désactivez la navigation dans les répertoires

La navigation dans les répertoires offre la possibilité aux personnes qui visitent un site Internet d'accéder au contenu du répertoire, c'est-à-dire à l'ensemble des fichiers et des dossiers. La navigation dans les répertoires doit être désactivée afin que les cyberpirates ne puissent pas trouver les données par hasard, en utilisant simplement des moteurs de recherche. En outre, les fichiers ne doivent pas être sauvés dans des emplacements par défaut ou accessibles au public.

12.    Mettez en place des processus entourant la gestion du contrôle de l’accès et le provisionnement des utilisateurs

Il est très fréquent que les cybercriminels utilisent un compte existant pour accéder aux ressources d'une organisation. Il est ainsi indispensable de gérer correctement le contrôle de l’accès et que celui-ci soit bien ancré au sein de l’organisation. Appliquez le principe de base selon lequel les utilisateurs doivent avoir accès au moins d’informations possible et uniquement à celles dont ils ont besoin dans le cadre de leur travail. Ce doit toujours être le cas et il n’est pas nécessaire de leur donner des droits supplémentaires « au cas où ».
En outre, un processus de provisionnement des accès utilisateur doit être mis en place. Ce processus définit la procédure à suivre pour supprimer ou modifier l'accès accordé à un employé lorsqu'il change de poste ou quitte l'organisation. Aucune organisation n’est à l’abri d’une attaque d’initié, même si les anciens collaborateurs ont toujours été loyaux. Leur sentiment envers l'organisation peut changer s'ils ne sont pas partis de leur plein gré.

13.    Auditez le site Internet à la recherche des vulnérabilités les plus courantes

Tester un site Internet à la recherche des vulnérabilités les plus courantes est un excellent moyen de déterminer si le site peut être mis en ligne ou non, du point de vue de la sécurité. En identifiant les vulnérabilités restantes, vous serez en mesure d’y remédier sans faire de dégâts et avant qu’un cybercriminel ne les utilise et ne cause de réels dommages. Les experts en sécurité peuvent vous aider en effectuant par exemple des tests et des audits de pénétration pour évaluer le niveau de sécurité du site Internet.

14.    Utilisez des mots de passe forts et l’authentification multifacteurs

Les utilisateurs ont tendance à choisir des mots de passe faibles, mais plus faciles à retenir. Cependant, un mot de passe facile à retenir est aussi facile à pirater. Il est donc important de n'autoriser que l'utilisation de mots de passe forts, combinant majuscules et minuscules, chiffres et symboles. En outre, utiliser l’authentification multifacteurs ajoute une couche de protection aux comptes.

Il y a plusieurs étapes à suivre lorsqu'on est confronté à un piratage de site Internet :

1.    Signalez l'incident au responsable informatique de l'organisation

Dès qu'un changement inhabituel est suspecté sur le site Internet, il doit être signalé immédiatement au responsable informatique de l'organisation afin qu'il puisse prendre les mesures correctives qui s’imposent.

2.    Isolez les dispositifs compromis d'Internet et du réseau de l'organisation

Afin de juguler l'attaque et d’éviter qu’elle ne fasse tache d'huile sur l'ensemble du réseau de l'entreprise, tous les appareils infectés doivent être débranchés d'Internet. Une solution est de retirer le câble Ethernet ou de désactiver directement le Wi-Fi sur les appareils.

3.    Rassemblez toutes les preuves nécessaires

Le piratage d'un site Internet est un cybercrime qui doit être signalé à la police. Avant de déposer une plainte, il convient de rassembler plusieurs éléments pour compléter le dossier : des captures d'écran du site Internet attaqué, des captures d'écran de toute activité inhabituelle sur les appareils et les enregistrements des logs du pare-feu et des serveurs.

4.    Signalez l'incident à la police et déposez plainte

Le piratage d'un site Internet est puni par la loi et doit être signalé aux autorités pour leur permettre d'enquêter sur les responsables et les empêcher de perpétrer d'autres attaques.

5.    Faites une copie de tous les appareils compromis

Si possible, tous les appareils infectés doivent être copiés sur un support physique pour faciliter l’enquête.

6.    Faites l'inventaire de toutes les informations sensibles consultées ou volées

Cela permet d'évaluer l'ampleur de l'attaque et d'anticiper ce que le pirate pourrait utiliser à l'avenir pour lancer d'autres attaques.

7.    Identifiez et corrigez toutes les vulnérabilités utilisées pour l’attaque

En déterminant exactement comment le cyberpirate a eu accès à une ressource, il est possible de prendre les mesures correctives nécessaires pour s'assurer que cette vulnérabilité ne sera plus utilisée pour d'autres attaques. Ces mesures peuvent par exemple consister en l’installation d’un correctif de sécurité ou en la modification d’un mot de passe compromis.

8.    Informez le fournisseur du site Internet

La plupart des organisations ne développent pas leur site Internet en interne. Lorsqu'un fournisseur externe est impliqué, il doit être contacté et informé de l'incident afin qu'il puisse aussi prendre les mesures nécessaires pour y remédier.  

9.    Si nécessaire, contactez des spécialistes officiels de la sécurité externe

Toutes les organisations ne disposent pas de ressources suffisantes pour remédier efficacement à un cyberincident. Plusieurs spécialistes de la sécurité peuvent être engagés pour vous aider à résoudre l'incident. Ces spécialistes ne peuvent provenir que d'organisations officielles, telles que des sociétés de consultance connues, afin d'éviter d'engager un escroc.