En cas d'attaque par ransomware, vous pouvez adopter plusieurs mesures afin de gérer efficacement l'incident. Ce document vous fournit davantage d'informations sur la manière de répondre à l'incident et de contribuer à sa prévention à l'avenir.

PRÉVENIR

Pour éviter les attaques de ransomware, prenez les mesures préventives suivantes

1. Utilisez l'authentification multifactorielle

  • Utilisez l'authentification multifactorielle chaque fois que possible. Utilisez toujours l'authentification multifactorielle pour l'accès à distance. 
  • La plupart des outils d'authentification multifactorielle combinent votre mot de passe avec des éléments que vous possédez (smartphone, badge, carte d'identité) ou que vous êtes (empreinte digitale). L'utilisation d'éléments multiples pour l'authentification réduit le risque de piratage. Voyez comment procéder ici. 
  • Le MFA est indispensable pour vos comptes, il fournit une couche de sécurité supplémentaire et constitue l'une des meilleures défenses que vous puissiez avoir.

2. Veillez à la mise à jour de vos systèmes

  • Maintenez vos systèmes d'exploitation, vos logiciels et vos solutions de sécurité à jour afin d’atténuer leur vulnérabilité aux attaques. Pour ce faire, appliquez régulièrement des correctifs et recherchez d'éventuelles failles. Votre fournisseur IT peut et doit être tenu responsable de la mise à jour de vos systèmes. Même si un système entièrement corrigé n'est pas étanche, il peut faire la différence et vous inviter un incident.
  • La plupart des logiciels utilisés par les entreprises sont régulièrement mis à jour par leur créateur. Ces mises à jour peuvent inclure des correctifs destinés à améliorer la protection du logiciel contre de nouvelles menaces.  
    Chaque entreprise devrait désigner un employé responsable de la mise à jour des logiciels. En réduisant le nombre de personnes impliquées dans la mise à jour du système, nous réduisons le nombre de vecteurs d'attaque potentiels pour les cybercriminels.  
    Les mises à jour mensuelles sont indispensables et une approche par étapes (phase de test puis mise en production) est une bonne chose à mettre en place.  
  • Vous devez également disposer d'un inventaire de vos actifs : une vision claire de ce qui existe sur votre réseau.

Enregistrez votre organisation sur Safeonweb@work pour recevoir des alertes et des rapports de vulnérabilité.

3. Faites des sauvegardes

  • Les sauvegardes sont essentielles pour récupérer les fichiers après un incident impliquant un ransomware. La sauvegarde de tous les fichiers et systèmes vitaux est l'une des meilleures défenses contre les ransomwares. Si vous devez décider du nombre de sauvegardes potentiellement réalisables, évaluez quelles sont les informations les plus critiques pour votre entreprise.
  • Toutes les données peuvent être récupérées jusqu'à la dernière sauvegarde. Les fichiers de sauvegarde doivent être testés pour s'assurer que les données sont complètes et non corrompues. Cette analyse est essentielle !
  • Appliquez la règle des 3 pour 1 : 2 supports différents sur le site et 1 sur un autre site. L'une de ces copies de sauvegarde doit être la copie "hors ligne".
  • Limitez le nombre d'utilisateurs qui peuvent accéder à votre sauvegarde. Moins il y en a, plus il y en a, mieux c'est.

4. Formez vos collaborateurs

  • Formez vos collaborateurs afin qu’ils puissent reconnaître le phishing et éviter ainsi les mails et liens suspects, entre autres. Ces mails ouvrent souvent la voie à la compromission de votre organisation. 
    Pour plus d’informations sur le sujet, rendez-vous sur safeonweb.be.
  • Mettez en place un programme de formation et de sensibilisation à la cybersécurité de qualité.  
    Effectuez régulièrement des tests d'hameçonnage et sensibilisez les utilisateurs. Formez les utilisateurs à l'importance de ne pas cliquer sur tout et n'importe quoi et à la manière de reconnaître les spams et les courriels d'hameçonnage.  
    Formez votre personnel informatique de manière continue.

5. Gestion des droits

  • Limitez les droits d'administration et les partages. 
  • Suivi approprié des informations d'identification : chaque employé, sous-traitant et accès aux systèmes constitue un point de vulnérabilité potentiel pour les acteurs malveillants. Les changements de personnel, l'absence de mise à jour des mots de passe et les restrictions inappropriées sont autant de vecteurs potentiels qu'un acteur malveillant peut utiliser pour compromettre un système informatique. 
  • Autorisez le système d'exploitation à afficher les extensions de fichiers. 
  • Désactivez la fonction AutoPlay. 
  • Bloquez le stockage USB. 
  • Installez un logiciel de blocage des publicités sur le périmètre du réseau.
Image
binary-2450153_1920.jpg

RÉPONDRE

Pour vous aider à répondre à une attaque de ransomware en cours, utilisez les mesures suivantes

Consultez notre guide Comment répondre à une attaque par ransomware en 12 étapes

1. Déterminez et confirmez l'ampleur de l'attaque par ransomware

La restauration des systèmes n'est PAS la première étape de votre réponse. Évaluez d’abord l'ampleur de l'attaque par ransomware en vous concentrant sur ce qui a été crypté et/ou potentiellement volé par l'intrus. La réponse à cette question sera l’élément central de votre intervention. Tentez de documenter les données qui se trouvaient sur les machines cryptées et recherchez les données qui ont pu être volées.

2. Isolez autant que possible les appareils touchés afin d'éviter toute propagation

Lorsqu'un ransomware sévit, il est essentiel d'isoler autant que possible les appareils touchés afin d'éviter toute propagation. Partez du principe que les assaillants étaient déjà profondément implantés dans votre environnement avant que l'attaque par ransomware ne se produise.

Commencez par isoler les appareils infectés et retirez-les du réseau. Débranchez les câbles réseau et interrompez les connexions réseau (y compris les réseaux Wi-Fi). Si votre réseau le permet et s'il est correctement segmenté, vous pouvez également déconnecter le segment de réseau infecté.

  • N'éteignez PAS les appareils infectés et évitez d'arrêter les systèmes. Il se peut que des logiciels malveillants installés ne soient pas activés. Le fait de disposer d'un système en état de marche peut également s'avérer utile pour demander l'aide d'une société de gestion des incidents afin de mener des enquêtes.
  • Ne lancez pas les opérations de restauration tant que l'étendue de l'attaque n'est pas connue, c'est-à-dire la méthode utilisée, le moment de l’attaque et les systèmes touchés.

3. Évaluez l'intégrité de vos sauvegardes

Vérifiez que les assaillants n'ont pas également compromis l'intégrité de votre système de sauvegarde. Vous devez avoir la confirmation que les sauvegardes n'ont pas été compromises ou consultées avant de les utiliser pour restaurer votre environnement.

4. Lancez votre réponse à l’incident

  • Si vous disposez d'un service IT interne, ce dernier peut entamer ses activités de résolution du problème. Dans le cas contraire, faites appel à une équipe professionnelle de gestion des incidents pour vous aider à évaluer l'étendue des dégâts.
  • Vu les coûts élevés générés par l’intervention d’une telle équipe, vérifiez si votre contrat d'assurance couvre la réponse aux incidents.
  • Le Centre pour la cybersécurité Belgique (CCB) déconseille fortement le paiement d'une rançon.
  • Dans certaines situations, le paiement semble être l’ultime et unique option. N'oubliez pas que les assaillants sont plus que probablement guidés par l’appât du gain. Ils évalueront toutes les possibilités d'extorquer toujours plus d'argent à votre organisation.
  • Soyez prudent lorsque vous interagissez avec l’assaillant : faire appel à un négociateur professionnel n'est pas une solution miracle. Rappelez-vous qu'il n'y a aucune garantie que les clés de décryptage vous seront fournies après paiement.

5. Informez les autorités

Déposez plainte auprès de votre service de police local, et informez l'autorité chargée de la protection des données si vous soupçonnez que des données ont été volées. La loi impose que toute perte éventuelle de données à caractère personnel soit signalée et cette démarche doit être effectuée en priorité.