Ransomware

Un ransomware ou « logiciel de rançon » est un logiciel malveillant (« malware ») que les cybercriminels peuvent installer sur l’appareil d’une organisation par de nombreux moyens, comme en demandant à la victime de télécharger un virus ou de cliquer sur un lien qui ouvre une annexe infectée (phishing). Une fois le ransomware installé avec succès, les cybercriminels cryptent les informations/systèmes d’informations pour bloquer tous les accès de l’organisation et demandent une certaine somme pour restituer ces accès. L’organisation n’a ainsi plus aucune emprise sur ses ordinateurs et ne sais plus effectuer aucune opération. En plus de rendre les informations inaccessibles, les cybercriminels peuvent aussi menacer l’organisation de rendre toutes ses données publiques, causant d’importants problèmes, d’autant plus si l’organisation gère des informations sensibles.

L’objectif des cybercriminels lorsqu’ils installent un ransomware sur un appareil est d’obtenir quelque chose en échange, en général de l’argent. À cette fin, ils montreront clairement qu’ils ont pris le contrôle et veulent quelque chose en échange, souvent en affichant un message univoque sur l’écran de l’appareil infecté.

En général, les cybercriminels évaluent les efforts qu'ils devront fournir pour installer le ransomware au regard des bénéfices. Il est dès lors primordial de s’assurer que les protections implémentées compliquent un maximum la tâche des cybercriminels. Plusieurs types de contrôle peuvent être mis en œuvre :

1.    Mettez vos appareils et logiciels à jour dès que possible

Il suffit d'une seule vulnérabilité dans un système, une application ou un appareil pour que les cybercriminels s'en emparent pour causer des dommages et accéder à des informations. Il est donc crucial d'installer les mises à jour dès qu'elles sont disponibles. Cela garantit la solidité de votre cyberdéfense et permet de s'assurer que la version du système utilisée est toujours prise en charge par le fournisseur.

2.    Sécurisez l'accès à vos comptes

Les comptes sont une porte d'entrée vers l'ensemble de l'environnement d'une organisation. Ils doivent donc être protégés par des mots de passe forts, différents pour chaque compte. Un mot de passe fort comporte au moins douze caractères et une combinaison de majuscules et de minuscules, de chiffres et de symboles. L'authentification multifacteurs doit être activée dans la mesure du possible, en complément de mots de passe forts. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.  

3.    Protégez vos appareils à l’aide d’antivirus et de pare-feux locaux

Un virus peut infecter un appareil de plusieurs façons : lors de l’ouverture d'une pièce jointe, d’un clic sur un lien, du branchement d'une clé USB ou d’une simple navigation sur un site Internet. Un virus est un logiciel malveillant qui vise à endommager les ressources, à supprimer des fichiers, à ralentir les performances ou à voler des informations confidentielles. Une fois qu'un virus a infecté votre ordinateur, il faudra du temps, des efforts et des moyens financiers pour le supprimer. C'est pourquoi il est préférable de protéger tous les appareils autorisés à se connecter au réseau de l'organisation avec un logiciel antivirus dès le départ.

Il est également conseillé d'installer un pare-feu pour surveiller et filtrer les demandes d'accès au réseau de l'entreprise sur la base de règles de sécurité prédéfinies. Le pare-feu agit comme un mur entre le réseau de l'entreprise et un réseau non fiable (réseau domestique, Internet, etc.). Il permet à l'organisation de limiter l'accès externe aux seules personnes autorisées.

4.    Sensibilisez les collaborateurs aux arnaques destinées à leur voler des informations confidentielles

Les collaborateurs d'une entreprise forment sa première ligne de défense. Vos collaborateurs doivent être capables d’identifier les arnaques et les faux messages afin d'adopter les bons réflexes. Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Les e-mails de phishing font partie des arnaques les plus fréquentes. Les cybercriminels tentent ici de convaincre leur victime de partager ses mots de passe ou ses informations confidentielles. Il est donc important d'organiser régulièrement des sessions d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.

5.    N'utilisez que des sites et des plateformes officiels pour télécharger des applications et des logiciels

Les applications et les logiciels piratés sont généralement infectés par des logiciels malveillants. Essayez donc d'installer et de télécharger uniquement des applications et des logiciels officiels, via les plateformes et les sites Internet officiels des vendeurs.

6.    Limitez les actions pouvant être exécutées avec un compte administrateur

Limitez le nombre de comptes d’administrateur ou privilégiés au strict minimum. Personne ne devrait disposer de droits d’administrateur pour les tâches quotidiennes. Si chacun dispose de droits d’administrateur, les cybercriminels pourront plus facilement prendre le contrôle de l'appareil ou installer un logiciel malveillant.

7.    Réalisez régulièrement des copies de sauvegarde de vos ressources critiques

Sauvegardez tous les systèmes, applications, serveurs et données pour vous assurer que, même en cas d'incident, toutes les informations importantes pourront être récupérées. Veillez à tester régulièrement ces sauvegardes pour vous assurer qu'elles peuvent toujours être utilisées en cas de besoin, après un incident.

8.    Contrôlez l'installation de logiciels sur les appareils de l'entreprise en établissant une liste des logiciels autorisés

Un collaborateur à la recherche d'un logiciel spécifique et n'ayant que peu ou pas de connaissances en cybersécurité aura moins tendance à vérifier ce qu'il trouve sur Internet. Il est donc primordial de s'assurer que le responsable informatique ait marqué son accord concernant la sécurité et les performances de tous les logiciels téléchargés. En outre, le responsable informatique peut établir une liste blanche, c’est-à-dire une liste de logiciels que les collaborateurs sont autorisés à installer sur leurs appareils professionnels.

1. Signalez immédiatement l'incident à votre responsable IT.
2. Isolez du réseau les ressources infectées afin d’éviter que le logiciel malveillant ne fasse tache d’huile.
3. Ne payez pas la rançon.
4. Mettez en place un canal de communication distinct.
5. Convoquez une équipe de gestion de crise.
6. Prévenez immédiatement la police locale.
7. Collectez toutes les informations nécessaires : le type ou le support de données, le système d’exploitation, le mode d’infection, le nom du ransomware, le moyen de paiement et, si possible, des captures d’écran de tous les systèmes infectés.
8. Changez tous les mots de passe qui auraient été enregistrés (le cas échéant) sur tous les comptes utilisés.
9. Analysez votre appareil à l’aide d'un antivirus.
10. Identifiez toutes les vulnérabilités utilisées pour accéder au réseau et remédiez-y le plus rapidement possible.
11. Essayez de décrypter les dossiers cryptés s’il y a une solution (le site Accueil | The No More Ransom Project donne des solutions de décryptage qui peuvent s’avérer utiles).
12. Si nécessaire, contactez des spécialistes (externes) officiels en sécurité pour qu'ils vous aident à récupérer vos ressources en ayant recours au décryptage.