Ransomware : comment s'en protéger efficacement ?
Rien qu'au cours de l'année 2021, 203 attaques par ransomware ont été traitées par l'ANSSI. Cette menace est bien connue des organisations, mais est-elle réellement comprise ?
Outre le paiement de la rançon (si l’entreprise s’exécute), il faut également faire face aux coûts qu’implique un rançongiciel. Arrêt et reprise de l’activité, temps consacré à l’identification de la faille, perte de confiance des clients et partenaires… autant de conséquences directes auxquelles toute entreprise doit faire face.
Depuis 2011, les attaques de type rançongiciel connaissent une croissance exponentielle. Une récente étude d'Anozr Way a pu recenser plus de 200% de victimes supplémentaires dans le monde entre août et novembre 2021… et il est estimé que ce triste record pourrait être doublé en 2022.
Rançongiciels Locker ou Crypto : une même volonté
Virus, scareware (faux logiciel de sécurité), spyware (logiciel espion) ou encore cheval de Troie… de nombreux malwares menacent les entreprises. Cependant, le ransomware demeure l’un des plus pernicieux - et la menace la plus violente pour les victimes.
Le ransomware est une technique d’attaque utilisée par les cybercriminels. Cette technique consiste à utiliser sur le système d'information d'une victime un logiciel malveillant capable de chiffrer l’ensemble de ses données ou de paralyser les fonctionnalités matérielles de ses infrastructures, pour engager une demande de rançon en échange de la clé de déchiffrement. En effet, deux types de ransomware peuvent être rencontrés lors d’une attaque. Le ransomware locker permet aux attaquants d’infecter l’ordinateur en tant que matériel. Certaines fonctionnalités motrices sont alors impactées - comme le clavier, la souris, etc. Tandis que le ransomware crypto procède, lui, au chiffrement de fichiers individuels. Ces deux catégories sont générales et se divisent, elles-mêmes, en plusieurs sous-catégories.
Cette intrusion malveillante dans le système d’information peut coûter chère à la victime - sans parler du paiement de la rançon en lui-même - car l’extraction de données, comme la paralysie de l’activité, implique un risque financier massif.
Les dangers d’une attaque par ransomware
Lorsqu’une organisation fait face à une attaque par ransomware, les conséquences ne sont pas toutes immédiates.
La perturbation, voire l’arrêt de l’activité, est - bien évidemment - le premier danger, s’accompagnant de la demande de paiement de la rançon. De fait, d’après une récente étude, les victimes perdent - en moyenne - 27% de leurs chiffres d’affaires annuels lors d’une cyberattaque réussie. JBS - par exemple, le plus gros producteur de viande au monde, a subi - en juin dernier - une attaque provoquant d'importantes perturbations. Avec plus de 400 usines de production réparties à travers le monde, l’impact sur l’activité aurait pu être massif. JBS s’est donc résolu à payer la rançon demandée, de 11 millions de dollars, et à assumer les pertes financières liées à l’arrêt de l’activité.
Mais les cyberattaques font souvent l’objet d’une médiatisation importante. Garmin en a d’ailleurs fait les frais, en juillet 2020. L’entreprise fut contrainte de couper l’accès à l’ensemble de ses services après une attaque par ransomware menée par le groupe cybercriminel Evil Corp (et leur ransomware WastedLocker). La décision de Garmin de payer près de 10 millions de dollars fut largement rendue publique, et la réputation de l’entreprise dès lors ternie. De fait, une organisation victime d’attaque par ransomware compromet près de 5 500 personnes (comptant les collaborateurs, clients et patients).
Et ces frais ne s’arrêtent malheureusement pas là ! Le Règlement Général sur la Protection des Données (RGPD) impose entre autres aux entreprises concernées de signaler toute cyberattaque aux autorités compétentes, soit l’ANSSI en France. En retour, celle-ci peut être amenée à enquêter sur les protocoles et processus de sécurité de l’entreprise attaquée. Si celle-ci présente des défaillances majeures, elle peut alors être confrontée à des pénalités financières, administratives et légales.
Protéger ses données et infrastructures sensibles
Pour protéger efficacement ses systèmes d’informations contre des attaques par ransomwares, il est indispensable - pour toute organisation - d’établir une véritable stratégie. Dans un premier temps, prévenir est la clé. Les équipes en charge de la sécurité des SI se doivent de réaliser des simulations de phishing pour identifier les failles de sécurité et pratiques vulnérables des utilisateurs - afin de les y sensibiliser ; sans oublier d’auditer régulièrement leur SI. Suite à cela, une phase de détection est lancée. L’entreprise doit s’équiper, entre autres et sans viser l'exhaustivité, d'une solution antivirale EDR (Endpoint Detection and Response), d’un SOC (Security Operation Center) et établir ainsi un process antiviral complet contre les menaces informatiques. Effectivement, les équipes spécialisées doivent être, ici, capables d’anticiper les divers risques d’attaques par ransomwares. La réalisation d’une cartographie des risques, ainsi que de sauvegardes fiables et régulières, permet de limiter l’impact de telles attaques.
Ces premières phases permettent ainsi de réaliser, plus sereinement, la suite des opérations. Mais le risque zéro n’existe pas. Il est donc nécessaire d’imaginer le pire, pour qu’il ne se produise pas. Mettre en place les conditions de maintien, continuité et reprise de l’activité - en cas d’attaque réussie - permet à l’entreprise de limiter les coûts d’arrêt d’activité, et d’agir ainsi efficacement en cas de crise.
Suite à l’ensemble de ces actions de prévention, détection, anticipation des attaques et maintien des activités, il est ensuite important pour les équipes d’améliorer et challenger la sécurité de leurs SI. C’est donc, grâce à des opérations de hacking éthique (tel que des tests d’intrusion ou Pentest), que l’entreprise éprouve ses logiciels, protocoles et processus de cybersécurité. Indépendamment de cela, le maintien du log - de l’entreprise - à jour (journal permettant de stocker un historique des événements) rend possible l’identification précise des causes d’une attaque.
Mais comment réagir en cas d’attaque réussie ?
En cas d’attaque réussie, les possibilités de réponses et actions demeurent limitées, mais quelques bons réflexes sont à adopter : alerter le service ou prestataire informatique, identifier l’origine de l’infection, ne surtout pas éteindre les équipements impactés, déconnecter le matériel touché et/ou isoler le réseau, conserver toutes les preuves en externe (logs), déposer plainte et en informer la CNIL - en cas d'atteinte à des données qualifiées de personnelles.
Payer la rançon est tentant, mais attention : rien ne vous assure la bonne récupération des fonctionnalités bloquées de l’ordinateur ou des données individuelles volées. De fait, une étude mit en avant - en mai 2021 - que 92% des entreprises ayant payé n’ont jamais récupéré leurs données. Il n’est donc pas recommandé de procéder au paiement d’une rançon.
La plupart des organisations n’ont pas conscience de la quantité de données qu’elles laissent non surveillées, et donc accessibles à tous. Un seul utilisateur compromis a le potentiel de mettre en danger d'innombrables données sensibles. Pour se préparer efficacement, il est - surtout - important de faire appel à des professionnels de la cybersécurité pour un accompagnement sur-mesure, qui s’adaptera aux problématiques et environnements propres de chaque organisation. Car oui, malgré son caractère vicieux, le rançongiciel n’est pas infaillible !