10 façons pour les entreprises de se protéger des ransomwares
Les ransomwares peuvent affecter les entreprises de toutes tailles. Les cybercriminels utilisent une série de stratégies pour obtenir un accès non autorisé aux données et systèmes de leurs victimes
Les ransomwares peuvent affecter les entreprises de toutes tailles. Les cybercriminels utilisent une série de stratégies pour obtenir un accès non autorisé aux données et systèmes de leurs victimes, notamment en exploitant des vulnérabilités non corrigées, en tirant parti d'informations d'identification faibles ou volées, et en utilisant l'ingénierie sociale - une pratique de manipulation psychologique à des fins d'escroquerie. Ils restreignent ensuite l'accès aux données et aux systèmes et demandent une rançon pour le "retour à la normale" de ces actifs numériques.
Les gouvernements du monde entier ont publié des directives appelant à renforcer les mesures de sécurité des données face aux menaces de ransomwares. En France, par exemple, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) promulgue des guides de recommandations pour aider les entreprises à bien se protéger contre la menace des ransomwares. Cybermalveillance complète le dispositif en informant les entreprises et le grand public des risques.
Il n'existe pas de solution unique ni de solution miracle pour arrêter les ransomwares. Toutefois, il est possible de mettre en place quelques mesures d'atténuation et de contrôle visant à favoriser les meilleures pratiques générales en matière de sécurité.
1. Utiliser un cadre de sécurité comme EBIOS : Les entreprises qui migrent vers le cloud doivent envisager d'utiliser un cadre de sécurité, tel que celui proposé par l’ANSSI pour maîtriser le risque numérique et sa méthode associée d’analyse EBIOS. Le respect de ce cadre permet aux organisations de vérifier que tous les domaines de leur programme de sécurité disposent de contrôles, de responsabilités et de mécanismes définis. Organisé autour de cinq ateliers (cadrage, sources du risque, scénarios stratégiques, scénarios opérationnels et traitement du risque), la méthode EBIOS Risk Manager permet de de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.
2. Corriger les vulnérabilités et durcir les systèmes : Les vulnérabilités connues des logiciels qui n'ont pas encore été mis à jour sont couramment ciblées par les cybercriminels pour accéder au réseau d'une organisation. Il est essentiel d'identifier et de corriger les vulnérabilités des logiciels et du matériel pour limiter l'exposition aux attaques de ransomware.
3. Éliminer les clés d’accès à longue durée de vie : Les clés d'accès et les informations d'identification, qui sont nécessaires pour accéder aux ressources enregistrées dans le cloud sont également des éléments très ciblés par les cybercriminels. Si les clés d'accès ne sont pas régulièrement changées et correctement sécurisées, elles risquent d'être exposées par erreur et de laisser les ressources ouvertes aux attaques. Essayez d'éliminer les clés d'accès à long terme et de procéder à une rotation régulière des clés.
4. Utiliser des comptes multiples dans le cloud : Organisez votre infrastructure de manière à ce que les ressources soient segmentées et isolées autant que possible. Cela limitera le trafic et réduira la capacité du ransomware à se propager et à infecter davantage de systèmes. L'utilisation de comptes multiples pour mettre en œuvre cette stratégie fournit également des contrôles supplémentaires et peut réduire l'impact d'un ransomware.
5. Utiliser une infrastructure immuable sans accès humain : Lorsque les mises à jour de la configuration, y compris le durcissement et l'installation de logiciels de sécurité, sont effectuées avant le démarrage d'un système, il est plus facile de détecter les modifications apportées au système par les ransomwares. Même si vous ne pouvez pas déployer une infrastructure totalement immuable, toute réduction de l'accès humain contribuera à diminuer le risque que les systèmes soient exposés en raison d'une erreur humaine ou d'un cybercriminel.
6. Mettre en place une journalisation et une surveillance centralisées : Les équipes de sécurité peuvent surveiller les journaux systèmes pour découvrir des activités suspectes sur leurs réseaux. Si vous ne réalisez pas qu’il y a une erreur jusqu'à ce que la demande de rançon apparaisse, il est probablement trop tard. Les systèmes de gestion des informations et des événements de sécurité (SIEM) peuvent centraliser les événements pour les analyser afin de détecter les activités inhabituelles des utilisateurs, les événements du réseau et les modifications de l'infrastructure, ce qui permet de rendre plus efficace la réponse.
7. Créer des sauvegardes régulières et les protéger : Des sauvegardes régulières des données réduiront l'impact d'une attaque de ransomware et amélioreront la capacité d’un redémarrage rapide. Certaines formes de ransomware recherchent activement les sauvegardes et tentent de les supprimer ou de les chiffrer, il est donc primordial que les sauvegardes soient correctement protégées. Les organisations devraient également définir une stratégie de récupération et tester régulièrement leurs procédures de restauration pour s'assurer de leur efficacité.
8. Préparer et mettre en œuvre un plan d'intervention en cas d'incident : Préparez-vous à un incident avant qu'il ne se produise et effectuez des simulations de réponse aux incidents pour tester l'état de préparation de votre organisation. Cela permettra d'élaborer des politiques et des procédures efficaces pour répondre aux incidents de sécurité. Cette approche permettra à votre entreprise d'être rassurée et guidée en cas d'incident réel.
9. Effectuer des auto-évaluations des applications : Évaluez régulièrement les applications pour détecter les risques et pensez à consigner les améliorations afin de vous assurer qu'elles respectent les meilleures pratiques en matière de sécurité et afin d’identifier les vulnérabilités potentielles.
10. Automatiser les garde-fous de sécurité et les actions de réponse : Utilisez l'automatisation pour vérifier régulièrement les configurations de ressources non sécurisées et les mettre à jour. Par exemple, les utilisateurs d'AWS disposent d'outils tels qu'Amazon EventBridge et AWS Lambda pour scripter des mesures correctives afin d'aider les analystes de la sécurité à se concentrer sur des défis plus importants.
Le modèle de responsabilité partagée utilisé dans le cloud AWS offre aux entreprises une base solide pour mettre en œuvre ces bonnes pratiques. Les entreprises s'approprient et maintiennent la sécurité de leurs applications tandis qu'AWS est responsable de l'infrastructure cloud, y compris le matériel, les logiciels et le réseau sur lesquels les applications s'exécutent. Ce modèle aide les clients à concentrer leurs efforts en matière de sécurité et à s'assurer qu'ils sont prêts à faire face à toute éventualité.