Trois principes pour se protéger contre les attaques de ransomware

Qu'il s'agisse d'épisodes de grande ampleur comme WannaCry ou d'attaques plus discrètes, certaines bonnes pratiques permettent de réduire la probabilité d'être touché et de subir d'importants dommages.

Qu'il s'agisse d'épisodes de très grande ampleur comme WannaCry ou d'attaques plus discrètes, les ransomwares connaissent un "succès" alarmant et aucune entreprise n'est à l’abri. Face à ce fléau, il n'existe pas de formule miracle. Mais certaines bonnes pratiques permettent toutefois de réduire sensiblement la probabilité d'être touché et de subir d'importants dommages.

Les attaques de type ransomware sont devenues une activité très lucrative

L’année dernière, plus de la moitié des entreprises américaines (51%) ont été victimes au moins une fois d’une attaque de type ransomware et ont dû payer en moyenne 2 500 $ par attaque. Le succès des attaques ransomware est mis en évidence par les chiffres du FBI qui montrent l’évolution des rançons payées : 1 milliard de $ en 2016, contre 24 millions en 2015. 

Il n’est donc pas surprenant que les ransomwares figurent en tête du classement des cyber-crimes établi par Verizon dans son dernier rapport Data Breach Investigations Report (DBIR).

Et alors que l’année 2017 n’est pas encore terminée, il semble que l’échelle des attaques par ransomware ait encore augmenté d’un cran, les cybercriminels ayant naturellement l’intention d’exploiter au maximum la vache à lait. 

Tout d’abord, il y a eu l’attaque mondiale WannaCry, qui semble être l’attaque ransomware la plus importante à ce jour. Elle a affecté 150 pays et touché des centaines de milliers d’entreprises à travers le monde.   

Un dérivé de l’attaque ransomware nommée Petya, initialement identifiée en 2016, a suivi quelques semaines plus tard. Baptisée NotPetya par les experts du marché, cette dernière version a collecté moins de 10 000 $ de rançon. 

A l’époque, la raison principale de ces attaques n’était pas d’extorquer de l’argent, mais surtout de perturber et de déstabiliser un pays par un autre pays. 

Mais quel que soit le motif, les entreprises doivent se préparer à de plus en plus d’attaques de type ransomware. 

Les professionnels de l’IT utilisent toutes les méthodes conventionnelles disponibles pour se protéger contre ces attaques. Les principales mesures consistent notamment à effectuer des sauvegardes régulièrement, à mettre à jour leurs listes de correspondants autorisés (whitelisting) et à bien gérer les correctifs de sécurité.

Mais ces outils ne sont plus suffisants et ne peuvent garantir à eux seuls que les données les plus sensibles ne seront pas perdues lors d’une attaque. 

Que peut-on faire de plus ? Il n'y a pas de formule miracle, mais voici trois principes qui peuvent aider à se prémunir contre les attaques de type ransomware:

1.    Impliquer les dirigeants de l’entreprise 

L’un des facteurs clés dans la lutte contre les attaques ransomware et les autres cyber-menaces est l’engagement et l’implication de la direction. Selon plusieurs études liées à la sécurité, trop peu de services IT se donnent tous les moyens pour éviter les cyber attaques. Un manque d’implication de la part des dirigeants, et surtout une frilosité à allouer les budgets nécessaires pour supporter les efforts IT, obligent les services IT à se battre contre de nouvelles menaces avec des outils parfois obsolètes. 

2.    Développer une stratégie de contre-attaque 

Résister à une attaque ransomware nécessite une stratégie cohérente qui se concentre sur deux objectifs : le premier consiste à identifier rapidement l’attaque en cours ; le deuxième consiste à mener une action rapide pour minimiser l’impact sur le réseau, les opérations et les données. 

La sophistication croissante des attaques ransomware combinée à de nouvelles techniques d’évasion les rendent encore plus difficiles à détecter. Les hackers cherchent à exploiter les faiblesses des infrastructures pour attaquer un grand nombre d’ordinateurs appartenant au même réseau, en un laps de temps très court. Stopper les ransomwares nécessite d’identifier rapidement l’ordinateur exploité et de l’isoler du réseau pour arrêter la propagation de l’attaque. 

Il est presque impossible de le faire avec les outils de détection conventionnels. 

Il existe néanmoins des bonnes pratiques qui permettent de réduire considérablement l’impact d’une attaque. Voici les principales : 

Limiter les privilèges utilisateurs

Limiter les droits d’accès et les permissions de modifier des fichiers en stricte adéquation avec le rôle de chaque employé. L’application permanente du principe du moindre privilège diminue la capacité des ransomwares à exploiter les failles de sécurités ouvertes par un employé qui ne fait pas suffisamment attention ou qui accède à des documents alors qu’il n’en a pas l’autorisation. 

Segmenter votre réseau

Compartimenter votre infrastructure IT en différents segments et leur attribuer à chacun un mot de passe différent. Regroupez de façon logique les données, les ressources et les applications de votre réseau (par exemple : séparez les données comptables, celles des ventes, et celles de l’IT) et ne donner l’accès à ces différents segments qu’aux personnes concernées par ces informations. Cela permettra de limiter les données qu’un malware pourrait affecter et aidera à corriger plus rapidement les problèmes de sécurité. 

Sauvegarder en mode lecture seule

Faire des sauvegardes régulièrement de toutes vos données sensibles et stocker les copies localement dans un endroit sécurisé. Assurez-vous que votre processus de sauvegarde fonctionne automatiquement sur un compte séparé et que personne (même les administrateurs système) n’a le droit de modifier ou supprimer une copie de sauvegarde. Il ne faut pas oublier que les ransomwares sont assez intelligents pour encrypter toutes les sauvegardes auxquelles ils auront accès. 

Ne jamais payer la rançon

Même si vous pouvez être tenté de payer la rançon demandée, ne le faites surtout pas ! D’abord, vous n’avez aucune garantie qu’on vous rendra vos données. Dans certains cas, les clés de décryptage ne sont ni stockées ni envoyées nulle part. Ensuite, une fois que vous êtes identifié comme quelqu’un qui paye les rançons, les criminels vont revenir vers vous pour vous réclamer toujours plus. Au lieu de cela, prêtez une attention particulière au nom du ransomware, il est peut-être déjà bien identifié et des codes de décryptages peuvent être facilement trouvables sur internet. Si ce n’est pas le cas, cherchez les autres moyens pour restaurer votre système ou, enfin, restaurez votre système grâce à vos propres sauvegardes. 

3.    Améliorer la visibilité sur l’activité des utilisateurs pour détecter une attaque en cours

Comme mentionné plus haut, la capacité à identifier une attaque ransomware le plus tôt possible est essentielle pour l’arrêter. Certains outils de cybersécurité peuvent identifier très tôt les signes d’une menace – tels qu’un nombre excessif de modifications de documents dans un court laps de temps, ou un nombre suspect de tentatives de connexion. Ces indices permettent d’identifier une potentielle attaque ransomware en cours. 

Pour résumer, lorsqu’une attaque se produit, chaque seconde compte. Certains indices vous permettent d’isoler le système affecté et de commencer à enquêter avant que l’attaque ne produise des dégâts à large échelle. Cela permet également d’accélérer l’identification des fichiers corrompus et d’optimiser le processus de récupération des données. 

Une visibilité totale et détaillée sur l’activité des utilisateurs et la capacité de détecter rapidement un comportement suspect sont les principales armes pour combattre les attaques de type ransomware.