Ransomware : Que faire en cas d'attaque ? Comment s'en prémunir ?

Au cours des derniers mois, de nombreuses entreprises françaises ont été touchées par des ransomwares, une technique d'attaque de plus en plus utilisée par les cybercriminels qui ont quelque peu changé leur mode opératoire. Les groupes d'attaquants ne se contentent en effet plus seulement de chiffrer les données et de rendre les systèmes inaccessibles, ils menacent désormais de divulguer les informations qu'ils détiennent.

Alors que faire en cas d’attaque par ransomware ? Payer et espérer que tout se passe pour le mieux, ou refuser et risquer un arrêt prolongé et une reprise coûteuse ? Pour éviter de faire face à ce genre de dilemme, les entreprises doivent prendre conscience de l’importance de mettre en place des mesures qui les protégeront.

Pourquoi il ne faut pas céder au chantage

Le FBI avance trois raisons de ne jamais payer de rançon. Premièrement, rien ne garantit que l’organisation victime obtiendra effectivement la clé de décryptage une fois qu’elle aura versé l’argent. Dans certains cas, des entreprises ont payé une rançon sans jamais avoir reçu la contrepartie attendue. De plus, si une organisation paie, rien ne pourra empêcher les pirates de l’attaquer à nouveau et de la forcer à payer encore et encore — chaque demande se révélant plus élevée que la précédente. Enfin, répondre favorablement à une rançon est une manière involontaire d’encourager le « modèle commercial » des logiciels de ransomware et d’exposer d’autres entreprises à un risque accru.

Les mesures efficaces de se prémunir contre ransomwares

Il existe deux manières essentielles de limiter les risques de devoir payer une rançon : réduire sa vulnérabilité face à l’infection et s’assurer d’être en mesure de se rétablir rapidement (sans clé de chiffrement) pour limiter les dégâts.

En premier lieu, pour bloquer les logiciels de ransomware, il est important de sensibiliser les employés aux menaces et aux mesures de cybersécurité de base. Toutefois, même la meilleure des formations ne peut garantir que tout le monde appliquera toujours les meilleures pratiques. Un simple clic sur un lien dans un email de phishing peut suffire pour libérer un logiciel de ransomware dans un environnement IT. En outre, certaines variantes ne requièrent aucune action humaine, ce qui rend la formation inutile à leur égard. Par conséquent, toute entreprise doit partir du principe qu’elle sera un jour ou l’autre victime d’une infection par ransomware.

Détection, réponse et récupération de données rapides, clés d’un plan de lutte efficace

Les cybercriminels étant à l’affût de la moindre faille, les entreprises ont tout intérêt à élaborer et mettre à l’essai un plan de réaction rapide pour limiter les risques et les conséquences en cas d’attaque réussie. Un plan efficace suppose une détection, une réponse et une récupération de données rapides.

Cela implique que les organisations connaissent leurs données et sachent qui y a accès. Afin de limiter au maximum le risque de perdre l’accès à des données sensibles, telles que les informations personnellement identifiables des clients et des employés, il est primordial de savoir exactement quels types de données sont stockées et les sécuriser en fonction de leur valeur. La classification automatisée permettra aux organisations de mieux cerner les données à leur disposition, les personnes qui y ont accès et leur degré de sensibilité, afin de pouvoir choisir les règles adéquates pour protéger leurs actifs critiques. Ainsi, dans la mesure où le ransomware s’appuie souvent sur les droits d’accès du compte d’utilisateur qu’il a compromis, l’application rigoureuse du principe de moindre privilège permettra de réduire au minimum la quantité de données pouvant être cryptées lors d’une attaque.

De plus, l’amélioration de la détection et le déclenchement d’alertes en cas d’anomalie sont des enjeux majeurs pour être capable de se protéger des ransomwares. Il est ainsi primordial de surveiller le comportement des utilisateurs sur tous les systèmes et données critiques, que ce soit sur site ou dans le cloud, mais également d’être attentif à toute activité anormale qui pourrait indiquer une attaque en cours. C’est le cas par exemple lorsque une modification de la liste des extensions de fichiers restreints ou quand un nombre élevé de modifications de dossiers sont observés. La notification via des alertes en cas d’activité suspecte est un réel atout car cela permet de réagir à une éventuelle attaque avant qu’une quantité importante de données ne soit compromise.

Il est par ailleurs essentiel de s’assurer de pouvoir obtenir des informations détaillées sur les fichiers qui ont été modifiés ou supprimés lors d’une attaque par ransomware afin que l’équipe IT puisse restaurer ces données rapidement pour limiter les interruptions de service. En outre, les entreprises doivent considérer la classification des données avec attention pour pouvoir effectuer des sauvegardes régulières des données sensibles et critiques, ainsi que le stockage de ces sauvegardes là où les ransomwares ne peuvent pas les atteindre.

Enfin, l’élaboration d’un plan de réponse aux incidents est une phrase incontournable. Les entreprises peuvent ainsi établir un document qui détaille les étapes à suivre pour réagir aux signes d’une attaque par ransomware, en déterminant notamment les responsabilités de chacun. Dans la mesure où le personnel, l’environnement IT et le paysage des menaces sont en constante évolution, les organisations doivent tester leur plan régulièrement et le mettre à jour si nécessaire.

Aucune entreprise ne souhaite se retrouver un jour devant le dilemme suivant : payer une rançon ou subir de graves dommages en refusant de payer. Mieux vaut donc prendre les mesures nécessaires pour se protéger des cybermenaces omniprésentes en sensibilisant les utilisateurs et en se préparant aux attaques qui pourraient se produire. Et si les organisations ont suffisamment confiance dans leur capacité à restaurer l’accès à leurs systèmes et à leurs données, elles limiteront alors le risque de devoir envisager un jour le paiement d’une rançon.