Comment se protéger des attaques par rançongiciels ?
Les attaques par ransomware sont un type de cybercriminalité dans lequel les pirates utilisent des logiciels malveillants pour chiffrer les fichiers d'un ordinateur ou d'un réseau, bloquant ainsi les utilisateurs jusqu'à ce qu'une rançon soit versée au cybercriminel. Ces cyberattaques sont devenues aujourd'hui l'ennemi numéro 1 des entreprises et des institutions.
Ces derniers mois, de grands groupes français, des laboratoires, des mairies et, plus grave encore, des hôpitaux, ont été les proies de ces attaques. Loin de représenter un simple défi technologique, elles ont montré leur capacité à perturber profondément une activité, jusqu’à mettre en danger la vie d’autrui.
Entre les rançons versées et la perte de productivité, on estime que les attaques de ransomware ont coûté aux entreprises américaines 2,3 milliards de dollars rien qu'en 2020. Et pour cause : les instabilités causées par la pandémie du Covid-19, la démocratisation du paiement des rançons en crypto-monnaies, le soutien de certains états étrangers, ou au contraire l'absence de poursuites judiciaires, ont considérablement renforcé la profusion de ces cyber agressions.
Un bilan sous estimé
Alors que 56 attaques avaient été signalées en 2019 dans l’hexagone, la menace s’est considérablement accrue l’année suivante, avec 192 incidents rapportés. Si ce bilan est alarmant, il est en réalité sous-estimé, car beaucoup de ces attaques ne sont pas signalées, nombre d’entreprises préférant payer la rançon et rester discrètes pour éviter les conséquences négatives sur leur image et leur réputation.
Provoquant un arrêt de l’activité d’environ 23 jours en moyenne, les dégâts sont considérables sachant que pour se relever d’un rançongiciel les entreprises françaises déboursent en moyenne 913 000 €, sans compter les dommages collatéraux en termes de relations publiques.
Prévenir les attaques par rançongiciel
Mieux vaut prévenir que guérir : ce proverbe s’applique parfaitement à cette cybermenace. Comme les ransomwares ont besoin d'un point d'entrée dans votre système, de nombreuses attaques peuvent être évitées grâce à la sensibilisation et à la formation des employés en matière de cybersécurité. Voici six mesures à adopter pour se parer au mieux face aux rançongiciels.
1. Former les employés à reconnaître et éviter les attaques par hameçonnage et d’ingénierie sociale
Si le ransomware est un feu de forêt, les employés sont l'amadou qui déclenche l'incendie. Les pirates analysent les profils des médias sociaux et utilisent des arnaques de type phishing (hameçonnage) et d'ingénierie sociale pour obtenir des informations personnelles, des numéros de compte et des identifiants de connexion d'utilisateurs peu méfiants en se faisant passer pour des entités réelles par courrier électronique ou par téléphone.
En mars 2021, nous avons interviewé la hackeuse Rachel Tobac sur l'ingénierie sociale et les schémas de phishing et avons publié un guide détaillé, "How to Run an Effective Phishing Test at Work", pour vous aider, vous et vos employés, à mieux comprendre ces types de menaces.
2. Fournir des outils et mettre en place des politiques de sécurité
Pour parvenir à leurs fins, les cybercriminels utilisent des listes d’identifiants et de mots de passe dérobés pour prendre le contrôle des serveurs et des terminaux. Sachant qu’une grande partie des utilisateurs se servent de mots de passe faibles, courants, faciles à deviner, et identiques sur plusieurs comptes, les pirates n’ont aucun mal à s'infiltrer au sein des réseaux de leur cible.
L'utilisation d'un gestionnaire de mots de passe facile à utiliser facilitera la vie de vos employés et peut réduire considérablement la cause de la majorité des cyber incidents.
L'une des solutions pour résoudre ce problème récurrent, à savoir la faiblesse des mots de passe utilisés par les employés, consiste à mettre en place un système d'authentification unique ou SSO, qui ne demande qu'une seule étape d'authentification pour accéder ensuite à l’ensemble des outils professionnels. De nombreuses entreprises s'appuient sur ces solutions pour les aider à gérer l'accès à un grand nombre de connexions professionnelles.
Cependant, les fournisseurs de SSO ne sont pas compatibles avec tous les sites ou applications professionnelles et ne répondent pas aux besoins essentiels tels que le partage sécurisé des mots de passe, un coffre fort chiffré ou un tableau de bord de suivi des mots de passe pour surveiller les risques. Le SSO ne peut pas non plus prendre en charge la sécurité des employés lorsqu'ils utilisent des outils de productivité personnels que l'entreprise ne paie pas, comme Notion, Evernote ou Asana.
C’est pourquoi les experts en sécurité recommandent une deuxième ligne de défense au cas où votre mot de passe serait exposé et suggèrent de mettre en place une authentification à deux facteurs (2FA) sur tous vos comptes. L'authentification à deux facteurs - ou authentification forte - complète votre mot de passe en exigeant un élément de vérification supplémentaire chaque fois que vous autorisez un nouvel appareil à accéder à votre compte, ou encore chaque fois que vous vous connectez à votre compte. Ce second facteur peut être quelque chose que l’on possède (comme une clé USB, un téléphone) quelque chose que l’on est (biométrie), ou que l’on connaît (comme un code). Cela réduit grandement les possibilités de fraude.
3. Installer et maintenir les outils de sécurité et de surveillance du réseau.
Il existe de nombreuses solutions pour renforcer la sécurité des appareils fixes et mobiles et ainsi atténuer le risque d'être victime d'un rançongiciel. Les pare-feu et les VPN disponibles dans le commerce peuvent être installés sur les ordinateurs portables, les postes de bureau, tablettes et smartphones pour protéger votre réseau, sous réserve de les conserver à long terme et d’effectuer régulièrement les mises à jour. Ces mises à jour devraient être automatisées, mais dans le cas contraire, si jamais vos collaborateurs n’ont pas cette habitude, n’hésitez pas à leur en rappeler l'importance et accompagnez-les dans cette démarche pour leur donner les bons réflexes. N’oubliez pas, un appareil non protégé et pas à jour représente une véritable porte ouverte aux yeux des cyberpirates.
De même, veillez à entretenir vos serveurs et réseaux informatiques. Utilisez des scanners de vulnérabilité et des logiciels de détection d'intrusion pour aider votre équipe à identifier rapidement les activités malveillantes avant que ces attaques ne prennent de l’ampleur.
4. Surveiller le dark web
Finalement, aucun mot de passe n'est infaillible et pour preuve : en 2020, plus de 11,6 milliards d’identifiants de comptes professionnels ont été piratés. Ces comptes finissent fréquemment en vente sur le dark web, où ils sont utilisés pour obtenir un accès non autorisé à des organisations et des sites web. Mais vous ne voulez certainement pas que vos employés courent sur le dark web à la recherche de leurs informations d'identification, et cela peut être une tâche décourageante même pour les professionnels chevronnés de la sécurité réseau.
Il existe des services de surveillance du dark web qui peuvent s’en charger pour vous et qui vous alerteront dès lors que des informations d'identification ou les mots de passe d'un employé seront détectés.
5. Conserver ses sauvegardes hors de votre réseau principal
Conserver une sauvegarde des données à jour fait partie intégrante de toute politique de sécurité. Si vous êtes victime d'une attaque via un rançongiciel, cet outil est essentiel pour exécuter a posteriori un plan de relance et se remettre plus rapidement de l'incident. Cette copie préventive peut même vous permettre de refuser la rançon.
Toutefois, les sauvegardes de données ne sont utiles que si elles sont sécurisées sur un réseau externe, hors de portée des pirates. Il est donc crucial de maintenir une séparation claire entre votre réseau principal et vos sauvegardes lorsqu’il s’agit de se défendre contre ces menaces.
6. Résoudre le problème humain
Tous les outils, technologies et processus du monde ne suffisent pas à eux seuls. Vous devez également créer une culture d’entreprise dans laquelle les employés sont conscients de l’importance de la cybersécurité et la considèrent comme une responsabilité partagée. Dans un récent sondage Harris, 70% des personnes interrogées ont déclaré qu'elles considéraient que leur entreprise se devait de veiller à la sécurité de leurs comptes professionnels. Ce n'est pas suffisant. Les employés doivent comprendre que leur comportement a un impact sur l'ensemble de l'entreprise. Quelque chose d'aussi simple que de cliquer sur un mauvais lien ou d'utiliser une feuille de calcul Excel pour gérer leurs mots de passe peut avoir des résultats catastrophiques pour l'organisation.
Un autre facteur important d’une culture axée sur la sécurité est la confiance que doivent avoir les employés dans leurs services informatiques, afin qu’ils puissent leur faire remonter toutes menaces potentielles qu'ils rencontrent, sans aucune appréhension. Le fait de pouvoir réagir rapidement contribue à atténuer tout dommage potentiel. En précisant que chacun est en partie responsable de la cybersécurité globale de l’organisation, vous pouvez éliminer les cloisonnements qui existent parfois entre le service informatique et le reste de l'entreprise et créer ainsi une relation de confiance dans laquelle chacun fait partie de la même équipe.
Conclusion
La mise en œuvre de ces six étapes peut réduire considérablement votre risque d'attaque par ransomware et améliorer votre sécurité globale. Mais cela ne sera pas facile pour tout le monde. Il faudra que de nombreuses entreprises changent d'état d'esprit et s'engagent à investir dans la formation, l'éducation et les outils qui facilitent la vie des employés au lieu de la compliquer.