Ransomwares : mieux vaut prévenir que guérir !

Il n’existe à ce jour aucun moyen pour les organisations de se préparer à toutes les cyberattaques existantes, mais il est indéniable qu’elles ne doivent pas planifier leur stratégie de sécurité après une attaque. Le point sur quelques bonnes pratiques pour se préparer.

Une récente étude* de l’éditeur de sécurité SentinelOne indique que la moitié des entreprises mondiales – dont 52 % en France – ont été victimes d’attaques par ransomware au cours des 12 derniers mois. Les cybercriminels sont en effet de plus en plus motivés par l’appât du gain. Personne n’est donc à l’abri, et lorsqu’une organisation subit ce type d’attaque, la plupart des systèmes informatiques essentiels à son fonctionnement sont hors ligne.

Les attaquants demandent ensuite à l’entreprise de payer une rançon, mais ne garantit jamais complètement l’accès aux données dont une partie ou la totalité seront définitivement effacées. Le chef d’entreprise se trouve alors face à un dilemme cornélien : il doit payer une somme astronomique pour récupérer le contrôle de ses systèmes sensibles sans la moindre garantie que les hackers tiendront parole. Un choix bien difficile à assumer…

Un danger bien réel
Certains pourraient penser qu’une telle situation relève de la fiction. Pourtant, en mai 2016 l’établissement de santé américain Kansas Heart Hospital a été paralysé par un malware qui a bloqué l’accès aux emails de l’ensemble de l’organisme, aux dossiers numériques des patients, et à quelques appareils médicaux connectés à internet. Bien que l’hôpital ait payé, les hackers n’ont jamais débloqué le système et ont même envoyé une nouvelle demande de rançon ! La preuve que cela peut arriver à n’importe quelle organisation dont la Direction est confrontée à plusieurs problématiques.

Tout d’abord, suite à une faille importante qui paralyse complètement l'entreprise, l’état émotionnel général est instable, proche de la panique, et la plupart du temps personne ne possède l'expérience requise pour comprendre la situation et encore moins pour fournir une stratégie efficace. Il n’y a pas pire état pour prendre une décision critique sans un plan guidant les personnes concernées dans le processus. En outre, certaines rançons s’élèvent à des millions d’euros ce qui pose la question du paiement : est-il vraiment possible de transférer des millions en Bitcoins ? Quels en sont les risques ? L'organisation dispose-t-elle de cet argent dans l’immédiat si elle décide de payer la rançon ? A cela s’ajoutent encore d’autres interrogations relatives à la légalité du paiement, aux commanditaires des attaques ou encore à la teneur de leur chantage – à savoir s’ils rendront vraiment les accès suite au versement ou demanderont au contraire des sommes d’argent plus importantes. Autant de questions qui, si mal adressées, peuvent conduire à des conséquences encore plus catastrophiques pour l’organisation. Par exemple, la perte de ces fonds et la décision de débourser la somme demandée sont susceptibles d’entamer de manière durable la confiance des consommateurs et des marchés boursiers. Pire encore, l’organisme pourrait être traduit en justice. Dans tous les cas, le comité de direction, le PDG et le CFO ne seront pas en mesure de prendre de bonnes décisions à la hâte et sous le feu avide des projecteurs médiatiques. Même si le comité décide d’agir, le chef d’entreprise et le CFO doivent également savoir comment s’y prendre exactement pour implémenter cette directive.

Pour le pire, mais surtout pour le meilleur
Il n’existe à ce jour aucun moyen pour les organisations de se préparer à toutes les cyberattaques existantes, mais il est indéniable qu’elles ne doivent pas planifier leur stratégie de sécurité après une attaque ; il est en effet essentiel de suivre quelques bonnes pratiques qui aideront l’entreprise à faire face. Il faut d’abord élaborer un plan de réponse aux incidents en amont, c’est-à-dire dès aujourd'hui – quand tout le monde a le temps de réfléchir de manière rationnelle et de le tester. Quelques bons procédés sont à exécuter lors de l'élaboration de ce plan :
  • Former les employés. Quand un salarié découvre une brèche, il se demande souvent qui prévenir et que faire. Les attaques n’étant pas toutes aussi dramatiques que l'exemple précité, elles pourraient être ignorées ou négligées, faute de directive claire. Les employés doivent être formés sur la façon de reconnaître un problème, mais également disposer d’instructions sur les personnes à informer et les actions à prendre. Il est crucial d’assurer aux salariés que personne ne « tirera sur le messager » et que la déclaration d'un incident n’aura pas de répercussions ou ne se traduira pas en cyber-honte. 
  • Monter une équipe d'intervention dédiée aux incidents. Lorsqu'une infraction est identifiée, l'équipe doit être prête à évaluer et à mettre en œuvre une réponse coordonnée. Il est essentiel que cet escadron compte des membres de toute l'organisation, pas seulement le département des technologies de l'information. Il faut penser à inclure les services de relations publiques, les ressources humaines, la gestion des installations ainsi que les représentants d'autres départements. Bien sûr, le conseil d’administration devra aider à coordonner et à implémenter une réponse adaptée. 
  • Préparer des recommandations en cas de violation. De telles directives doivent comporter les coordonnées des forces de l’ordre. Les employés doivent savoir qui appeler et les informations dont les contacts devront disposer. Il est important que ces discussions se déroulent en amont et soient bien renseignées. Par exemple, des salariés qui répondent à l’incident et essaient de recouvrer des dossiers pourraient accidentellement détruire des preuves dont les forces de l’ordre auraient besoin pour attraper et condamner l’attaquant. Il faut donc que les équipes s’interrogent sur la manière de mieux atténuer le problème immédiat sans entraver une future enquête criminelle.
  • Faire appel à une société spécialisée dans la mitigation des incidents avant d’être victime d’une brèche. Le moment où les données de l’entreprise sont bloquées contre rançon n’est pas idéal pour négocier des tarifs concurrentiels avec des fournisseurs tiers qui fournissent de tels services de cyber-sécurité. En effet, développer ces relations et mettre en place des accords juridiques et des processus d'approvisionnement liés à ces services prend du temps et doit être fait avant que ne se produise l’inévitable.
  • Exécuter des tests de routine. La préparation ainsi que les entraînements avec l'équipe d'intervention en cas d'incident aideront à identifier les lacunes des plans et l’état général de sécurité d'une organisation. Toutes les strates de l’entreprise doivent être impliquées jusqu'au comité de direction. 
Alors qu’il n’est pas possible de se préparer à toutes les menaces potentielles, la mise en œuvre d’un plan et son test régulier avec de nouveaux scénarii, pour anticiper le pire, reste le meilleur moyen pour permettre aux organisations d’éviter ou d’atténuer une cyberattaque autrement dévastatrice.

*Source