Vos employés sont-ils complices (involontaires) de la prochaine attaque par ransomware ?

Un employé qui ouvre par mégarde une pièce attachée contenant un virus constitue la première cause des attaques par ransomware. Face à ce fléau, l'information interne et la mise en place de procédures de défense sont les premières armes.

Bien que la plupart des virus de type ransomware soient propagés par des hackers, la pratique montre que les employés des entreprises sont souvent les complices non-intentionnels de ces attaques. 

C’est donc sur leur comportement et leur réaction que doit se concentrer la réponse aux menaces potentielles, notamment : faire attention à ce qu’ils font, alerter sur les e-mails qui semblent contenir des pièces attachées suspectes, et informer immédiatement leurs responsables et les équipes IT. Malheureusement, nous constatons souvent l’inverse : les employés cliquent sur des liens suspects ou téléchargent des pièces attachées sans se poser de question – et même quand ils ne le font pas, ils oublient (ou ont peur) de prévenir les équipes IT à propos de l’incident. C’est précisément ce qui définit le manque de connaissance en matière de bonnes pratiques de cybersécurité. Et ce manque de connaissance accélère la propagation des ransomwares, plus que n’importe quelle technologie sophistiquée. 

En juin dernier, l’étude 2017 IT Risks Survey s’est penchée sur les stratégies, les perceptions et les inquiétudes des entreprises dans le monde à propos de la cybersécurité et des risques IT. Malheureusement, le rapport a confirmé que les employés sont le maillon faible de la cybersécurité. 66% des entreprises considèrent que leurs équipes sont la plus grande menace vis-à-vis de la sécurité et de la disponibilité des systèmes. L’enquête a également mis en lumière plusieurs facteurs qui rendent les entreprises vulnérables aux cyber-menaces – notamment le manque d’implication de la direction de l’entreprise et le manque de ressources internes pour gérer la sécurité IT.

Ces deux facteurs sont étroitement liés. En raison de la faible implication des dirigeants de l’entreprise et de leur réticence à allouer plus de budgets à la cybersécurité, les entreprises n’ont pas assez de ressources pour résister aux menaces émergentes. En conséquence, les équipes IT opérationnelles doivent prendre la responsabilité de la cybersécurité en plus de leurs autres responsabilités, ce qui les oblige à travailler sous une pression constante et facilement passer à côté des signes de comportements anormaux ou d’erreurs de la part des employés. 

Bien sûr, il faudrait idéalement empêcher les ransomwares de tenter d’attaquer vos données. Mais c’est presque impossible : de nouvelles attaques arrivent chaque jour, et vous ne saurez jamais si vous allez être la cible de la prochaine campagne de social engineering ou la victime d’une attaque de très grande envergure comme WannaCry. Toutefois, vous pouvez minimiser les dégâts potentiels. Voici quelques règles qu’il peut être judicieux d’appliquer : 

Faire de la cybersécurité la préoccupation de tous

Le premier principe consiste à porter le problème à l’attention de la direction de l’entreprise et d’étayer votre point de vue avec des éléments factuels. Selon le dernier rapport du cabinet Ponemon, intitulé Rise of Ransomware Report, 51% des entreprises nord-américaines ont été victimes au moins une fois en 2016 d’une attaque ransomware, et ont payé en moyenne 2 500 $ par attaque. Une autre étude, publiée par le FBI, montre que les rançons payées ont quasiment atteint 1 milliard de dollars en 2016, contre 24 millions de dollars payés en 2015. Concernant les failles internes, plus de 75% des entreprises estiment que la correction de ces brèches de sécurité couterait 500 000 $, et entre 500 000 $ et plusieurs millions de $ pour 25% d’entre elles (source : 2016 Insider Threat Spotlight Report). 

L’échelle de plus en plus large des attaques et le risque financier et réputationnel doit obliger les dirigeants de l’entreprise à consacrer plus d’efforts à la protection de leur organisation contre les menaces émergentes. Ensuite, il est essentiel de s’assurer que l’ensemble des employés soient sensibilisés aux consignes basiques de cybersécurité et savent exactement quoi faire et ne pas faire s’ils identifient un ransomware potentiel. 

Développer une stratégie pour contrer les attaques ransomware

Pour résister aux attaques ransomware, vous devez savoir que vous avez été touché, identifier l’origine de l’attaque et déconnecter le « patient zéro » du réseau afin de stopper la propagation de l’attaque et entamer les investigations. Plusieurs mesures peuvent aider à le faire. 

Tout d’abord, il est essentiel d’appliquer le principe du moindre privilège et de s’assurer que les autorisations à modifier des fichiers soient accordées en fonction du rôle de chaque employé. Ceci minimisera la capacité des ransomwares à infecter les fichiers via les comptes des employés. Ensuite, il faut compartimenter le réseau en différentes zones avec un accès unique pour chacune d’entre elles, afin de limiter le volume des données auxquelles un ransomware pourrait accéder. Enfin, il est vivement conseillé de faire des sauvegardes régulières de toutes les données sensibles et de stocker les sauvegardes localement, dans un endroit sécurisé, afin de pouvoir facilement restaurer les données en cas d’attaque. 

Disposer d’une visibilité détaillée sur le comportement des utilisateurs

Contrôler étroitement ce qui se passe sur le réseau de l’entreprise est un élément critique de toute stratégie anti-ransomware. Certains comportements à risque peuvent indiquer une possible attaque ransomware en cours, et il convient de les avoir à l’esprit. Il peut notamment s’agir d’un nombre excessif de modifications de fichiers dans un laps de temps court, d’un nombre anormalement élevé d’échecs de connexion, de tentatives anormales de modification, et de bien d’autres comportements suspects. Une visibilité complète et détaillée sur ce que font les utilisateurs sur l’environnement IT vous permettra de détecter les comportements anormaux, stopper les attaques et investiguer avant que les hackers n’aient le temps de faire des dégâts importants ; et d’identifier plus rapidement les fichiers infectés et optimiser le processus de restauration des données. 

L’importance d’une stratégie solide et multi-défense ne peut être sous-estimée. Les entreprises qui ne disposent pas de plan concret pour réagir face aux incidents et qui ne peuvent pas contrôler les comportements des utilisateurs au sein de leurs environnements IT seront incapables d’identifier les activités anormales des employés et s’exposeront aux attaques ransomware, encore et encore. La dernière attaque ransomware a prouvé que les entreprises ont plus que jamais besoin d’être au fait de ce qui se passe au sein de leurs systèmes critiques afin de réagir rapidement à n’importe quel signe d’une attaque ransomware potentielle, et de protéger leurs données aussi bien contre les attaques internes qu’externes.