Ransomware : 11 mesures à prendre pour vous protéger contre les catastrophes

Ransomware : 11 mesures à prendre pour vous protéger contre les catastrophes

Le ramsomware continue d’être l’une des plus grandes menaces sur Internet. Cliquer sur le mauvais lien peut suffire à déclencher une séquence d’évènements qui se termine par le chiffrement de toutes vos données par des pirates, qui ne les déverrouilleront qu’en échange d’une rançon importante, généralement en bitcoin ou en une autre crypto-monnaie difficile à tracer.

Les criminels qui utilisent les ransomwares sont bien financées (grâce à toutes ces rançons versées en bitcoin notamment) et emploient des tactiques de plus en plus sophistiquées. Seuls les pirates de bas niveau sont intéressés à chiffrer les PC un par un : les groupes de criminels cherchent des portes dérobées dans les réseaux d’entreprise et les explorent ensuite jusqu’à pouvoir causer un chaos maximum en chiffrant autant d’appareils que possible en une seule fois.

Il n’y a pas que les criminels qui ont remarqué le pouvoir des rançongiciels : les groupes de pirates qui opèrent pour le compte des États les utilisent pour créer à la fois le chaos et des avantages pour leurs donneurs d’ordre.

Nous assistons à une course aux armements entre les pirates qui cherchent de nouvelles façons de compromettre les systèmes et les entreprises qui tentent de combler toutes les lacunes dans leurs défenses.

Ce niveau de menace signifie qu’il n’y a aucun moyen de vous protéger absolument, vous ou votre entreprise, contre les ransomware ou tout autre type de logiciel malveillant. Mais il y a un certain nombre de mesures que vous pouvez prendre pour minimiser votre surface d’attaque.

1. Appliquer des correctifs logiciels pour tenir les systèmes à jour

Corriger les failles d’un logiciel est un travail pénible, long et fastidieux. C’est aussi vital pour votre sécurité. Les criminels tenteront de mettre la main sur toutes les vulnérabilités logicielles et tenteront de les utiliser comme moyen d’accéder aux réseaux avant que les entreprises n’aient eu le temps de tester et de déployer les correctifs.

L’exemple classique de ce qui se passe si vous ne patchez pas assez vite est WannaCry. Ce ransomware a causé le chaos à l’été 2017. Un correctif pour l’exploitation du protocole Windows Server Message Block qui a permis à WannaCry de se répandre avait en fait été publié plusieurs mois avant le succès du ransomware.

Mais il n’y avait pas assez d’organisations qui avaient appliqué le correctif à leur infrastructure et plus de 300 000 PC ont été infectés. C’est une leçon que de nombreuses organisations doivent encore apprendre : un professionnel de l’informatique sur trois admet que son organisation a été endommagée en raison d’une vulnérabilité non corrigée, selon une enquête de la société de sécurité Tripwire.

2. Modifier les mots de passe par défaut pour tous les points d’accès

Cliquer sur un mauvais lien dans un courriel est probablement la façon la plus connue d’être infecté par un logiciel malveillant, mais ce n’est pas la seule façon. Selon une étude de F-Secure, près d’un tiers des ransomware ont été distribués par des attaques de force brute et des attaques de protocole de bureau à distance (RDP – remote desktop protocol). Les attaques de force brute sont des tentatives d’accéder à des serveurs et à d’autres dispositifs en essayant autant de mots de passe que possible, généralement à l’aide de robots, dans l’espoir de trouver le jackpot.

Comme de nombreuses entreprises ne changent pas les mots de passe par défaut ou utilisent des combinaisons faciles à deviner, les attaques par force brute sont régulièrement efficaces. Le RDP permet le contrôle à distance des PC, et est un autre canal d’attaque des ransomware. Il y a des mesures que vous pouvez prendre pour réduire le risque d’une attaque via RDP. Cela va de s’assurer que des mots de passe forts sont utilisés, au changement du port RDP, en passant par la limitation de sa disponibilité aux seuls périphériques qui en ont vraiment besoin.

3. Former le personnel à reconnaître les courriels suspects

L’un des moyens classiques d’entrer dans votre organisation pour obtenir une rançon est l’envoi d’un courriel. C’est parce que le spamming de logiciels malveillants à des milliers d’adresses e-mail est un moyen facile et peu coûteux pour les pirates d’essayer de les propager. Malgré la simplicité de ces tactiques, elles sont toujours d’une efficacité déprimante.

Former le personnel à reconnaitre les courriels suspects peut aider à se protéger contre les ransomware et d’autres risques transmis par courriel comme l’hameçonnage. La règle de base : n’ouvrez pas les emails des expéditeurs que vous ne reconnaissez pas.

Et ne cliquez pas sur les liens d’un courriel si vous n’êtes pas absolument certain qu’il est légitime. Évitez autant que possible les pièces jointes et méfiez-vous des pièces jointes qui vous demandent d’activer les macros, car il s’agit d’un chemin classique vers une infection par malware. Et envisagez d’utiliser l’authentification à deux facteurs comme couche de sécurité supplémentaire.

4. Rendre plus difficile la promenade sur vos réseaux

Les pirates recherchent de plus en plus le gain le plus important possible. Le chiffrement des données sur un seul PC ne va pas les rendre riches, donc ils sont susceptibles d’accéder à un réseau et de l’explorer ensuite largement afin de répandre leur malware le plus loin possible avant d’appuyer sur la gâchette et de tout chiffrer.

Il convient donc de rendre cela plus difficile en segmentant les réseaux, mais aussi en limitant et en sécurisant le nombre de comptes administrateurs, qui ont un accès étendu. Les attaques de phishing sont connues pour cibler les développeurs simplement parce qu’ils ont un accès étendu sur plusieurs systèmes.

5. Comprendre ce qui est connecté à votre réseau

Les PC et les serveurs sont peut-être là où résident vos données, mais ce ne sont pas les seuls appareils dont vous devez vous préoccuper. Grâce au wi-fi au bureau, à l’Internet des objets et au travail à domicile, il y a maintenant une grande variété d’appareils qui se connectent au réseau de l’entreprise, dont beaucoup n’ont pas le type de sécurité intégrée que vous attendez d’un appareil sécurisé par la DSI.

Plus il y a d’appareils, plus le risque est grand que l’on offre une porte dérobée dans votre réseau aux pirates, et que l’on utilise cet accès pour se déplacer dans vos systèmes vers des cibles plus lucratives qu’une imprimante mal sécurisée ou un distributeur de billets intelligent. Pensez aussi à qui d’autre a accès à vos systèmes : vos fournisseurs sont-ils conscients du risque potentiel ?

6. Comprendre quelles sont vos données les plus importantes et créer une stratégie de sauvegarde efficace

Disposer de sauvegardes sécurisées et à jour de toutes les informations critiques pour l’entreprise est une défense vitale, en particulier contre les ransomware. Dans le cas où un ransomware compromettrait certains appareils, le fait d’avoir une sauvegarde récente vous permet de restaurer ces données et d’être à nouveau opérationnel rapidement.

Mais il est essentiel de comprendre où se trouvent ces données essentielles à l’entreprise. Les données vitales du directeur financier sont-elles stockées dans un tableur sur son bureau et ne sont-elles pas sauvegardées dans le cloud comme vous le pensiez ? Ce n’est pas bon d’avoir une sauvegarde si vous sauvegardez la mauvaise chose, ou si vous la sauvegardez si peu souvent qu’elle est inutile.

7. Réfléchissez bien avant de payer une rançon

Les pirates ont trouvé leur chemin à travers vos défenses et maintenant chaque PC de votre entreprise est chiffré. Vous pourriez restaurer à partir de sauvegardes, mais cela prendra des jours et les criminels ne veulent que quelques milliers d’euros. C’est l’heure de payer ?

Pour certains, c’est peut-être la conclusion évidente. Si les attaquants ne veulent qu’un montant relativement faible, il peut s’avérer judicieux à court terme de payer, car cela signifie que l’entreprise peut être opérationnelle rapidement. Cependant, il y a des raisons pour lesquelles vous ne voudrez peut-être pas payer.

Premièrement, il n’y a aucune garantie que les criminels vous remettront la clé de chiffrement lorsque vous paierez — ce sont des pirates, après tout. Si votre organisation est perçue comme étant prête à payer, cela encouragera probablement plus d’attaques, soit par le même groupe, soit par d’autres.

Il y a aussi l’impact plus large à prendre en compte. Payer une rançon, que ce soit sur vos propres fonds ou par le biais de cyberassurance, c’est récompenser ces gangs pour leur comportement. Cela signifie qu’ils seront encore mieux financés et capables de mener des campagnes encore plus sophistiquées contre vous ou d’autres organisations.

Cela pourrait vous épargner de la peine à court terme, mais le paiement de la rançon ne fait qu’alimenter l’épidémie.

8. Avoir un plan pour savoir comment réagir à un ransomware, et le tester

Un plan de reprise d’activité qui couvre tous les types de sinistre technologique devrait faire partie intégrante de la planification des activités et devrait inclure une réponse aux demandes de rançon. Ce n’est pas seulement la réponse technique – nettoyer les PC et réinstaller les données des sauvegardes – mais aussi la réponse commerciale plus large qui pourrait être nécessaire.

Les éléments à prendre en considération comprennent la façon d’expliquer la situation aux clients, aux fournisseurs et à la presse. Déterminez si les organismes de réglementation doivent être avisés ou si vous devez faire appel à la police ou aux assureurs. Il ne suffit pas d’avoir un document : il faut aussi tester les hypothèses que vous avez faites, car certaines d’entre elles seront fausses.

9. Analyser et filtrer les courriels avant qu’ils n’atteignent vos utilisateurs

La façon la plus simple d’empêcher le personnel de cliquer sur un lien dans un courriel est que le courriel n’arrive jamais dans sa boîte de réception. Cela signifie qu’il faut analyser le contenu et filtrer les courriels, ce qui devrait permettre de lutter contre de nombreuses fraudes par hameçonnage et demandes de rançon avant qu’elles n’atteignent réellement le personnel.

10. Comprendre ce qui se passe dans le réseau

Il existe toute une gamme d’outils de sécurité connexes – des systèmes de prévention et de détection des intrusions aux progiciels de gestion des informations et des événements de sécurité (SIEM – security information and event management) – qui peuvent vous donner un aperçu du trafic sur votre réseau.

Ces produits peuvent vous donner une vue à jour de votre réseau et devraient vous aider à repérer le type d’anomalies de trafic qui pourraient suggérer que vous avez été piraté par des chiffrement informatiques, qu’ils aient l’intention d’infecter vos systèmes avec un logiciel de rançon ou autre chose en tête. Si vous ne pouvez pas voir ce qui se passe sur le réseau, vous ne pouvez pas arrêter une attaque.

11. Assurez-vous que votre logiciel antivirus est à jour

Cela semble évident, mais est parfois négligé par les petites organisations. De nombreux logiciels antivirus offrent maintenant des fonctions de détection de rançon ou des modules complémentaires qui tentent de repérer le comportement suspect commun à tous les ransomware : le chiffrement des fichiers.

Ces applications surveillent vos fichiers pour détecter tout comportement inattendu — comme un nouveau logiciel étrange qui tente de les crypter tous — et visent à les empêcher. Certains paquets de sécurité feront même des copies des fichiers qui sont menacés par les ransomware.

Bonus : ne branchez pas cette clé USB…

 

Oui, cette clé que vous avez trouvé dans la rue. Mais sérieusement, avez-vous encore besoin que l’on vous avertisse sur ce point ?

Article “Ransomware: 11 steps you should take to protect against disaster” traduit et adapté par ZDNet.fr

Leave a Reply

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading