Parce qu’ils peuvent se procurer un code partagé entre les nombreuses communautés de pirates, aujourd’hui, les attaquants n'ont même pas besoin de compétences en programmation pour lancer leurs attaques. Ces derniers peuvent même avoir recours à des services pour collecter les rançons en Bitcoin contre une commission. Beaucoup de PME n’ont pas d’autre choix que de payer la rançon, à la fois parce qu'elles ne sauvegardent pas leurs données et parce qu’elles n'ont pas prévu d’autres solutions pour les récupérer. Au point que leur seule alternative est de payer la rançon ou de mettre la clef sous la porte.
C’est encore plus vrai pour les hôpitaux qui ne sauvegardent pas les données critiques de leurs patients et qui ne sont pas en mesure de les récupérer en temps voulu. Il est donc crucial pour les établissements de santé de pouvoir accéder aux dossiers des patients qui ont besoin de soins immédiats. A fortiori, ils sont prêts à payer la rançon sans délai pour un patient en soins intensifs dans une situation de vie ou de mort. Selon un blog d'Emisoft, en 2019, les entreprises et les organisations gouvernementales américaines ont été la cible de 966 attaques de ransomwares, pour un coût total estimé à 7,5 milliards de dollars. Pour éviter d'être victimes d’un ransomware, les entreprises doivent protéger leur réseau sans attendre, en donnant la priorité aux ressources. Il est évident que ce type d’attaques va se développer, et aucune entreprise n’a envie que son nom n’apparaisse dans les médias pour signaler qu’elle a été obligée de payer une rançon. Car toute entreprise contrainte de payer une rançon met en doute sa capacité à sécuriser les données personnelles de ses clients et perdre leur confiance, avec un impact certain sur son activité et ses revenus.
7 mesures pour prévenir les attaques de ransomware
Pour protéger votre entreprise contre une attaque de ransomware, il est essentiel de documenter de manière détaillée toutes les actions qui permettront de prévenir les attaques. Parmi elles, ces sept mesures sont incontournables.
- Former vos employés
Le plan de prévention contre les attaques de ransomwares doit inclure la formation des employés. Il est important d’expliquer ce qu'est un ransomware et comment fonctionnent les campagnes de phishing sur lesquelles s’appuient majoritairement les pirates pour mener leurs attaques. Il est important aussi de renouveler les cessions de formation pour continuer à sensibiliser les employés sur le sujet.
- Appliquer les correctifs sur les serveurs, les périphériques et les applications
Les entreprises doivent adopter des mesures de correction des serveurs, des périphériques réseau et des applications. De nombreuses entreprises ne sont pas à jour en matière d’applications de correctifs, notamment sur les logiciels. Les attaquants le savent, c’est pourquoi les applications représentent leur première cible. Pour être efficace, le suivi de l’application des correctifs, des procédures et des politiques doit être effectué tous les mois ou tous les trimestres, au plus.
- Installer des anti-virus aux points terminaux
Il est également important de prévoir l’installation d’un antivirus sur ses points terminaux. Pour cela, privilégiez les outils capables de suivre les comportements suspects. En effet, beaucoup d’attaques de ransomwares sont conçues pour éviter la détection par les programmes antivirus basés sur les signatures. Il est également important d’ajouter à cette panoplie de défense un filtre web capable de protéger contre les infections dites par drive-by. Ces modalités d'infection très simples sont de plus en plus populaires : il suffit à l'utilisateur de naviguer sur un site web spécifique contenant le code malveillant pour être infecté.
-Sauvegarder vos données
De nombreuses entreprises n’ont pas eu d’autre choix que de payer la rançon parce qu'elles n'avaient pas sauvegardé correctement leurs données. Il faut également documenter le processus de sauvegarde. Il doit inclure votre objectif de Perte de Données Maximale Admissible (PDMA) ou Recovery Point Objective (RPO), et de Durée Maximale d'Interruption Admissible (DMIA), aussi appelé Durée Maximale d'Indisponibilité Admissible ou encore Recovery Time Obkective (RTO). Testez-les chaque année pour vérifier que les objectifs peuvent être atteints. Il est essentiel que les chefs d'entreprise et les parties prenantes disent ce qu’ils entendent par RPO et RTO acceptables. Sans cet avis, la possibilité de devoir payer une rançon augmente.
-Tester vos sauvegardes
Vous devez tester vos sauvegardes régulièrement pour vérifier que toutes les données critiques sont bel et bien sauvegardées. Il est également important de s'assurer que vos données de sauvegarde sont protégées contre les attaques par ransomware. Les sauvegardes en réseau sont très populaires, et beaucoup d’entreprises connectent leurs dispositifs de sauvegarde sur le même réseau ou VLAN que leur réseau de production standard. C’est une pratique à éviter, si vous ne voulez pas risquer que vos données de sauvegarde soient la cible d'une attaque par ransomware.
-Effectuer des évaluations de vulnérabilité
Les évaluations de vulnérabilité consistent à analyser de manière globale la posture de sécurité de l’entreprise. Elles sont utiles pour prévenir une attaque par ransomware. Le testeur doit être sensibilisé au risque d’attaque par ransomware et il doit tenir compte de la vulnérabilité, non seulement des applications ou des serveurs, mais aussi des procédures et des politiques de l’entreprise. Ces évaluations doivent permettre de vérifier que les procédures définies pour prévenir les attaques par ransomware sont appliquées de manière cohérente. Les évaluations de vulnérabilité devraient être effectuées selon un rythme annuel année.
-Surveiller et alerter en cas d'activité suspecte
Toute mesure visant à prévenir une attaque par ransomware doit comprendre des procédures de surveillance et d'alerte en cas d'activité suspecte. La surveillance d'un réseau est un processus continu et doit être effectuée quotidiennement. Beaucoup d’entreprises utilisent des outils de sécurité très coûteux dans leur environnement, mais leurs logs ou leurs événements ne sont pas surveillés, ce qui rend ces outils inefficaces. Le personnel de sécurité doit pouvoir s’appuyer sur un processus d’analyse pour détecter ou prévenir une attaque par ransomware.
-Que faire en cas d’attaque
Si vous détectez une attaque par ransomware, vous devez documenter précisément toutes les mesures à prendre, avec un seul objectif : empêcher la propagation du ransomware et récupérer les données perdues. La mesure doit également comprendre un processus de notification aux autorités. En cas de demande de rançon, vous devez envisager dans le processus d'intervention la mise hors ligne de l’appareil soupçonné d'être infecté par un ransomware. En effet, de nombreuses variantes de ces logiciels ne cryptent pas les données avant que l'appareil n'ait été redémarré par un script d'attaque. En éteignant la machine en douceur, vous avez peut-être une chance de récupérer les données avant qu'elles ne soient cryptées.
Après avoir documenté votre plan de réponse à une demande de rançon, effectuez une simulation pour confirmer que le plan est appliqué correctement. Les parties prenantes sauront que l’entreprise est prête à réagir de manière appropriée en cas de violation. Si vous n'avez pas encore mis en place de plan de protection de votre réseau contre les ransomwares, vous devez impérativement en prévoir un dès maintenant. Car une attaque réussie se traduira probablement par une perte de clients et de revenus. Il n’a jamais été aussi facile pour des pirates de mener des attaques par ransomware. C‘est de la responsabilité de chaque entreprise de documenter et de tester ses mesures de protection pour les prévenir.
Commentaire