2020 n'est pas terminée qu'elle se pose déjà certainement en annus horribilis sur le front des ransomwares. Après un été meurtrier dans ce domaine, la fin d'année se profile et avec elle une accélération des cyber-risques : phishing via de faux sites de services publics pour remboursements en tout genre, usurpation de sites e-commerce, Covid-19, augmentation de la surface d'attaque via la poursuite et l'accroissement du télétravail... Mais parmi les principales menaces, les rançongiciels arrivent certainement en tête de pont. Depuis le début de l'année, l'ANSSI a ainsi traitée pas moins de 104 attaques de ce type, alors même que sur l'ensemble de 2019 l'agence avait indiqué dans un précédent rapport avoir traité 69 incidents de sécurité.
Pour tenter de sensibiliser au maximum les organisations et entreprises sur la menace réelle et de plus en plus pregnante des ransowmares, l'ANSSI et le ministère de la Justice viennent de dévoiler un dernier guide sur ce sujet. Avec en particulier un zoom sur les moyens d'agir pour réduire le risque d'attaque, les bonnes pratiques à adopter en cas d'attaque, ainsi que des témoignages du CHU de Rouen, du Groupe M6 et de Fleury Michon. « Parmi les actes de cybercriminalité recensés, les rançongiciels représentent aujourd’hui la menace la plus sérieuse. Ils augmentent en nombre, en fréquence, en sophistication et peuvent être lourds de conséquences sur la continuité d’activité voire la survie de l’entité victime », alertent en coeur Guillaume Poupard, directeur général de l'ANSSI et Catherine Pigin, directrice des Affaires criminelles et des grâces.
Sauvegarder, mettre à jour et isoler
Afin de réduire au maximum le risque lié aux ransomwares, les recettes ne sont pas nouvelles mais encore faut-il qu'elles soient bel et bien appliquées dans les entreprises et organisations. A savoir en premier lieu la réalisation de sauvegardes déconnectées du système d'information (disques durs externes, bandes magnétiques...), le maintien à jour des logiciels, systèmes et des outils de sécurité, sans oublier le cloisonnement de son SI. « Pour limiter le risque de propagation, il convient de mettre en place un ou plusieurs dispositifs de filtrage permettant un cloisonnement entre les différentes zones réseaux plus ou moins critiques du système d’information », peut-on lire dans le guide. « Un cloisonnement des niveaux d’administration peut également être mis en place afin de s’assurer que les niveaux d’administration les plus hauts soient difficilement atteignables par les attaquants. »
Parmi les autres bonnes pratiques à suivre, l'ANSSI et le ministère de la Justice pointent du doigt la nécessité de limiter les droits des utilisateurs et les autorisations des applications, maîtriser les accès Internet, mettre en oeuvre une supervision des logs et mettre en oeuvre un plan de réponse aux cyberattaques. « Aujourd’hui, les contrats d’assurance cyber permettent d’accompagner les entités victimes de cyberattaques en leur fournissant, en cas de sinistre, une assistance juridique ainsi qu’une couverture financière du préjudice (matériel, immatériel, etc.). Cependant, le marché est encore naissant et doit poursuivre son développement, en particulier en matière de jurisprudence concernant l’activation ou non des clauses d’exclusion », peut-on lire dans le guide.
Bien réagir après la cyberattaque par ransomware
Lorsque l'entreprise est prise dans le piège du ransomware, il faut agir vite et bien. Autant donc adopter les bons réflexes pour limiter la casse et sortir du traquenard. « Le premier réflexe est d’ouvrir une main courante permettant de tracer les actions et les événements liés à l’incident. Chaque entrée de ce document doit contenir, à minima : l’heure et la date de l’action ou de l’événement ; le nom de la personne à l’origine de cette action ou ayant informé sur l’événement ; la description de l’action ou de l’événement », indiquent l'ANSSI et le ministère de la Justice. Outre un dépôt de plainte complémentaire auprès de la police ou de la gendarmerie, la déconnexion des systèmes de sauvegardes s'impose également, tout en s'assurant de bloquer toutes les communications vers et depuis Internet afin de limiter la propagation et éviter autant que faire se peut l'envoi de données sur des serveurs pirates. « Afin de limiter la diffusion du rançongiciel et le chiffrement de données sur de nouvelles machines, il est préférable de laisser éteints les équipements non démarrés (par exemple : retour de congés d’un employé ou démarrage d’une machine en début de journée) et d’interdire l’utilisation de supports de stockage amovibles (clé USB, disque dur externe, etc.) », suggère également le guide. Rien ne sert pas ailleurs de payer la rançon : aucune assurance de retrouver ses données et surtout cela permet aux cyberpirates de s'assurer que les moyens mis en place pour extorquer les entreprises fonctionnent bien.
« Concernant les équipements infectés, il est préférable de réinstaller le système sur un support connu et de restaurer les données depuis les sauvegardes effectuées, de préférence, antérieures à la date de compromission du système. Il s’agit de vérifier que les données restaurées ne sont pas infectées par le rançongiciel », préviennent en outre l'ANSSI et le ministère de la Justice.