« Cela semble facile à dire, surtout quand le risque de perdre des données critiques est assez faible. Cela nécessite aussi une certaine préparation », a ainsi déclaré Michael Corby, consultant exécutif pour CGI Lors d'une conférence sur la cybersécurité organisée la semaine dernière à Boston par SecureWorld. Selon lui, « le plus important est de stocker ses données sous une forme qui ne pourra pas être affectée par le ransomware, en les chiffrant et en les stockant hors du réseau de production ». Ajoutant que l’entreprise « a besoin d'une copie propre des données qui sera facile à restaurer ». Celui-ci recommande également de vérifier « que les sauvegardes fonctionnent ». Restauration et récupération sont donc les maîtres mots, et « il faut bien penser à supprimer le malware avant de procéder à ces opérations ».
Si le consultant préconise de ne pas payer de rançon, il sait aussi que les autorités judiciaires estiment généralement que le paiement de la rançon est parfois inévitable et que c’est aussi le seul moyen pour l’entreprise de récupérer des données essentielles. Elles vont même jusqu'à les encourager à se doter d’un porte-monnaie bitcoin avant d'être affectées par un ransomware. Elles pourront ainsi effectuer un paiement rapide si nécessaire, les ultimatums posés par les pirates étant souvent assez courts.
Déconnecter immédiatement le terminal
La première règle que tous les employés doivent connaître quand l’entreprise est confrontée à un ransomware c’est de ne pas essayer de comprendre ce qui se passe. Dès que la demande de rançon apparaît sur l'écran, le ou les utilisateurs doivent déconnecter immédiatement le poste de travail du réseau et en informer le responsable de la sécurité. À son tour, ce dernier doit mettre en branle son équipe d'intervention, c’est à dire lui-même, mais aussi le département juridique, les relations publiques, les relations humaines, les cadres et l’IT.
En France, l’entreprise doit immédiatement informer la cybergendarmerie ou la police judiciaire. La procédure est contraignante, car en s’adressant aux forces de l’ordre, l’entreprise renonce au contrôle de l'enquête et parfois aux dispositifs et aux données qu’ils contiennent, puisqu’ils peuvent seraient saisis pour la recherche de preuves.
Comment bloquer les ransomwares
Voici quelques-unes des meilleures pratiques que les entreprises doivent adopter pour lutter contre les ransomwares. Ces mesures seront également très bénéfiques pour le réseau en général :
- Sensibiliser les utilisateurs finaux sur les logiciels malveillants en proposant des programmes d’information réguliers.
- Corriger et mettre à jour ses systèmes, y compris les solutions de sécurité et le logiciel antivirus.
- Déculpabiliser l’utilisateur final, afin qu’il n’ait pas peur de signaler l’attaque immédiatement.
- Bien gérer les privilèges des comptes d’administration.
- Désactiver les macros.
- Limiter le Byod à quelques périphériques et leur appliquer des politiques de sécurité strictes.