Comment faire face à une attaque ransomware ?

Les attaques par ransomware représentent incontestablement l'une des plus grandes menaces cybernétiques qui pèsent actuellement sur des organisations à travers le globe. Le montant moyen demandé dans le cadre d’une attaque ransomware a augmenté de 144 % en 2021, atteignant 2,2 millions de dollars (contre 900 000 dollars en 2020).

Les pirates ont modifié leur stratégie, se détournant des consommateurs ordinaires pour cibler l'argent, en portant leur attention sur les entreprises, où le retour sur investissement est considérablement plus élevé. Les secteurs les plus fréquemment pris pour cibles comprennent les administrations locales, les établissements d'enseignement supérieur, le domaine technologique, les soins de santé, l'industrie manufacturière, les services financiers et les entreprises médiatiques. Toutefois, chaque secteur et chaque entreprise est vulnérable et se doit de mettre en place toutes les mesures nécessaires pour prévenir une telle attaque.

Malheureusement, de nombreuses organisations ne prennent pas cette menace suffisamment au sérieux. Ce n'est qu'une fois qu'elles sont touchées par une attaque ransomware dévastatrice qu'elles investissent le temps et les ressources nécessaires pour améliorer leur posture en matière de cybersécurité. À ce stade, il est souvent trop tard, car les dommages sont déjà faits.

Qu’est-ce qu’un ransomware ?

Les ransomwares sont une catégorie de logiciels malveillants qui empêchent les utilisateurs d'accéder à leur système en chiffrant les fichiers et en demandant le paiement d'une rançon pour déverrouiller le système. Le paiement de la rançon est généralement exigé en bitcoin ou dans d'autres cryptomonnaies difficiles à retracer. Les cybercriminels fixent généralement un délai pour le paiement de la rançon, menaçant de doubler la somme ou de verrouiller définitivement les fichiers si ce délai est dépassé.

Certaines variantes de ransomware sont conçues pour se propager rapidement à d'autres machines au sein d'un réseau. C'est précisément ce qui s'est produit lors de l'attaque WannaCry de 2017, où le ransomware a crypté des centaines de milliers d'ordinateurs dans plus de 150 pays en quelques heures seulement, paralysant ainsi un tiers des services de santé britanniques du NHS.

Comment se fait-on infecter par un ransomware ?

Les ransomwares peuvent infecter votre ordinateur de diverses manières. La méthode la plus courante consiste à envoyer des e-mails de phishing contenant des liens ou des pièces jointes malveillants. Ces e-mails semblent provenir de sources fiables, mais une fois que vous cliquez sur le lien ou ouvrez la pièce jointe, le logiciel malveillant s'installe sur votre système et commence à chiffrer les fichiers.

Les ransomwares peuvent également être diffusés via des connexions de bureau à distance compromises, des sites web malveillants, des supports amovibles infectés, voire des applications de messagerie sur les réseaux sociaux.

Que faire en cas d'attaque ransomware ?

Ransomware que faire ? Isoler les machines infectées

Lorsqu'une attaque ransomware survient, la rapidité d'action est essentielle. Si vous suspectez que votre ordinateur est infecté, déconnectez-le immédiatement du réseau en débranchant le câble Ethernet et en désactivant les fonctions Wi-Fi, Bluetooth et autres fonctions réseau. Les ransomwares se propagent par le biais de votre réseau, donc en isolant la machine infectée, vous évitez sa propagation à d'autres appareils. Si vous soupçonnez que plusieurs machines sont compromises, appliquez les mêmes mesures.

Informer votre équipe de sécurité informatique

Votre équipe informatique doit être rapidement alertée pour contenir la propagation du ransomware et mettre en place les procédures adéquates pour faire face à l'attaque. C'est là qu'un plan de réponse aux incidents prend tout son sens, garantissant une gestion appropriée de l'incident, la collecte et l'enregistrement de toutes les preuves, ainsi qu'une résolution rapide et efficace. Fournir une chronologie détaillée de l'incident permettra d'identifier les vulnérabilités dans les procédures et d'améliorer la sécurité pour l'avenir.

En savoir plus : L'importance du rapport d'incident de sécurité

Identifier le type de ransomware

Si vous parvenez à identifier le type de ransomware utilisé dans l'attaque, cela vous aidera à comprendre son mode de propagation, les fichiers qu'il chiffre et comment le supprimer. Il existe de nombreuses souches de ransomware, mais les deux plus courantes sont le ransomware de verrouillage d'écran, qui verrouille le système tout en préservant les fichiers jusqu'au paiement de la rançon, et le ransomware de chiffrement, qui chiffre les données sensibles et exige un paiement pour les déchiffrer.

Informer les employés

Il est impératif d'informer immédiatement vos employés qu'une violation a eu lieu. Expliquez les répercussions sur l'entreprise et les mesures prises pour atténuer l'incident. Que leurs ordinateurs aient été directement touchés ou non, il est probable qu'il y ait des perturbations opérationnelles pendant l'enquête. Il est donc essentiel d'être transparent et de tenir les employés informés de l'évolution de la situation.

Modifier les identifiants

Les ransomwares peuvent se propager en collectant des adresses IP et des informations d'identification. Si les pirates parviennent à compromettre les informations d'identification de l'administrateur, ils peuvent se déplacer dans le réseau, chiffrer les fichiers et effacer les sauvegardes. Pour sécuriser votre système et empêcher les pirates de contrarier vos efforts de récupération, modifiez immédiatement tous les identifiants d'administrateur et d'utilisateur.

Conserver une preuve de la demande de rançon

Si possible, prenez une photo de la demande de rançon avec votre téléphone portable. Cette preuve peut être essentielle lorsque vous signalez l'incident à la police ou lorsque vous déposez une demande d'indemnisation auprès d'une assurance contre les cyberattaques. La photo peut également fournir des informations supplémentaires sur la méthode de l'attaque.

Avertir les autorités

Il est crucial d'informer la police en cas d'attaque afin de permettre une enquête approfondie et d'empêcher que d'autres entreprises subissent le même sort. Si votre organisation traite des données de citoyens de l'UE, vous êtes légalement tenu, en vertu du RGPD, de notifier l'ICO dans les 72 heures suivant la découverte de la violation. Le non-respect de ces règles peut entraîner des amendes allant jusqu'à 4 % du chiffre d'affaires annuel ou 20 millions d'euros, selon le montant le plus élevé.

Ne jamais payer la rançon

La National Crime Agency recommande vivement aux organisations de ne pas payer de rançon, car cela encourage les cybercriminels à poursuivre leurs attaques. Le paiement ne garantit pas nécessairement la récupération des fichiers, et cela accroît les risques de futures cibles.

Ransomware que faire après ? Mettre à jour les systèmes de sécurité

Une fois l'incident résolu, effectuez un audit de sécurité et mettez à jour tous les systèmes. Les mises à jour doivent être appliquées dès qu'elles sont disponibles pour empêcher les pirates d'exploiter les vulnérabilités des anciennes versions de logiciels. L'application régulière de correctifs maintiendra vos machines à jour, stables et protégées contre les logiciels malveillants.

Récupérer les données à partir des sauvegardes

La clé d'une récupération rapide après une attaque ransomware réside dans la disponibilité de sauvegardes à jour de vos données essentielles. La règle 3-2-1 est une pratique exemplaire en matière de sauvegarde et de récupération : avoir trois copies de vos données dans deux formats de stockage différents, dont au moins une copie hors site. Cela vous permettra de récupérer vos données rapidement sans céder au chantage de la rançon.

Comment prévenir les attaques ransomware ?

• Offrez régulièrement une formation de sensibilisation à la cybersécurité à vos employés pour les tenir informés de l'évolution des cybermenaces et leur apprendre à repérer les signes précurseurs d'une attaque.
• Effectuez des sauvegardes régulières de vos données.
• Limitez les autorisations des utilisateurs pour installer et exécuter des applications logicielles, restreignant ainsi la capacité des logiciels malveillants à se propager dans votre réseau.
• Mettez régulièrement à jour vos logiciels et appliquez rapidement les correctifs disponibles.
• Installez un logiciel antivirus sur tous vos appareils.
• Analysez tous les e-mails entrants et sortants pour détecter les menaces.
• Suivez les meilleures pratiques de sécurité pour minimiser le risque d'infection, notamment en évitant de cliquer sur des liens ou de télécharger des pièces jointes provenant de sources inconnues.
• Configurez vos pare-feu pour bloquer l'accès aux adresses IP malveillantes.
•  Créez des mots de passe solides et activez l'authentification à deux facteurs pour renforcer la sécurité de vos comptes.

Attaque ransomware : que faire pour vous protéger ?

Le phishing demeure la principale source de cyberattaques et reste l'un des moyens les plus courants de voler des données précieuses et de propager des ransomwares. Le logiciel de simulation phishing MetaPhish a été conçu pour offrir une défense robuste contre ces menaces, permettant aux organisations d'évaluer leur vulnérabilité au phishing. N'hésitez pas à nous contacter pour en savoir plus sur la manière dont MetaPhish peut protéger votre entreprise.