Les ransomwares font continuellement la une des journaux en raison de la tactique de choc qui caractérise ce type de cyberattaque. Des attaques telles que l'infection par ransomware de Colonial Pipeline ont eu un impact réel, affectant l'accès au carburant pour 50 millions de personnes aux États-Unis.
D'autres, comme l'attaque par ransomware contre Acer, ont des demandes de rançon si importantes, 50 millions de dollars dans le cas d'Acer, que le monde entier s'assied et écoute.
Cependant, les ransomwares ne sont pas seulement un problème pour une entreprise très médiatisée. Un rapport de 2022 de Cyberedge Group a révélé que 71 % des entreprises ont été touchées par un ransomware en 2021.
Les ransomwares rapportent une fortune aux gangs de cybercriminels à l'origine de ces logiciels malveillants. Chainanalysis estime que les gangs de ransomware ont gagné environ 692 millions de dollars en crypto-monnaie en 2020.
Les gains importants générés par la cybercriminalité, comme les ransomwares, risquent d'entraîner d'autres attaques à l'horizon. Alors, comment l'entreprise moyenne peut-elle prévenir les attaques de ransomware ?
Les cinq meilleures façons de prévenir les attaques de ransomware
L'attaque du ransomware Colonial Pipeline a commencé par un mot de passe compromis publié sur un site web obscur. Ce mot de passe se trouvait très probablement sur le dark web parce qu'il avait été volé lors d'une attaque par hameçonnage. Le piratage d'un compte d'employé est la porte d'entrée d'un système d'exploitation, et les attaques de phishing constituent un moyen très efficace d'accéder aux identifiants de connexion, à l'aide de liens ou de pièces jointes malveillants.
Le 2021 Verizon Data Breach Investigation Report (DBIR) attribue 61 % des violations à des informations d'identification compromises. Le même rapport associe un tiers de ces brèches au phishing. Un pirate n'a pas besoin de compromettre le compte d'un administrateur réseau pour obtenir un accès privilégié. Si le pirate dispose des informations d'identification d'un employé, il peut obtenir des privilèges d'accès à l'intérieur du réseau.
Les pirates utilisent pour cela une technique connue sous le nom de "mouvement latéral" : le pirate utilise les vulnérabilités d'autres logiciels, tels que le protocole Kerberos et Active Directory, pour augmenter ses privilèges jusqu'à ce qu'il ait les clés du château et puisse installer des rançongiciels (et voler des données) à volonté.
C'est dans la chaîne des événements qui conduisent à une infection par un ransomware que les meilleures pratiques entrent en jeu. Si vous pouvez mettre en place des couches préventives tout au long de cette chaîne d'attaque, vous pourrez arrêter le pirate du ransomware dans son élan.
Voici cinq des meilleurs moyens de prévenir les attaques de ransomware :
Meilleure pratique 1 : exercices de simulation de phishing
Cette meilleure pratique est votre couche de base et peut arrêter le ransomware avant qu'il ne devienne un incident. Le phishing évolue vers des tactiques de plus en plus sophistiquées, et le spear-phishing l'est encore plus.
Par exemple, de nombreuses attaques de ransomware ciblent un type spécifique d'utilisateur ou d'employé. Les attaquants utiliseront ensuite le type de langage habituellement utilisé dans les échanges d'e-mails avec cette personne pour manipuler son comportement. Les exercices de simulation d'hameçonnage doivent refléter ce niveau de sophistication et fournir des modèles basés sur les rôles pour créer des spams.
Meilleure pratique 2 : Formation holistique de sensibilisation à la sécurité
Le hameçonnage et l'ingénierie sociale offrent des points d'entrée dans un réseau en fournissant un mécanisme pour voler les identifiants de connexion. La formation à la sensibilisation à la sécurité est un autre élément fondamental de la prévention des ransomwares. Elle permet de sensibiliser les employés à l'importance des bons comportements en matière de sécurité.
L'hygiène de sécurité, comme la création de bons mots de passe et le fait de ne pas partager trop d'informations sur les médias sociaux, aide à développer une couche proactive autour d'une organisation. Avec des simulations d'hameçonnage basées sur les rôles, la formation à la sensibilisation à la sécurité est la protection la plus efficace contre les ransomwares pour aider à créer une culture de la sécurité.
Meilleure pratique 3 : confiance zéro et moindre privilège
Les utilisateurs privilégiés peuvent être une cible très efficace pour les attaquants de ransomware. En tant que tels, ils attirent les cybercriminels comme les abeilles le miel. À tel point que deux tiers des entreprises considèrent les utilisateurs privilégiés comme leur plus grande menace interne. Il faut donc considérer les utilisateurs privilégiés comme un groupe et les former de manière appropriée aux types de phishing et d'ingénierie sociale auxquels ils sont le plus exposés.
En outre, une organisation doit définir une stratégie pour traiter ces utilisateurs privilégiés et l'accès aux comptes. Le principe du "moindre privilège" devrait constituer le cadre de cette stratégie. Ce principe s'inscrit dans le cadre d'un modèle de sécurité à confiance zéro, qui consiste à ne jamais faire confiance et à toujours vérifier les tentatives d'accès pour contrôler cet accès à un niveau granulaire.
La sécuritéà confiance zéro fonctionne en parallèle avec des technologies habilitantes telles que la gestion des identités et des accès (IAM) et des règles qui déclenchent ces mesures pour mettre en œuvre des contrôles et des mesures robustes, telles que l'exigence d'une authentification supplémentaire pour accéder aux ressources sensibles.
Meilleure pratique 4 : Veillez à inclure les travailleurs à distance dans votre stratégie de prévention des ransomwares
La pandémie de Covid-19 a normalisé le modèle de travail hybride dans lequel nous travaillons parfois à domicile. Le travail à distance modifie la dynamique de la sécurité, donnant potentiellement une longueur d'avance aux cybercriminels. Toutefois, des approches et des mesures spécifiques permettent aux pirates informatiques d'éviter d'extorquer les travailleurs à domicile.
L'une d'entre elles est l'utilisation d'un réseau privé virtuel (VPN) sécurisé . Un VPN étend la sécurité du périmètre d'un réseau au bureau à domicile. Il crypte les données envoyées par des connexions Wi-Fi potentiellement non sécurisées afin d'éviter que des informations telles que des données personnelles ou des identifiants de connexion ne soient interceptés par un pirate informatique. Un VPN peut également être utilisé pour garantir que l'accès aux applications de l'entreprise est sécurisé.
En plus d'un VPN sécurisé, les bureaux à domicile doivent être évalués pour détecter les failles de sécurité potentielles, notamment les imprimantes domestiques non sécurisées. En outre, les travailleurs à domicile devraient recevoir une formation améliorée de sensibilisation à la sécurité qui reflète leur environnement de travail.
Meilleure pratique 5 : sécurisez votre réseau selon une norme de sécurité et effectuez des évaluations régulières
Plusieurs cadres et normes de sécurité offrent des conseils sur la mise en œuvre d'une sécurité solide et la protection de vos points finaux.
Le National Institute for Standards and Technology (NIST) a publié un profil de cadre de cybersécurité pour la gestion des risques liés aux ransomwares. Ce document est actuellement à l'état de projet, mais il constitue une bonne ressource pour obtenir des conseils sur la prévention d'une attaque par ransomware. Le document est basé sur les cinq fonctions du cadre de cybersécurité (également du NIST) :
- Identifier
- Protéger
- Détecter
- Répondez à
- Récupérer
Le cadre comprend nos cinq meilleures pratiques pour remédier au risque de ransomware.
La norme ISO27001 est une norme de sécurité internationale qui guide le développement d'un SMSI (système de gestion de la sécurité de l'information). La norme ISO27001 utilise une approche holistique de la sécurité qui intègre les personnes, les processus et la technologie ; ce cadre couvre les exploits dans l'ensemble du paysage des menaces et comprend l'ingénierie sociale et les exploits techniques.
Les cadres et les normes fournissent le travail de base pour garantir l'application des meilleures pratiques de sécurité. Ils contiennent également des lignes directrices sur l'évaluation de ces mesures, qui comprennent la sensibilisation des employés à la sécurité et l'hygiène en matière de sécurité.
Les ransomwares constituent une grave menace pour toutes les entreprises. Toutefois, il est possible d'atténuer les effets des ransomwares en appliquant nos cinq meilleures pratiques et en fermant systématiquement la porte à cette cybermenace des plus préoccupantes.
