Les rançongiciels font continuellement la une des journaux en raison des tactiques de choc qui caractérisent ce type de cyberattaque. Des attaques telles que l’infection par le ransomware de Colonial Pipeline ont eu un impact réel, affectant l’accès au carburant de 50 millions de personnes aux États-Unis.

D’autres, comme l’attaque de ransomware contre Acer, ont des demandes de rançon si importantes, 50 millions de dollars dans le cas d’Acer, que le monde s’assoit et écoute.

Cependant, les rançongiciels ne sont pas seulement un problème pour les entreprises les plus en vue. Selon un rapport de Cyberedge Group datant de 2022, 71 % des entreprises seront touchées par des ransomwares en 2021.

Les ransomwares rapportent une fortune aux gangs de cybercriminels à l’origine de ces logiciels malveillants. Chainanalysis estime que les gangs de ransomware ont gagné environ 692 millions de dollars en crypto-monnaie en 2020.

Les gains importants générés par la cybercriminalité, comme les ransomwares, risquent d’entraîner d’autres attaques à l’horizon. Alors, comment l’entreprise moyenne peut-elle prévenir les attaques de ransomware ?

Les cinq meilleures façons de prévenir les attaques de ransomware

L’attaque du ransomware Colonial Pipeline a commencé par un mot de passe compromis publié sur un site web obscur. Ce mot de passe se trouvait très probablement sur le dark web parce qu’il avait été volé lors d’une attaque par hameçonnage. Le piratage d’un compte d’employé est la porte d’entrée d’un système d’exploitation, et les attaques de phishing constituent un moyen très efficace d’accéder aux identifiants de connexion, à l’aide de liens ou de pièces jointes malveillants.

Le rapport d’enquête sur les violations de données (DBIR) de Verizon pour 2021 attribue 61 % des violations à des informations d’identification compromises. Le même rapport établit un lien entre un tiers de ces violations et l’hameçonnage. Un pirate n’a pas besoin de compromettre le compte d’un administrateur de réseau pour obtenir un accès privilégié. S’il possède les informations d’identification d’un employé, il peut obtenir des privilèges d’accès une fois qu’il a pénétré dans un réseau.

Les pirates utilisent une technique connue sous le nom de « mouvement latéral » ; le pirate utilise les vulnérabilités d’autres logiciels, tels que le protocole Kerberos et Active Directory, pour augmenter ses privilèges jusqu’à ce qu’il ait les clés du château et puisse installer un ransomware (et voler des données) à sa guise.

C’est dans la chaîne d’événements qui mène à l’infection par un ransomware que les meilleures pratiques entrent en jeu. Si vous pouvez mettre en place des couches préventives tout au long de cette chaîne d’attaque, vous pourrez arrêter le pirate de ransomware dans son élan.

Voici cinq des meilleurs moyens de prévenir les attaques de ransomware :

Meilleure pratique 1 : Exercices de simulation d’hameçonnage

Cette meilleure pratique est votre couche de base et peut arrêter le ransomware avant qu’il ne devienne un incident. Le phishing évolue vers des tactiques de plus en plus sophistiquées, et le spear-phishing l’est encore plus.

Par exemple, de nombreuses attaques de ransomware ciblent un type spécifique d’utilisateur ou d’employé. Les attaquants utilisent alors le type de langage habituellement utilisé dans les échanges de courriels avec cette personne pour manipuler son comportement. Les exercices de simulation d’hameçonnage doivent refléter ce niveau de sophistication et fournir des modèles basés sur les rôles pour créer de faux courriels de spam.

Meilleure pratique 2 : Formation holistique de sensibilisation à la sécurité

Le phishing et l’ingénierie sociale offrent des points d’entrée dans un réseau en fournissant un mécanisme pour voler les identifiants de connexion. La formation à la sensibilisation à la sécurité est un autre élément fondamental de la prévention des ransomwares, qui permet aux employés de prendre conscience de l’importance d’adopter de bons comportements en matière de sécurité.

L’hygiène de sécurité, comme la création de bons mots de passe et le fait de ne pas partager trop d’informations sur les médias sociaux, aide à développer une couche proactive autour d’une organisation. Avec des simulations d’hameçonnage basées sur les rôles, la formation à la sensibilisation à la sécurité est la protection la plus efficace contre les ransomwares pour aider à créer une culture de la sécurité.

Meilleure pratique 3 : confiance zéro et moindre privilège

Les utilisateurs privilégiés peuvent être une cible très efficace pour les attaquants de ransomware. En tant que tels, ils attirent les cybercriminels comme des abeilles vers le miel. À tel point que deux tiers des entreprises considèrent les utilisateurs privilégiés comme leur plus grande menace interne. Par conséquent, les utilisateurs privilégiés doivent être considérés comme un groupe et formés de manière appropriée aux types de phishing et d’ingénierie sociale auxquels ils sont le plus exposés.

En outre, une organisation doit définir une stratégie pour gérer ces utilisateurs privilégiés et l’accès aux comptes. Le principe du « moindre privilège » doit constituer le cadre de cette stratégie. Ce principe s’inscrit dans le cadre d’un modèle de sécurité « zéro confiance », qui consiste à ne jamais faire confiance et à toujours vérifier les tentatives d’accès afin de contrôler cet accès à un niveau granulaire.

La sécurité zéro confiance s’accompagne de technologies habilitantes telles que la gestion des identités et des accès (IAM) et de règles qui déclenchent ces mesures pour mettre en œuvre des contrôles et des mesures robustes, tels que l’exigence d’une authentification supplémentaire pour accéder aux ressources sensibles.

Meilleure pratique 4 : Veillez à inclure les travailleurs à distance dans votre stratégie de prévention des ransomwares

La pandémie de Covid-19 a normalisé le modèle de travail hybride dans lequel nous travaillons parfois à domicile. Le travail à distance modifie la dynamique de la sécurité, donnant potentiellement une longueur d’avance aux cybercriminels. Toutefois, des approches et des mesures spécifiques permettent aux pirates informatiques d’éviter d’extorquer les travailleurs à domicile.

L’une d’entre elles est l’utilisation d’un réseau privé virtuel (VPN) sécurisé . Un VPN étend la sécurité du périmètre d’un réseau au bureau à domicile. Il crypte les données envoyées par des connexions Wi-Fi potentiellement non sécurisées afin d’éviter que des informations telles que des données personnelles ou des identifiants de connexion ne soient interceptés par un pirate informatique. Un VPN peut également être utilisé pour s’assurer que l’accès aux applications de l’entreprise est sécurisé.

En plus d’un VPN sécurisé, les bureaux à domicile devraient être évalués pour détecter d’éventuelles lacunes en matière de sécurité, y compris des imprimantes domestiques non sécurisées. En outre, les travailleurs à domicile devraient bénéficier d’une formation améliorée de sensibilisation à la sécurité qui reflète leur environnement de travail.

Meilleure pratique 5 : Sécurisez votre réseau selon une norme de sécurité et procédez à des évaluations régulières

Plusieurs cadres et normes de sécurité offrent des conseils sur la mise en œuvre d’une sécurité solide et la protection de vos points finaux.

Le National Institute for Standards and Technology (NIST) a publié un profil de cadre de cybersécurité pour la gestion des risques liés aux ransomwares. Ce document est actuellement à l’état de projet, mais il constitue une bonne source de conseils sur la prévention d’une attaque par ransomware. Le document est basé sur les cinq fonctions du cadre de cybersécurité (également du NIST) :

  1. Identifier

  2. Protéger

  3. Détecter

  4. Répondre

  5. Récupérer

Le cadre comprend nos cinq meilleures pratiques pour remédier au risque de ransomware.

ISO27001 est une norme de sécurité internationale qui guide le développement d’un SGSI (système de gestion de la sécurité de l’information). ISO27001 utilise une approche holistique de la sécurité qui intègre les personnes, les processus et la technologie ; ce cadre couvre les exploits dans l’ensemble du paysage des menaces et comprend l’ingénierie sociale et les exploits techniques.

Les cadres et les normes constituent le fondement de l’application des meilleures pratiques en matière de sécurité. Ils contiennent également des lignes directrices sur l’évaluation de ces mesures, qui comprennent la sensibilisation des employés à la sécurité et l’hygiène de sécurité.

Les ransomwares constituent une grave menace pour toutes les entreprises. Toutefois, il est possible d’atténuer les effets des ransomwares en appliquant nos cinq meilleures pratiques et en fermant systématiquement la porte à cette cybermenace des plus préoccupantes.

Risque de ransomware