Cyberattaques : comment se mettre à l'abri de la vague de ransomwares
IBM a récemment découvert que le nombre d'attaques par ransomware menées au cours du deuxième trimestre de cette année avait plus que triplé par rapport au trimestre précédent. Selon le rapport, les demandes de rançon connaissent aussi une croissance exponentielle, passant d'une moyenne de 1 200 dollars par attaque il y a quelques années à plus de 40 millions de dollars aujourd'hui.
En France, de nombreuses entreprises, institutions et municipalités ont récemment été ciblées. Une fois prises au piège, ces organisations pensent souvent qu'elles n'ont pas d'autres choix que de payer la rançon ; or, cela n'offre aucune garantie qu'elles récupéreront leurs données.
De nouveaux risques
Les ransomwares se multiplient car les acteurs malveillants ont changé de tactique : non seulement ils tiennent les données en otage, mais ils menacent désormais aussi de les exposer publiquement. Une autre raison est la disponibilité croissante des « ransomwares-as-a-service », qui donne la possibilité à des cybercriminels néophytes de mener des attaques, en échange d'un versement d'une part des gains au créateur du logiciel malveillant.
En outre, du fait de la pandémie, beaucoup d'entreprises ont sacrifié la cybersécurité pour permettre à leurs employés de travailler à distance rapidement. Les acteurs malveillants tirent donc profit de ces nouveaux télétravailleurs, facilement dupés par des emails ou messages de chat interne malveillants.
Des rudiments à connaître
Bien qu'aucune technologie ne puisse garantir une protection absolue contre les ransomwares, la stratégie la plus efficace consiste à respecter les principes de base de la cybersécurité et à appliquer une approche globale avec rigueur et intégrité via : la gestion des vulnérabilités et les correctifs, la segmentation du réseau, la sécurité des terminaux, les technologies anti-malware, la sécurité des emails et la formation des employés. Par exemple, il ne suffit pas de mettre en place des filtres anti-spams ; il faut les comprendre et les ajuster en fonction des types d'emails indésirables qui sont propres à une organisation donnée.
De même, il ne suffit pas d'organiser une formation commune de sensibilisation à la cybersécurité ; il importe plutôt de veiller à ce que la formation soit adaptée à la fonction des employés et que chacun comprenne l'ampleur des dégâts qu'une seule erreur peut causer à l'activité d'une organisation. En outre, il est important de tenir compte des spécificités du télétravail et d'établir une connexion d'accès à distance sécurisée. Il se trouve en effet que les configurations à distance non sécurisées sont fréquemment utilisées pour les campagnes de ransomware.
Rester vigilant et être prêt à réagir
Compte tenu de la recrudescence des attaques depuis le début de la crise sanitaire, les organisations doivent appliquer des contrôles de sécurité supplémentaires, afin d'être en mesure d'identifier une attaque à un stade précoce et de disposer d'un plan détaillé pour en contenir les dégâts le cas échéant. Ainsi, les données à caractère personnel sont l'une des principales cibles des cybercriminels ; la surface d'attaque est donc à réduire drastiquement, en limitant l'accès aux données sensibles et en révoquant régulièrement les privilèges excessifs.
Pour cela, une organisation doit déterminer quels types de données elle stocke et où elles se trouvent, avec la possibilité de réduire facilement leur surexposition. Cela évitera à une organisation de subir des préjudices importants en cas d'intrusion d'un ransomware dans ses systèmes ; car celui-ci ne pourra accéder qu'à de petites quantités de données, limitées aux autorisations du compte piraté.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
L'un des éléments clés qui permet à une organisation de réagir rapidement aux incidents de sécurité et de les atténuer est aussi la mise en oeuvre d'audit. En effet, toute tentative d'intrusion par ransomware s'accompagne d'anomalies dans le comportement des utilisateurs. Cela peut inclure une série d'activités allant de tentatives de connexion erronées, à des copies ou des modifications de fichiers à grande échelle.
D'autres types d'anomalies qui méritent une attention particulière, surtout à l'ère du travail à distance, sont les nouveaux télétravailleurs à partir d'emplacements géographiques atypiques ainsi que les tentatives d'accès en dehors des heures de travail - une combinaison des deux constituant un avertissement sérieux.
Il est également primordial que les organisations effectuent des sauvegardes fréquentes et complètes afin de pouvoir nettoyer leurs systèmes, puis les réinstaller à partir d'une source connue et fiable. La conservation d'une copie de sauvegarde secondaire hors ligne peut également se révéler utile, car même l'attaque par ransomware la plus grave ne pourra pas affecter le stockage sur des disques durs déconnectés d'autres systèmes.
Enfin, un plan de mesures correctives est à établir. Ce plan doit prévoir la notification immédiate aux autorités en cas de compromission avérée, l'enquête sur les causes profondes et la communication avec les personnes concernées. La capacité à communiquer rapidement avec toutes les parties concernées et à fournir des réponses claires jouera en faveur des organisations dans l'établissement du montant de l'amende.
Finalement, les ransomwares ont toujours pour point de départ des lacunes fondamentales dans la politique de cybersécurité d'une organisation. À mesure que les attaques et l'environnement IT se complexifient, les entreprises auront besoin de solutions capables de rendre la riposte plus facile, plus rapide et plus poussée. Dans l'ensemble, seule une combinaison de procédures, de technologies et de communication peut aider les organisations à réduire au minimum le risque d'attaques par ransomware.
Sur le même thème
Voir tous les articles Cybersécurité