TRANSITION NUMÉRIQUE - INNOVATION - COMPÉTITIVITÉ

24Oct 2019

Ransomware : comment éviter le pire ?

Par Inès FERNANDES Entreprises, Sécurité, Technologies

Imaginez que toutes les données de vos serveurs soient subitement chiffrées ! Et même sanction pour vos solutions de stockage, vos postes et vos sauvegardes. Toutes vos informations sont subitement inaccessibles… sauf si vous acceptez de payer une rançon…
Voyez-vous de quoi nous allons parler aujourd’hui ? Oui, il s’agit bien de ransomware, ou rançongiciels – un sujet bien d’actualité qui nous concerne tous.

La cybersécurité… tous concernés

Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) annonçait dans son baromètre annuel[1] publié en début d’année que 80% des entreprises ont été victimes d’au moins une cyberattaque en 2018 et 48% d’entre elles ont subi au moins quatre cyberattaques.

Si on regarde d’un peu plus près les attaques au ransomware, McAfee Labs Threats Report rapporte une augmentation de 118%[2] rien qu’au cours du premier trimestre 2019. Autre statistique inquiétante, les conséquences sur le business (arrêt de la production, site internet indisponible, perte de CA…) sont de plus en plus importantes. Une entreprise française a ainsi chiffré son préjudice à 62 millions d’euros, après une attaque par ransomware subie en juin dernier.

Depuis les tristement célèbres Wannacry, puis Adylkuz, les noms changent, Dharma, Ryuk et autre GandCrab, mais le procédé reste le même. Ne pas payer et voir toutes ces données divulguées sur le net, ou disparaitre à jamais. Payer et figurer parmi les victimes d’un business géré par des criminels extrêmement bien organisés et compétents. Dilemme.

Et s’il fallait prendre encore d’avantage la mesure de ce phénomène, rappelons qu’Europol a lancé en 2016 le projet No More Ransom qui développe et met à disposition des outils de déchiffrement. No More Ransom a déjà aidé plus de 200 000 entreprises et déchiffré une centaine de ransomware.[3]

Fait nouveau sur le sujet ransomware, les entreprises commencent à témoigner, et à révéler l’ampleur d’un phénomène qui touche toutes les entreprises ! Alors qu’il y a quelques mois, l’évocation par un média d’une attaque par ransomware pouvait valoir une réaction virulente de l’entreprise citée, il n’est plus rare maintenant de voir des entreprises communiquer.
C’est par exemple le cas de la chaîne de TV M6 qui a annoncé avoir été attaquée en octobre 2019, et a évoqué le faible impact sur ses émissions, mais l’interdiction d’usage d’une partie de son système d’information.
Fleury Michon a ainsi présenté toute la gestion de crise mise en œuvre suite à une attaque sur un service RDP exposé sur une machine virtuelle, avec une attaque en force brute. La communication réalisée par cette entreprise doit inciter ses homologues à anticiper… ce qui parait de plus en plus possible : une crise de cyber sécurité provoquée par un ransomware.

Qu’est-ce qu’un ransomware ?

Un rançongiciel (ransomware en anglais) est un logiciel malveillant qui bloque l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès.[4]

Le principe du ransomware ne s’appuie plus toujours sur une pièce jointe. Les méthodes recensées sont désormais assez nombreuses : téléchargement de fichiers sur une page web, depuis un espace Cloud, ou sur une clef USB. Il peut s’agir aussi de relances fictives –mais très crédibles- pour des factures, de pop-up s’ouvrant sur des pages web et incitant au clic, etc.

Ensuite… le principe est très simple : quand vous aurez cliqué sur le ransomware, il va chiffrer des fichiers de votre disque, voire tout votre disque, et demander le paiement de rançon par carte bancaire, ou versement en Bitcoins. Dans l’entreprise, il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise.

Comment se protéger contre ces attaques ? 

Seule solution contre ces nouveaux risques : une stratégie globale permettant une défense en profondeur, combinant sécurité informatique, sauvegarde des données, et information des utilisateurs !

    -Le comportement de l’utilisateur 

La première des règles est d’être vigilant et de garder du recul sur les messages que l’on peut voir ou recevoir. Ne faites pas aveuglément confiance à des mails provenant de personnes censées être connues. Toujours penser à la possibilité d’une usurpation d’identité ou d’un virus !
Le site du gouvernement dédié à la cyber malveillance rappelle les fondamentaux à respecter pour limiter les risques.

    -Et le phishing en entreprise, on en parle ?

Oui parce qu’il peut être suivi d’une attaque par ransomware. La pratique consiste à se faire passer auprès d’une entreprise pour un tiers connu et réputé dans le but de récupérer frauduleusement des informations sur les coordonnées des salariés, ou sur les infrastructures techniques ou informatiques d’une organisation. Ces méthodes utilisent le mail ou le téléphone, plus rarement le courrier, et peuvent intégrer des landing pages bien conçues.

Comment repérer les mails frauduleux[6] qui pourraient créer les conditions d’une attaque ? Quelques indicateurs sont à connaître :
-Si vous avez le moindre doute, observez bien le nom de domaine de l’expéditeur. Prend-il la même forme qu’habituellement ?
-Les fautes sont également un bon indicateur d’un mail frauduleux, même si ceux-ci de plus en plus ‘travaillés’.
-Ne vous connectez jamais à partir d’un e-mail : saisissez plutôt l’adresse du service directement dans le navigateur.

    -La sauvegarde hors site

Parce qu’il n’y a pas de réponse unique contre les ransomware, parce qu’ils ne sont pas les seuls risques pour les données des entreprises[7], il convient de rappeler que l’essentiel quand les données sont perdues… c’est bien d’être en capacité de les restaurer, et donc d’avoir prévue une ou plusieurs sauvegardes.

Sauvegarde sur site, oui obligatoirement, mais pas seulement. Car non seulement le local où sont produites les données peut être victime d’un sinistre ou d’un acte malveillant mais en plus, les menaces actuelles visent à corrompre les sauvegardes. Mieux vaut donc que celles-ci soient également externalisées.

Le principe de la sauvegarde hors site est maintenant admis par toutes les organisations.

     – Sauvegarde des données des postes de travail.
Adista Work Station Back Up concerne le périmètre des postes de travail. Il s’agit d’un service automatique et transparent, qui décharge les entreprises des contraintes techniques de sauvegarde, et met à leur disposition des techniques de gestion des versions, de chiffrement et de traçabilité.

      – Sauvegarde des serveurs

    • Veeam Cloud Connect par Adista

Adista met à disposition d’une entreprise l’espace dédié nécessaire à la copie des données dans un Datacenter Adista. En respectant les référentiels de sauvegarde et en cas d’incident grave, l’entreprise pourra restaurer des serveurs virtuels, des fichiers situés dans un serveur virtuel, ou des espaces de stockage dans un serveur virtuel. Celle-ci doit disposer de Veeam Backup et Réplication sur son site, qu’elle manage elle-même.

    • Back up as a service par Adista

Adista propose un service encore plus complet aux entreprises et leur permet de disposer d’une sauvegarde totalement opérée et supervisée d’une exploitation on premise. La solution est infogérée par Adista et basée sur Veeam Cloud Connect. L’entreprise doit disposer de Veeam Backup et Réplication ou Veeam Agent sur son site, managé par Adista.

Et vous, vos données sont-elles bien protégées ? Pour le savoir, nos experts vous proposent de compléter ce formulaire. 

 

[1] https://www.cesin.fr/actu-4eme-edition-du-barometre-annuel-du-cesin.html

[2] https://www.mcafee.com/enterprise/fr-ca/threat-center/mcafee-labs/reports.html

[3] https://www.silicon.fr/no-more-ransom-109-ransomware-decryptes-en-3-ans-257841.html

[4] https://www.cybermalveillance.gouv.fr/nos-articles/les-rancongiciels-ou-ransomware/

[5] https://www.cybermalveillance.gouv.fr/nos-articles/les-rancongiciels-ou-ransomware/

[6] https://mag.adista.fr/2016/11/09/phishing-utilisant-la-marque-adista-alerte-a-la-prudence/

[7] https://mag.adista.fr/2019/10/11/les-vulnerablites-zero-days-pourquoi-il-est-necessaire-de-les-anticiper-et-detre-reactif/

https://mag.adista.fr/2019/10/14/suite-les-vulnerablites-zero-days-comment-sen-premunir/

 

Related Posts