HomeOFFICE 365Attaques par rançongiciel : prévention, réaction et récupération

Attaques par rançongiciel : prévention, réaction et récupération

Alors que les organisations continuent à s’adapter aux réalités du télétravail, le nombre d’attaques par rançongiciel n’a jamais été aussi élevé. Une chose est certaine : les administrateurs informatiques doivent plus que jamais mettre en place des stratégies de sécurité robustes et des procédures adaptées pour être prêts en cas d’attaque.


En savoir plus :


Afin d’aider les administrateurs à se préparer face à cette menace croissante, AvePoint a réuni certains de ses meilleurs experts en sécurité pour discuter de tout ce qui touche aux rançongiciels dans un nouveau webinaire intitulé « Ransomware: Prevention, Response, and Recovery » (Prévention contre les rançongiciels, réponse et récupération des données). Cliquez ici pour accéder à la présentation dans son intégralité (en anglais) (gratuitement !) ou pour lire un résumé de leur discussion.

Nos intervenants (équipe de sécurité d’AvePoint) :

Dana Simberkoff : directrice du risque, de la confidentialité et de la sécurité des systèmes d’information

Henry Feliu : responsable, technologie de l’information

Alex Varvel : administrateur informatique

James Nankervis : analyste sécurité de l’information et confidentialité

Qu’est-ce qu’un rançongiciel ?

Un rançongiciel (ou ransomware) est un type de logiciel malveillant de la cryptovirologie qui menace de publier les données à caractère personnel de sa victime et bloque l’accès jusqu’au paiement d’une rançon. Malheureusement, ce type d’attaque est de plus en plus fréquent.

Aujourd’hui, les rançongiciels se divisent en deux grandes catégories :

  1. les rançongiciels verrouilleurs,
  2. les rançongiciels crypteurs.

Ces rançongiciels sont souvent associés à des techniques d’exfiltration et d’extorsion. Citons par exemple le logiciel malveillant Babuk qui a frappé la police de Washington DC en 2021.

Le défi pour les organisations

Les attaques par rançongiciel se sont considérablement multipliées, surtout depuis le début de la pandémie. Elles visent de plus en plus les utilisateurs finaux. En effet, il suffit que, depuis chez lui, un utilisateur contourne les protections que vous avez eu tant de mal à mettre en place pour votre infrastructure réseau et vos mécanismes de sécurité sur son périphérique personnel au moment où il a encore accès à tout.

C’est pour cela qu’il est important de surveiller les tendances en matière de rançongiciel et leur fonctionnement, car le coût de ces attaques est de plus en plus élevé.

Le coût croissant des rançongiciels

En 2021, le coût de la cybercriminalité a été estimé à près de 6 mille milliards de dollars. Cette augmentation apparaît également dans le domaine des rançongiciels. En effet, le coût moyen d’une attaque par rançongiciel est passé de 5 000 $ en 2018 à plus de 200 000 $ l’année dernière. En 2021, une rançon record de 40 millions $ a été payée pour un nouveau rançongiciel.

Cependant, le prix de la rançon ne représente pas le coût total de l’attaque. En effet, à la rançon s’ajoutent la perte de productivité, les coûts informatiques, les frais de justice pour essayer de résoudre les problèmes, la mise à jour des outils pour s’assurer que cela ne se reproduira pas et l’ajout de services de reporting et de surveillance supplémentaires. Il est donc très difficile d’évaluer le coût réel d’une attaque.

Multiplication des attaques et conséquence sur la bourse

Les attaques par rançongiciel sont non seulement de plus en plus coûteuses, mais également de plus en plus nombreuses. Au cours du trimestre dernier, le nombre d’attaques a presque égalé le nombre total d’attaques enregistrées en 2020, un chiffre vertigineux en seulement trois mois !

De plus en plus d’individus sont victimes de ces attaques, mais leurs auteurs ciblent également de plus en plus les grandes entreprises et organisations, qu’ils préfèrent aux périphériques individuels plus petits.

Une étude récente portant sur la Bourse de New York a observé une baisse moyenne des actions de 22 % immédiatement après ces attaques. Ce phénomène explique également l’augmentation du nombre d’attaques, qui visent non seulement à obtenir la rançon, mais également à nuire à la marque en manipulant ses actions.

Les experts en sécurité doivent donc sérieusement se pencher sur ces aspects et tenter d’y répondre.

Vecteurs d’attaque courants

Voici les trois vecteurs d’attaque les plus courants que nous avons observés :

  1. Phishing. Le phishing ou hameçonnage est le type d’attaque le plus fréquent, qui touche les organisations de plus grande taille. Ces attaques visent essentiellement les utilisateurs disposant de privilèges, comme les cadres supérieurs.

Il est important de mettre en place une campagne de sensibilisation au phishing et de formation au sein de votre organisation pour lutter contre ce phénomène. Parce que, une fois encore, nos réseaux et nos mécanismes de sécurité ont beau être efficaces pour bloquer un grand nombre de ces attaques, dès que l’utilisateur exécute un programme, il contourne toutes ces portes et tous ces barrages que nous avons mis en place.

  1. Remote Desktop Protocol (RDP). Alors que le nombre de télétravailleurs explose, nous devons nous assurer que les services ouverts sur Internet sont verrouillés avec des contrôles adaptés.
  2. Vulnérabilités des logiciels. C’est pour cela qu’il est important de disposer d’un programme d’évaluation des prestataires fiable et d’outils de gestion des risques performants pour vérifier la conformité au sein de votre organisation. Il est également crucial de s’assurer que vous disposez d’une stratégie de correctif adaptée afin de garantir la mise à jour des logiciels après la découverte de ces vulnérabilités.

Lutter contre les rançongiciels : bonnes pratiques technologiques

D’un point de vue proactif, l’un des domaines fondamentaux à exploiter est celui des stratégies et des procédures. En tant qu’organisation, vous devez absolument vous assurer de disposer de toutes les procédures et politiques disponibles.

Outre votre stratégie de gestion des incidents, voici un aperçu des stratégies que vous devez créer, définir, adapter et améliorer en continu :

  • Plan de continuité d’activité (PCA) et plan de récupération d’urgence. L’une des bonnes pratiques consiste à revoir régulièrement votre PCA et votre plan de récupération d’urgence. Nous vous conseillons de le faire au moins une fois par an, en organisant des tests (sous forme de simulations ou de tests blancs) afin de vous familiariser avec les différentes étapes du processus à suivre pour reconnaître, remarquer, localiser et corriger les vulnérabilités potentielles au sein du réseau ou toute violation éventuellement survenue.
  • Stratégie de gestion des correctifs. Cette stratégie vise à s’assurer que tous les périphériques du réseau disposent des correctifs adaptés, par exemple, aux exigences des prestataires ou des fournisseurs de systèmes d’exploitation. Ces correctifs de sécurité doivent être constamment mis à jour afin de garantir la détection rapide de toute vulnérabilité.
  • Stratégies de durcissement des périphériques ou du réseau. Vous devez tenir compte de la capacité à désactiver ou interrompre les services susceptibles d’être utilisés comme vecteur d’attaque ou de violation par des personnes malintentionnées.

Ces stratégies doivent être revues au moins une fois par an (voire plus souvent). Il est également conseillé de les améliorer, perfectionner et de disposer de solutions efficaces pour les déployer.

Lutter contre les rançongiciels : bonnes pratiques opérationnelles

Au niveau exécutif, il y a de nombreuses considérations à prendre en compte. La première est la suivante : « nous ne prévoyons pas d’échouer, mais nous échouons à prévoir. »

La toute première chose que les équipes exécutives, les CISO et les CIO devraient faire avec leur équipe de direction, c’est prévoir que, dans chaque entreprise, il y a inévitablement une personne prête à cliquer sur n’importe quoi. N’attendez pas d’avoir été infecté pour commencer à réfléchir à la marche à suivre.

Vous devez avoir ces conversations de manière proactive avec votre équipe de direction, définir la stratégie à appliquer et monter votre équipe de réponse aux incidents afin de savoir qui devra faire quoi, qui devra être contacté et comment communiquer avec ces personnes, notamment en cas de compromission de vos systèmes.

Assurez-vous d’avoir plusieurs moyens pour communiquer avec les personnes concernées. La communication est primordiale. N’oubliez pas que tout repose sur la combinaison de l’engagement des personnes, des processus et de la technologie.

La technologie vous aidera, à condition qu’elle soit utilisée correctement et que vos utilisateurs finaux et professionnels comprennent ce qu’ils doivent faire et ne pas faire. Notre mission à nous, experts en technologie, est de permettre aux employés de faire plus facilement ce qu’il convient de faire que ce qu’il convient de ne pas faire.

La valeur des sauvegardes

La sauvegarde et la récupération sont un autre élément fondamental à prendre en compte. Tout dépend bien évidemment de l’organisation, car chaque entreprise ou entité peut avoir ses propres justifications ou besoins opérationnels, mais il est conseillé d’effectuer une sauvegarde complète hebdomadaire ou une sauvegarde incrémentielle quotidienne.

L’objectif est de réduire le délai entre l’attaque et vos dernières sauvegardes afin que vous n’ayez aucune inquiétude en matière de perte de données et de continuité de l’activité.

Vous êtes victime d’une attaque ! Que faire ?

Il est essentiel de disposer d’une stratégie de réponse aux incidents ou de gestion des incidents efficace. Vous devez disposer d’une chaîne de commandement ou d’une équipe capable de réagir rapidement aux différents scénarios d’attaque.

En cas de violation des données ou d’activité anormale au sein de votre organisation, vous devez savoir à qui vous adresser. Il s’agit en général d’un manager, qui se charge ensuite de transmettre l’alerte à une chaîne de commandement ou aux membres de l’équipe concernée (par exemple : service informatique ou service de sécurité). Les bonnes pratiques peuvent ainsi être appliquées.

À présent, les chefs des équipes concernées doivent contacter la personne pour lui expliquer la démarche à suivre, à savoir déconnecter le périphérique du réseau, établir une chaîne de possession et recueillir autant d’informations que possible afin de mieux comprendre et identifier ce qu’il s’est exactement passé. Est-ce un acte malveillant ? Est-ce un acte anodin ? Est-ce un malheureux concours de circonstances ?

Le principe « mieux vaut prévenir que guérir » est de mise.

Le secret d’une bonne stratégie

Tout d’abord, vous devez disposer d’une solution pour protéger les données contenues dans votre environnement. Dotez-vous d’un antivirus ou d’un antimalware fiable pour protéger les données hébergées au sein de votre organisation.

Il est également très important de se rappeler que nous protégeons ce qui nous est précieux et que nous améliorons ce que nous mesurons. Ainsi, pour élaborer une bonne stratégie, vous devez vous assurer de comprendre la nature des informations que vous possédez, leur emplacement, qui y a accès et que vous disposiez de conteneurs bien définis conçus pour des méthodes de stockage et sécurisés pour transporter ces données, les utiliser en interne, les partager en interne et les partager en externe pour que vous sachiez toujours exactement où ces données se trouvent.

C’est un peu comme si vous aviez une radiographie ou une carte des données au sein de votre organisation. Ainsi, en cas de compromission d’un compte ou d’un périphérique, vous pourrez identifier rapidement les répercussions de cette attaque non seulement sur le périphérique concerné, mais également sur tout ce à quoi l’utilisateur a accès.

Vous ne pouvez pas tout protéger contre tout le monde, mais vous devez être stratégique dans la manière dont vous définissez les couches à l’intérieur de votre périmètre afin de vous assurer de maîtriser les événements lorsqu’ils se produisent.

Bâtir une organisation soucieuse de la sécurité

Je pense que la plupart d’entre vous ont déjà compris que vos employés et les acteurs innocents constituent bien souvent votre point le plus faible. En effet, faute d’avoir suivi une formation adaptée et de disposer d’une technologie suffisante pour les aider, les employés ont tendance à faire des choix qui leur simplifient autant que possible la tâche.

Chez AvePoint, j’aime répéter que la sécurité est l’affaire de tous. La formation et la sensibilisation sont fondamentales pour travailler efficacement avec vos collaborateurs. Par chance, je pense que, culturellement parlant, nous vivons à une époque où les attaques par rançongiciel ont pris une telle ampleur que les utilisateurs ont beaucoup plus conscience de ce dont il s’agit et de la manière dont ils affectent les individus.

Il est également important de disposer de processus clairement définis pour les différents scénarios. Nous avons déjà dit que, lorsqu’un problème survient, vous devez pouvoir vous appuyer sur une méthodologie très précise en matière d’alerte.

Mais vous devez également vous assurer que vos employés ne tenteront pas de jouer les héros. En effet, lorsqu’un employé pense pouvoir résoudre lui-même le problème, cela peut avoir l’effet inverse et aggraver les choses. L’enjeu est double : signaler l’incident le plus rapidement possible et le contenir. Pour cela, vous devez vous assurer de disposer d’une chaîne de commandement clairement définie pour signaler ces incidents et les faire remonter aux équipes compétentes dès qu’ils se produisent. Ainsi, vous pourrez atténuer les dégâts le plus rapidement possible et limiter vos pertes. Ces processus doivent être définis selon des procédures claires et faciles à suivre.

Enfin, c’est au niveau de la technologie que tout s’articule avec la mise en place de stratégies, comme le principe de moindre privilège et le fait de limiter ce qu’un tiers peut faire avec les informations d’identification d’un collaborateur, le type d’élévation de privilège qu’il peut mettre en place et le type de système auquel il peut accéder. Il est essentiel de mettre en place de bonnes pratiques pour isoler les périphériques, et segmenter et construire les périmètres à l’intérieur du réseau.

Ce que vous pouvez faire MAINTENANT

Dans l’immédiat, vous devriez vous assurer de disposer d’une solution de sauvegarde granulaire régulière. Assurez-vous notamment de pouvoir restaurer vos données à partir des sauvegardes. Savoir que vos données sont sauvegardées est une chose. Savoir que ces données sauvegardées ne peuvent pas être restaurées en est une autre. C’est par ailleurs une chose que je vous invite à vérifier et tester régulièrement.

Le site Internet d’AvePoint propose plusieurs études de cas concernant certains de nos clients qui ont réussi à résister à une attaque par rançongiciel. Ces clients ont pu poursuivre leur activité et continuer à travailler malgré les attaques par rançongiciels grâce à nos logiciels de sauvegarde et notre méthodologie.

Au cours des 30 prochains jours, je vous encourage fortement à élaborer un plan concernant la visibilité et la classification des informations.

Une fois encore, gardez bien en tête que vous ne pouvez pas tout protéger contre tout le monde. Vous devez donc hiérarchiser ce qui est le plus important pour vous et définir les éléments qui seront essentiels pour garantir la poursuite de votre activité. Concentrez vos efforts en priorité sur ce point.

À plus long terme, au cours des trois prochains mois, nous vous conseillons de vous pencher sérieusement sur le contrôle de ces périmètres et sur la manière d’organiser les différents niveaux de défense dans votre réseau. Ce point est très important, d’autant plus à l’heure où de nombreuses entreprises évoluent dans des environnements à distance, basés dans le cloud ou entièrement hybrides. Les données sont partout et accessibles depuis de nombreux points terminaux. Vous devez donc veiller à disposer de contrôles spécialement pensés pour ce type d’environnement de travail.

Pour terminer, la visibilité

Le fait d’avoir une vision granulaire de votre contenu (savoir qui y a accès, comment ces personnes l’utilisent, en ajoutant éventuellement des étiquettes aux informations) vous serait d’une aide très précieuse. Pour cela, vous pouvez utiliser des outils comme Policies & Insights. Ce niveau de visibilité vous permet également de savoir quoi restaurer et quoi isoler en cas de violation.

Nous vous conseillons également d’adopter une approche basée sur un audit et une protection axée sur les données afin d’automatiser l’analyse des données que vous détenez, les classer et vous assurer qu’elles se trouvent au bon endroit et qu’elles sont protégées par des contrôles adaptés à ce groupe.

La gouvernance est un autre niveau de sécurité qui vous permet de vous assurer que vous disposez d’une solution automatisée pour permettre à vos collaborateurs d’accéder à ce dont ils ont besoin et de partager ces informations et collaborer dessus dans des endroits adaptés. Cet aspect est essentiel pour éviter la propagation des informations et leur fuite dans différents services.

Chaque seconde compte. Plus vous réagirez vite à une vulnérabilité ou une attaque, mieux vous vous en sortirez.

Ressources pour l’épisode :

Webinaire : Ransomware: Prevention, Response, and Recovery (Prévention contre les rançongiciels, réponse et récupération des données) (en anglais)

Page produit : Policies & Insights pour Microsoft 365

Page produit : Cloud Backup pour Microsoft 365, Dynamics 365 et Salesforce

Étude de cas sur les rançongiciels :Walls Construction (en anglais)

eBook : Manuel – Atténuer les risques liés à la collaboration

Produits AvePoint

Vous cherchez à assurer une protection optimale de vos données ? AvePoint vous propose Cloud Backup qui vous offre une grande tranquillité d’esprit en cas de catastrophe et récupère rapidement le contenu perdu ou corrompu à partir de vos sauvegardes.


Pour connaître les dernières ressources d’AvePoint, abonnez-vous à notre blog !

More Stories