La mise en place du télétravail est évidemment la transformation qui a connu la plus importante accélération en 2020. Mais comme le montrent les résultats du dernier baromètre Dell Technologies Index, le renforcement des dispositifs de sécurité figurent juste derrière. Avec une surface d’attaque considérablement étendue par l’externalisation massive des terminaux, applications et données, les entreprises sont plus que jamais confrontées à la cybermenace. Avec en tête des préoccupations : le ransomware. Les attaques par rançongiciel, déjà particulièrement nombreuses, ont connu une nouvelle accélération ces derniers mois. Nos confrères de Secureworks, société du groupe Dell Technologies, sont sollicités chaque année sur plusieurs centaines d’incidents. Entre septembre et décembre 2020, ils ont réalisé deux fois plus d’interventions que sur tout le reste de l’année. Si les cas les plus emblématiques et les entreprises les plus renommées font régulièrement la une de la presse, toutes les organisations et collectivités, même les plus petites, peuvent en réalité être ciblées.
En prévention, les antivirus de nouvelle génération et technologies EDR (Endpoint Detection and Response) comme VMware Carbon Black, prennent ici tout leur sens pour garder une visibilité totale sur les postes de travail, même à distance. Mais lorsque l’attaque survient malgré tout, il est absolument crucial d’être préparé et de savoir comment réagir. Pour aider les entreprises françaises à anticiper au mieux, l’ANSSI (Agence nationale de sécurité des systèmes d’information) a publié un guide réunissant les bonnes pratiques en matière de lutte contre les ransomwares. L’agence retient sept mesures essentielles à prendre rapidement si vous êtes un jour victime d’une attaque de ce type.
1 – Déconnecter le SI
Commencez par ouvrir une main courante pour conserver l’historique des événements. Ensuite, pour briser la chaîne de propagation, déconnectez les supports de sauvegarde et isolez votre système d’information d’internet. En revanche, plutôt que d’éteindre les postes infectés, placez-les en veille prolongée. Cela permettra de stopper le malware tout en conservant la possibilité d’analyser les machines ultérieurement. Ces dernières peuvent contenir des informations importantes pour comprendre et lutter contre l’infection. De même, ne supprimez pas les données chiffrées. Une solution de déchiffrement existe peut-être, ou existera dans l’avenir. Le site No More Ransom liste les rançongiciels pour lesquels des clés et applications sont disponibles pour déverrouiller vos données.
2 – Activer une cellule de crise
En lien avec le DPO (Délégué à la protection des données), la cellule de crise va organiser la communication et réunir les pièces judiciaires et réglementaires en vue notamment du dépôt de plainte et de la déclaration à l’assureur. Si des données personnelles sont compromises, la CNIL (Commission nationale de l’informatique et des libertés) devra être alertée, ainsi que les personnes concernées.
3 – Contacter des spécialistes
Comme mentionné en préambule, le ransomware peut toucher n’importe quelle organisation publique ou privée. Bien souvent, on constate que les entreprises ont essayé de se défendre seules avant de réaliser qu’elles avaient besoin d’aide. L’ANSSI recommande d’aller chercher dès que possible une assistance technique. Les petites entreprises peuvent se tourner vers la plateforme cybermalvaillance.gouv.fr, qui fera le lien avec des prestataires qualifiés. Les entreprises de taille moyenne, intermédiaire ou grande, devront faire appel à une société spécialisée dans la réponse à incident. Nous avons dans nos équipes des personnes dont c’est le métier, qui traitent ce type d’attaque plusieurs fois par mois et qui savent comment réagir pour ne pas empirer les choses, communiquer sur la situation et aider à restaurer les données.
4 – Dérouler le plan de communication
La stratégie de communication devra être préparée avant que l’attaque ne survienne et non établie dans l’urgence de la crise. Outre la communication externe, n’oubliez pas l’information des collaborateurs qui risquent de voir une demande de rançon apparaître sur leur écran et ne pas savoir comment réagir. Soyez transparent avec les membres de l’organisation tout en vous assurant que ceux-ci respectent la confidentialité des informations transmises.
5 – Ne pas payer la rançon
Ne pas payer. L’ANSSI et tous les spécialistes de la sécurité sont catégoriques sur ce point. Et ce pour plusieurs raisons. Tout d’abord, le paiement ne vous garantit en aucun cas de récupérer vos données. Ensuite, quand bien même vos fichiers seraient déchiffrés, le fait de verser la rançon fait de vous une cible privilégiée pour les pirates, qui savent désormais que votre organisation est disposée à payer et pourraient donc lancer une nouvelle attaque plus tard. Autre point important, le paiement de la rançon contribue à renforcer les groupes de cybercriminels, qui peuvent ainsi se doter de nouveaux outils et recruter de nouvelles compétences pour accroître leur activité. Enfin, le paiement de la rançon risque de nuire fortement à l’image de marque de la société.
6 – Déposer une plainte
L’identification des pirates est un exercice très complexe pour les services de police et gendarmerie spécialisés dans la lutte contre la cybercriminalité. Mais seul un dépôt de plainte peut permettre aux victimes d’obtenir réparation et d’espérer voir les auteurs de l’attaque traduits en justice.
7 – Restaurer les données
Lorsque l’entreprise Maersk a été attaquée par NotPetya en 2017, le seul site dans le monde encore en fonctionnement était celui qui n’était pas connecté à internet. C’est là tout l’intérêt du Cyber Recovery : sanctuariser une copie dédupliquée des données sur un site déconnecté derrière un air gap. Cette politique de Cyber Recovery est la seule qui permette à un RSSI de dormir sur ses deux oreilles. Dans le pire des cas, si un assaillant parvient à passer à travers l’ensemble des outils de défense pour déployer un ransomware, l’entreprise conserve la possibilité de restaurer ses données, de reconstruire son système d’information, et donc de relancer son activité.
Pour que toutes ces bonnes pratiques soient véritablement efficaces le jour J, il faut évidemment qu’elles aient été précédées d’une solide préparation, et surtout, que tous les processus aient été testés en amont. Je vous invite une fois encore à consulter le guide de l’ANSSI dans son entièreté pour y trouver de nombreux conseils précieux à mettre en œuvre. Nos équipes sont bien entendu également à votre disposition pour vous aider à renforcer vos défenses, mener des audits de vulnérabilités, conduire des tests d’intrusion ou exploiter des technologies de pointe comme l’intelligence artificielle pour améliorer la prévention et la détection. Nous disposons de plus de 800 spécialistes de la cybersécurité dans le monde. N’hésitez pas à les contacter.
