Alors que les cybercriminels sont de plus en plus malins, les entreprises doivent se préparer à affronter des attaques des plus sophistiquées. Le coût annuel de ces incidents à l’échelle mondiale est estimé à 5 312 milliards d’euros. Impossible alors de nier l’évidence : si ces attaques représentent un véritable fléau pour les entreprises, elles restent une activité très lucrative pour les cybercriminels.
La cyberattaque la plus marquante de ces dernières années est certainement Wannacry qui, en mai 2017, a brutalement exposé le grand public aux dangers des ransomwares. Après avoir infecté plus de 300 000 ordinateurs Windows en chiffrant leurs données, une rançon en bitcoins a été réclamée en échange de la récupération des données. L’attaque a engendré des pertes particulièrement importantes puisqu’elle a notamment touché plusieurs grandes entreprises et organisations, comme le NHS (service national de santé du Royaume-Uni), Renault en France, etc.
Malheureusement, le ransomware WannaCry n’est qu’un exemple parmi la multitude d’attaques subies ces dernières années. En effet, une étude a montré que 40 % des entreprises du Royaume-Uni de tailles intermédiaires et grandes ont essuyé environ cinq attaques de ransomware au cours de la dernière année, et qu’elles y ont perdu en moyenne 372 307 euros. En parallèle, un rapport de McAfee révèle que les incidents impliquant des ransomwares ont progressé de 56 % en 2017. Une étude de Trend Micro avait d’ailleurs classé ce type d’attaques comme la plus importante de l’année 2018. Au regard de ces chiffres, il est légitime de penser que la majorité des entreprises seront tôt ou tard confrontées à des ransomwares, si elles ne l’ont pas déjà été. Étant donné qu’environ 90 % des entreprises victimes de pertes de données mettent la clé sous la porte sous deux ans, ne pas se préparer à ces attaques serait prendre un risque démesuré.
Plusieurs facteurs contribuent à l’augmentation exponentielle du nombre de ransomwares.
– Autrefois l’apanage des amateurs, les ransomwares sont désormais utilisés par les criminels des plus professionnels, sachant comment exploiter les failles de sécurité et optimiser ainsi le succès de l’attaque. Nous constatons également une augmentation des attaques plus ciblées et sophistiquées, autrement dit très dangereuses.
– Le caractère anonyme des bitcoins a encouragé les investissements dans les cryptomonnaies, en faisant ainsi la monnaie idéale pour soutirer des rançons aux victimes.
– Les ordinateurs ont désormais une durée de vie plus longue, mais cela signifie en contrepartie que beaucoup d’entre eux ne disposent pas des dernières mises à jour en matière de sécurité et sont donc plus vulnérables aux attaques. Les professionnels IT rechignent souvent à installer des correctifs sur les anciens ordinateurs, car les mises à jour des systèmes d’exploitation ralentissent les systèmes. Il est pourtant crucial de maintenir le parc informatique à jour et de l’équiper des tout derniers logiciels de sécurité.
– La plupart des attaques par ransomware utilise l’email et de nombreux employés n’ont pas reçu la formation nécessaire pour identifier les pièces jointes malveillantes. Eduquer les employés pour être plus vigilant peut être onéreux et chronophage, mais il s’agit du moyen le plus efficace de se protéger.
Aucun doute, la cybercriminalité est une menace omniprésente qui n’est pas près de disparaître. Pour autant, les entreprises disposent de nombreux moyens de les affronter. Il est ainsi crucial de comprendre et de déjouer les nouvelles méthodes utilisées par les cybercriminels pour voler des données et extorquer de l’argent, en particulier au regard des dommages bien souvent irréparables que les pertes de données causent à la réputation de l’entreprise.
Voici ci-dessous les bonnes pratiques à adopter pour se protéger des attaques ainsi que quelques suggestions pour réagir lorsque les données sont prises en otage.
Comment se protéger des attaques ?
Pour une entreprise souhaitant se protéger des ransomwares, l’étape la plus importante est de sauvegarder les fichiers importants de manière régulière. Les attaques les plus sophistiquées permettent de chiffrer à la fois les fichiers mais également les points de restauration Windows. Il est donc primordial de choisir son système de sauvegarde judicieusement.
L’évolution permanente du volume de données stockées représente un véritable défi pour les systèmes de sauvegarde. En plus de manquer de préparation, de nombreuses entreprises rencontrent des difficultés dans la gestion de la protection et la sauvegarde quotidienne de leurs données. Une étude montre en effet que près de 50 % des décideurs IT ont du mal à gérer l’accroissement des données et considèrent que ce problème va continuer de prendre de l’ampleur. De plus, 51 % d’entre eux doutent que leur système IT leur permette de récupérer instantanément les données en cas d’incident. Il existe donc de véritables lacunes et un besoin urgent de mettre en place des stratégies et des systèmes de sauvegarde et de récupération efficaces.
La sauvegarde des données critiques et leur récupération rapide et simple représentent le meilleur moyen pour une entreprise de se protéger d’un ransomware. Les organisations qui ne disposent pas d’un plan de récupération après incident doivent, de toute urgence, s’équiper d’un système de sauvegarde et de récupération de données efficace. Outre les sauvegardes régulières, les entreprises peuvent également mettre en place les mesures suivantes :
– Mise à jour régulière de tous les logiciels selon un calendrier de maintenance
Si un poste de travail ou un serveur est trop ancien pour être mis à jour, l’entreprise devrait le remplacer. Les maigres bénéfices qu’il peut encore apporter ne justifient pas le risque qu’il fait peser sur l’ensemble du parc informatique.
– Restriction des comptes administrateur et création de comptes utilisateur (non administrateur) sur chaque poste de travail et pour chaque employé. Les utilisateurs finaux ne doivent pas se connecter aux postes en tant qu’administrateur, car les ransomwares les plus dangereux ont besoin d’accéder à ces zones du réseau réservées aux comptes administrateur.
– Vérification et copie des sauvegardes sur un système externe.
Il ne suffit pas de faire une sauvegarde, car celle-ci ne se révélera utile que si elle fonctionne. La seule façon de le vérifier est de tester le processus de restauration des données. Parfois, la sauvegarde est correctement restaurée mais ne comprend pas tous les fichiers critiques. L’entreprise doit donc faire des vérifications régulières. L’intégration d’une stratégie de sauvegarde hors site, y compris la restauration des données et l’exploitation des services cloud hors site, nécessite une couche de sécurité supplémentaire et réduit les risques d’attaque par ransomware.
– Formation des employés.
Celle-ci est souvent absente ou obsolète lors de l’intégration de nouveaux employés. Il est important de prendre conscience de la maîtrise informatiques des employés et de leur manque de capacité à reconnaître une pièce jointe potentiellement malveillante. La formation régulière des employés est onéreuse et chronophage, mais elle est, avec la sauvegarde, le meilleur moyen d’empêcher la propagation d’un ransomware au sein d’une organisation.
– Protection des postes par antivirus avec signatures mises à jour, sandboxing, et antivirus nouvelle génération.
– Pare-feu nouvelle génération, sandboxing réseau et solutions de sécurité de la messagerie pour bloquer les attaques phishing.
– Implémentation d’un système de stockage évolutif nouvelle génération doté d’une fonctionnalité de protection des données en continu qui réalise automatiquement des snapshots immuables aux ransomwares.
Comment réagir en cas d’attaque ?
Si l’entreprise pense qu’un membre de son réseau est victime d’un ransomware, il est recommandé procéder immédiatement comme suit :
– Créer un instantané du système, puis l’éteindre.
Les instantanés tentent d’enregistrer la mémoire système. Ils pourront aider à rassembler des informations sur l’attaque et à déchiffrer les données. Certains professionnels recommandent de mettre les ordinateurs infectés en quarantaine, mais il est plus sûr de tous les éteindre pour empêcher la propagation du ransomware.
– Bloquer le protocole RDP (Remote Desktop Protocol) sur tout le réseau.
L’entreprise peut éventuellement bloquer toutes les pièces jointes tant que l’origine de l’attaque n’a pas été identifiée.
– Évaluer les dommages et trouver le point d’entrée.
C’est à ce moment-là que les sauvegardes entrent en jeu. En fonction de l’ampleur de l’attaque, l’entreprise doit, ou non, recourir à son système de sauvegarde. La mise hors ligne d’un serveur entier peut requérir un processus plus poussé. L’important ici est de disposer d’une sauvegarde fiable pour redémarrer rapidement le système avec un minimum de répercussions négatives.
Que faire si aucun système de sauvegarde n’est en place ?
Si une entreprise subit une attaque par ransomware et ne possède pas de système de sauvegarde, elle devra effectivement adopter une stratégie légèrement différente. Le service IT devra estimer la valeur des données qui ont été chiffrées et déterminer si elles valent la peine d’engager un expert en sécurité ou en ransomware pour tenter de les récupérer. Si ce n’est pas le cas, l’organisation pourrait être tentée de payer la rançon, mais cela n’est pas la solution. Même en cas de paiement, rien ne garantit que les cybercriminels donneront les clés de déchiffrement. De plus, ces derniers ont tendance à augmenter le montant de la rançon au fil du temps.
Les entreprises ayant été victimes d’une attaque par ransomware et perdu des données en raison de mesures de sécurité insuffisantes et/ou d’absence de sauvegarde doivent réviser leurs stratégies de protection et prendre les mesures de prévention appropriées.
L’attaque par ransomware représente le crime parfait. En effet, les criminels arrivent souvent à leurs fins et l’anonymat rend leur identification quasiment impossible. Au lieu d’être arrêtés, ils poursuivent leurs activités, à la recherche d’autres victimes potentielles.
Les attaques sont donc amenées à évoluer au fur et à mesure que les entreprises apprendront à se défendre. Elles ne peuvent plus se contenter d’attendre en espérant échapper à la prochaine attaque. Les données sont des ressources très convoitées qu’il est extrêmement important de protéger pour survivre à une époque où les cybermenaces se font de plus en plus pesantes.
__________
Florian Malecki est International Product Marketing Senior Director, StorageCraft
puis