Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Les bonnes pratiques en matière de prévention des ransomwares
Une industrie florissante de prise en otage des données a émergé suite à l’apparition d’un logiciel malveillant, connu sous le nom de ransomware. L’Internet Crime Complaint Center (IC3) du FBI indique dans son Internet Crime Report pour 2020 qu’il a reçu un nombre record de plaintes pour ransomware cette année-là. Attribuant la hausse de la cybercriminalité au chaos organisationnel provoqué par la pandémie de Coronavirus, l’IC3 a fait état de 2 474 attaques par ransomware dont les pertes pour les attaqués ont dépassé 29,1 millions de dollars au total. En raison des pertes financières et de réputation considérables qu’elles entraînent, aucune organisation ne peut faire l’impasse d’un plan de réponse aux ransomwares.
Qu’est-ce qu’un ransomware ?
Un ransomware est une forme de logiciel malveillant conçu pour bloquer l’accès à un système informatique et à ses données jusqu’au paiement d’une rançon, généralement sous forme de crypto-monnaie. Le ransomware rend les données inutilisables en chiffrant toutes les données qu’il trouve, ce qui entraîne généralement l’arrêt des activités d’une entreprise. Les opérateurs de ransomware promettent de rendre les données compromises aux victimes une fois la rançon payée. Le plus souvent, ils prennent l’argent et s’enfuient sans restituer les données. Les ransomwares peuvent infecter les réseaux informatiques de différentes manières, mais les points d’entrée les plus courants sont moins sophistiqués qu’il n’y paraît. Les attaques par ransomware commencent généralement par le piratage de mots de passe faibles, l’exploitation de failles de sécurité et l’envoi d’emails de phishing.
La bonne nouvelle est que ces attaques peuvent être évitées avec les bons outils et le bon état d’esprit, comme vous le verrez avec nos cinq bonnes pratiques de prévention des ransomwares. S’il n’existe pas de solution miracle pour éviter les attaques de ransomware, le plan le plus efficace réside dans une combinaison de bonnes pratiques et de solutions de sécurité fiables.
5 façons de prévenir les ransomwares
1. Pirater les humains
Les attaques par ransomware commencent généralement à petite échelle et le maillon le plus faible est un employé négligent. Les opérateurs de ransomware conçoivent de simples courriels de phishing destinés à inciter les employés à cliquer sur un lien malveillant ou à ouvrir une pièce jointe infectée. Quelle que soit la robustesse de vos systèmes de sécurité, un personnel qui n’est pas formé à reconnaître les signes d’ingénierie sociale laisse la porte ouverte aux ransomwares. Faites régulièrement passer à vos employés des tests d’ingénierie sociale, appliquez de bonnes politiques en matière de mots de passe et utilisez l’authentification multifactorielle.
Un élément aussi évitable qu’un mot de passe faible est trop souvent le point de départ d’attaques par ransomware paralysantes. Les organisations qui utilisent Specops Password Auditor ont une longueur d’avance sur les attaques de ransomware en analysant Active Directory à la recherche de mots de passe faibles ou compromis. Combiné avec Specops Password Policy, les organisations peuvent définir des politiques de mot de passe et appliquer la conformité avant que les cybercriminels n’aient l’opportunité de détecter vos mots de passe faibles en premier.
2. Plan de sauvegarde 3-2-1-1
Éviter les ransomwares serait l’idéal, mais rien ne se passe jamais comme prévu. Vous serez en mesure de remettre vos systèmes en état de marche sans délai (après une attaque) si vous conservez une sauvegarde sécurisée de vos données les plus importantes – ou encore mieux : 4 sauvegardes.
Le principe 3-2-1-1, qui vient s’ajouter à la règle classique 3-2-1 de sauvegarde, conseille de conserver quatre copies distinctes de vos données : deux stockées localement dans des formats différents, une stockée hors ligne et une enregistrée dans un format immuable. Les données immuables ne peuvent pas être modifiées car il n’y a pas de clé pour les « déverrouiller », comme dans le cas des données cryptées. En répartissant votre stratégie de récupération sur quatre sauvegardes distinctes, vous éliminez d’office la tentation de payer la rançon ou d’engager des professionnels externes pour reconstruire vos systèmes.
3. Confiance zéro
L’évolution du paysage des menaces a conduit à l’innovation du modèle de sécurité « confiance zéro (zero trust) ». Le principe de base de la confiance zéro consiste à traiter chaque utilisateur, chaque appareil et chaque demande de votre réseau comme s’ils provenaient d’une source externe non fiable. En d’autres termes : ne jamais faire confiance, toujours vérifier.
L’architecture de confiance zéro implique un large éventail de bonnes pratiques, mais elle repose sur deux principes clés : le moindre privilège et la dé-paramétrisation.
Le moindre privilège consiste à accorder aux utilisateurs le minimum d’accès nécessaire à leur travail plutôt que d’accorder des autorisations sur la base de la confiance implicite entre membres d’une même organisation. Les architectures basées sur la confiance implicite succombent plus facilement aux attaques et au détournement de comptes d’entreprise, lors d’une campagne de phishing réussie par exemple. La dé-paramétrisation tient compte du fait que le travail et les applications à distance ont repoussé les limites d’une entreprise au-delà de ses murs physiques. Le simple fait d’être sur place n’est plus un signe de la fiabilité implicite d’un employé.
Alors au risque de nous répéter : ne jamais faire confiance, toujours vérifier.
4. Mettez vos systèmes à jour
Outre les tactiques d’ingénierie sociale, les systèmes obsolètes et vulnérables sont les vecteurs d’attaque les plus courants des ransomwares. Mettez à jour vos applications et vos systèmes d’exploitation dès que de nouveaux correctifs sont disponibles, et mettez hors service toute technologie ancienne que vous pourriez avoir sur votre réseau. Les logiciels et matériels anciens ont été conçus pour faire face à des menaces différentes de celles des systèmes modernes, ce que savent parfaitement les opérateurs de ransomware. Pour prendre un exemple célèbre, l’attaque WannaCry doit son succès aux 200 000 machines compromises utilisant le protocole SMB v1 vieux de 30 ans, avec l’aide du kit d’exploitation EternalBlue.
5. Segmentation du réseau
Un ransomware ne peut faire que des dégâts limités s’il cible une partie isolée du réseau. C’est le principe de la segmentation du réseau, qui consiste à diviser un réseau informatique en plusieurs sous-réseaux dont la connectivité est limitée. L’utilisation de pare-feu permet de maintenir une barrière de séparation entre chaque partie du réseau et de surveiller étroitement le trafic qui circule entre elles. La segmentation du réseau est cruciale pour les organisations des secteurs réglementés où dans lesquelles les réglementations sur les données comme HIPAA et PCI-DSS doivent être strictement respectées.
En résumé, voici 5 bonnes pratiques à prendre en compte pour fortifier vos systèmes d’information :
- Formez régulièrement votre personnel à reconnaître les signes d’une attaque par ingénierie sociale.
- Conservez au moins quatre sauvegardes : deux copies stockées localement dans des formats différents, une copie hors ligne et une copie immuable.
- Ne faites jamais confiance, vérifiez toujours.
- Appliquez les derniers correctifs de sécurité dès qu’ils sont disponibles.
- Limitez la propagation des ransomwares en séparant votre réseau en sous-réseaux segmentés
(Dernière mise à jour le 16/09/2022)