< Retour

22/05/2017

Ransomware : êtes-vous réellement prêt ?

                                   

Nouveau type de logiciel malveillant, le ransomware est la dernière technique utilisée par les pirates informatiques pour soutirer de l’argent. La récente cyberattaque massive, et sans précédent, perpétrée dans plus de 150 pays par le virus Wannacry montre à quel point les organisations se retrouvent subitement démunies face à l’ampleur et la vitesse de propagation d’une telle menace.  
Quelle attitude adopter face à ce genre d’attaque ? Et plutôt que de tenter d’endiguer sa propagation, comment faire pour éviter cette situation et s’y préparer au mieux ?

D’après un rapport du FBI*, plus de 4000 attaques de type ransomware ont été recensées quotidiennement depuis janvier 2016, soit une hausse de plus 300% en un an. Bloquant le contenu d’un ordinateur en vue d’obtenir une rançon pour le déverrouiller, ces attaques rendent les données sensibles inaccessibles, provoquant ainsi une interruption de l’activité, induisant souvent des pertes financières importantes pour l’organisation touchée, et impactant de fait directement sa réputation.

Le comportement individuel, cheval de Troie pour l’organisation

Les mécanismes de propagation d’un virus de type ransomware sont similaires à tous les types de virus rencontrés sur Internet et l’origine reste souvent la même : un collaborateur peu méfiant. En ouvrant un lien ou la pièce-jointe d’un email, en chargeant une publicité depuis un site en apparence sûr, ou en installant un logiciel malveillant à son insu, ce dernier laisse un virus accéder librement au système d’information de son organisation.

Une fois en place, le logiciel ransomware fait appel à un serveur distant pour obtenir la clé d’encodage à utiliser. Ainsi, le virus commence à identifier et encoder documents, tableurs, présentations, emails, photos et vidéos, non seulement sur le disque dur du collaborateur concerné mais aussi sur les clés USB actives et sur les serveurs partagés. Dans un environnement Corporate où tous les collaborateurs d’un département, voire de l’organisation, ont un accès à des données partagées sur un serveur commun, des pans entiers de données sensibles se retrouvent alors touchées.

Limiter son exposition plutôt qu’enrayer une propagation

La majorité des ransomware étudiés font appel à des techniques de cryptage similaires à celles employées dans l’industrie, et présentant la même efficacité que celles utilisées pour protéger les transactions e-commerce et les renseignements liés à la sécurité nationale. Dès lors, les possibilités de forcer un tel codage sont quasi inexistantes.

Pour déterminer sa capacité à faire face à une telle menace, l’organisation doit d’abord mettre en œuvre une approche systématique visant à tester chacune des différentes phases de l’infection. Compte-tenu de la complexité des réseaux et systèmes informatiques ainsi que des procédures de sécurité associées, comprendre les contrôles en place, mesurer leur efficacité et identifier les zones à risque reste le meilleur moyen pour définir une stratégie de défense.

Les 5 clés pour organiser sa défense

Contrôler le contenu
Difficile aujourd’hui d’envisager de se passer d’emails. Et le simple fait d’y avoir recours induit un niveau de risque dans l’organisation. Des filtres anti-spam efficaces éviteront que les emails de phishing atteignent vos utilisateurs, et la mise en place des systèmes d’authentification des emails vous aidera à mieux contrôler les contenus entrants.

Eduquer les collaborateurs
Le collaborateur est souvent perçu comme le maillon faible et le plus imprévisible de la chaîne de sécurité. Reproduire des scénarios similaires à des attaques réelles vous permettra d’améliorer et de mesurer l’efficacité de votre programme de sensibilisation des collaborateurs à la sécurité.

Mettre ses systèmes de sécurité à l’épreuve
Si la plupart des systèmes de sécurité sont conçus pour neutraliser toute menace introduite dans l’environnement de l’entreprise, ils présentent eux-mêmes des faiblesses à exploiter. Mettre à l’épreuve vos propres systèmes de sécurité en les confrontant à des échantillons de programmes malveillants vous en révèlera les failles potentielles.

S’assurer de la fiabilité de ses sauvegardes

Sans sauvegarde, les possibilités de réactions à une attaque réussie sont peu nombreuses. Mais avoir une procédure de back-up ne suffit pas –s’assurer que les sauvegardes sont conservées dans un environnement séparé et tester régulièrement ses procédures de restauration évitera les mauvaises surprises le jour où elles seront nécessaires.

Bien réagir aux incidents
Un plan de réponse aux incidents correctement établi, mis en œuvre et éprouvé est un atout majeur face à tout type d’attaque. Une réponse rapide et efficace fera la différence entre une infection de grande ampleur et une attaque limitée à un appareil. En sus de la réponse technique, la qualité de la réaction managériale et la gestion de la communication pourront réduire significativement l’impact d’une attaque de ce type.

*Protecting Your Networks from Ransomware – May 2017

********************************************************************************************************

Crowe Cybersecurity Services

Crowe Risk Consulting accompagne les organisations dans la résolution de leurs enjeux de gouvernance, risque et confirmité liés à la cybersecurité, et propose des solutions spécialisées autour des sujets suivants :

– Cybersecurity Risk Management
– Solutions Implementations
– Attack et penetrating testing
– Data privacy
– Cyber resilience
– Managed security services

Pour en savoir plus : https://www.crowehorwath.com/services/risk/cybersecurity/