Ransomware : éviter une « prise d’otage » à son entreprise Benjamin DeRose, Heat Software

Acquérir des biens de manière illégale est une pratique ancestrale. De même que dérober un objet de valeur, et tenter d’en obtenir une forte compensation pour sa restitution, est criminel mais efficace. Les ransomwares ou « rançongiciels » appliqués au domaine de l’IT fonctionnent selon le même principe. Les pirates informatiques les utilisent pour s’infiltrer dans les ordinateurs portables, les serveurs ou les datacenters afin d’y crypter des données d’entreprise et personnelles ainsi rendues inaccessibles. Pour les victimes, le seul moyen de les récupérer est alors de s’acquitter d’une rançon.

Dans le secteur de la sécurité IT, le « marché » des ransomwares connaît la croissance la plus importante actuellement. Aucune loi à date ne peut les stopper, les départements IT ont des difficultés à y remédier, et en cas d’attaque, les entreprises n’ont pas d’autre choix que de payer la rançon en espérant récupérer les données « prises en otage ». L’adoption d’une politique de prévention visant à sensibiliser le personnel interne et à réduire l’exposition aux risques reste donc la meilleure mesure qu’une organisation puisse prendre pour se prémunir contre ce type d’attaque.

Afin de limiter les risques de pertes de données, il est indispensable de sauvegarder régulièrement la totalité des données hors ligne. La règle généralement préconisée est celle du « 3-2-1 » qui consiste à sauvegarder trois copies de chaque fichier sur au moins deux types de supports, dont un au moins n’est pas connecté au réseau. Les sauvegardes hors ligne permettent de restaurer les fichiers une fois que le ransomware a terminé son processus de chiffrement.

L’éducation des utilisateurs permet également de limiter l’exposition aux ransomwares. Malgré de nombreuses années passées à les mettre en garde face aux emails et sites web suspects, les utilisateurs restent en effet des proies faciles. Pour pallier ce problème, les entreprises doivent impérativement veiller à former chaque nouvel employé et rappeler en permanence aux collaborateurs existants les pratiques à adopter. En outre, le succès d’une campagne de sensibilisation repose avant tout sur une collaboration étroite avec les départements RH et communication interne pour que la sécurité des données reste l’une des principales préoccupations de l’entreprise. Une formation des utilisateurs aux principales menaces permettra également de renforcer ces mesures. Voici quelques exemples :

  • Le ransomware par chiffrement : le chiffrement des fichiers permet d’envoyer aux victimes un message leur indiquant qu’ils devront payer une rançon pour pouvoir récupérer leurs données. Cette notification passe parfois de machine en machine au sein d’un réseau IT. D’autres peuvent également s’attaquer à des partages de fichiers et des sauvegardes connectées, et donc étendre leur action aux serveurs web afin de bloquer totalement les opérations d’une entreprise.
  • Le « phishing » : cette technique consiste principalement à envoyer des emails contenant ses pièces jointes malveillantes qui se déploieront si l’utilisateur clique sur l’objet du mail. Le titre de ce type d’emails semble généralement intéressant et légitime (livraisons groupées, salaires, paiements, etc.).
  • L’infection par « Drive-by download » : cette technique désigne des téléchargements qui se lancent à l’insu de l’utilisateur à partir de sites web infectés par l’intermédiaire d’un navigateur qui exploite une vulnérabilité logicielle sur le périphérique ciblé.
  • Les publicités malveillantes : ces « malvertising » désignent la diffusion de publicités remplies de malwares sur des sites web légitimes. Des sites populaires tels que ceux duNew York Times ou du Nikkei Stock Exchange par exemple contiennent malgré eux une quantité importante de publicités malveillantes.
  • Les connexions USB : la diffusion de fichiers infectés vers et depuis des dispositifs amovibles tels que des clés USB peut infecter les ordinateurs portables, les postes fixes, les smartphones, les tablettes, les serveurs, voire des data centers. À l’ère de l’Internet des objets, cette infection peut également toucher tous les périphériques portables qui se synchronisent avec d’autres terminaux, ainsi que des systèmes de chauffage, de ventilation, d’air conditionné ou d’éclairage potentiellement connectés à internet.

Une stratégie efficace de prévention contre les ransomwares doit inclure un contrôle des périphériques ainsi qu’une gestion des patchs et de la configuration. Une réaction rapide, comme par exemple la mise hors ligne immédiate d’une machine infectée, peut réduire les risques d’une attaque de ce type en l’empêchant de contaminer le réseau et d’infecter d’autres systèmes. Quelques bonnes pratiques de base peuvent être mises en place :

  • Le contrôle des terminaux qui n’autorise que certains types de périphériques à se connecter au système. Des règles peuvent être mises en place afin de déterminer les types, les marques et même les connexions USB individuelles autorisées. Un contrôle efficace des appareils permet d’automatiser l’identification et la gestion des appareils amovibles, mais aussi de définir et d’appliquer pour ces derniers des politiques d’utilisation par groupe ou par utilisateur individuel, avec des règles d’exception flexibles.
  • La gestion des patchs qui reste l’une des façons les plus efficaces de contrer des attaques de type ransomwares. Pour s’en prémunir en particulier, le téléchargement automatique de patchs logiciels des systèmes opérationnels, de Microsoft Office, d’applications Adobe, de navigateurs et de leurs plug-ins doit être activé par le support informatique de l’entreprise.
  • La gestion de la configuration est essentielle pour contrer les ransomwares. Elle passe par le paramétrage de la sécurité du navigateur au niveau le plus élevé possible afin d’éviter que ce dernier ne puisse télécharger du contenu malveillant sur un site web. L’équipe IT peut également activer la fonction « Ne pas suivre » afin de réduire l’exposition au malvertising en limitant la visualisation des publicités. Il est également indispensable de contrôler le trafic sortant, de bloquer tous les URL présentant des risques connus, et de contrôler de près ceux qui semblent suspects.

Sous couvert de faille déjà connue de tous, les ransomwares forment pourtant sans le moindre doute, une menace importante susceptible de frapper n’importe quelle entreprise. En prenant dès à présent les mesures adéquates, comme par exemple la sauvegarde rigoureuse et systématique des données, la formation poussée des utilisateurs et la mise en place de stratégies de prévention, les risques qui y sont associés pourront être réduits. Les organisations éviteront ainsi de devoir payer pour survivre.

Benjamin DeRose est Regional Sales Director SEMEA chez Heat Software