En hausse croissante, les attaques par ransomware constituent la principale menace qui pèse sur la sécurité des entreprises et des administrations. Solutions de détection avancées, sauvegardes régulières... Il existe toutefois des parades pour prévenir ce fléau et restaurer ses données.
Qu’est-ce qu’un ransomware ?
Un ransomware, ou rançongiciel en français, est un programme malveillant qui chiffre les données d'un particulier ou d'une entreprise, de manière à ce que leur propriétaire ne puisse plus y accéder. Pour les déverrouiller, le cybercriminel à l’origine de l’attaque exige une rançon, payable généralement en crypto-monnaie (bitcoin, etc...).
Les autorités comme les spécialistes de la cybersécurité recommandent de ne jamais payer la rançon exigée. La verser alimente l’industrie du cybercrime, et ne garantit en aucune façon que le cybercriminel respecte ses engagements, voire même, qu’il soit techniquement en mesure de le faire. Sans compter qu’il peut exercer une double extorsion en menaçant de rendre publiques les données exfiltrées.
Quelques chiffres sur les attaques par ransomware
En quelques années, le ransomware est devenu le mode de cyberattaque le plus fréquent. Dans un rapport datant de février 2021, l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) relate une augmentation de 255 % des signalements d'attaques par ransomware en 2020 par rapport à 2019(1). Cette envolée n'est pas étrangère à la crise de la Covid-19, le recours massif au télétravail augmentant la surface de risque des organisations. Hôpitaux, collectivités locales, administrations, PME et grands comptes… Aucun type de structure, quel que soit le secteur, n'est épargné.
Selon le dernier baromètre annuel du CESIN, le Club des Experts de la Sécurité de l'Information et du Numérique, une entreprise française sur cinq déclare avoir subi au moins une attaque par rançongiciel au cours de l’année 2020(2). Au niveau mondial, une organisation est victime d’un logiciel rançonneur toutes les dix secondes, selon le Rapport Sécurité 2021 de l'éditeur de produits de cybersécurité Check Point(3).
Ces chiffres le prouvent : les attaques par ransomware constituent une menace sérieuse pour n’importe quel professionnel, pouvant survenir à n’importe quel moment, et “surfent” souvent sur l’actualité : élections, manifestations, compétitions de sports, soldes, fêtes, etc.
Quels sont les ransomwares les plus connus ?
Le phénomène n’est pas nouveau puisqu’il remonte aux années 1980, mais il a pris une ampleur sans précédent depuis les attaques WannaCry et NotPetya de 2017. En mai 2017, WannaCry a exploité une faille de sécurité de Windows, touchant 300 000 ordinateurs dans le monde(4). Lors de cette attaque, le constructeur automobile français Renault a été impacté. En 2017, WannaCry a été l'attaque par ransomware la plus vaste jamais organisée. Un mois plus tard, en juin 2017, une autre attaque d’envergure mondiale - NotPetya - paralysait à nouveau des milliers d’ordinateurs, provoquant des milliards de dollars de dommages(5).
Ciblant à l’origine les systèmes sous Windows, les rançongiciels touchent désormais d’autres OS, notamment Android (Simplocker) et Mac OS X (KeRanger). Les cybercriminels exploitent les ransomwares populaires du moment, puis multiplient les variantes pour gagner en virulence et passer au travers des filtres antivirus. Selon l'ANSSI, les principaux logiciels rançonneurs actuels sont DoppelPayner, Egregor, Netwalker, Ragnarlocker, Rybuk, Sodinokibi et WastedLocker. A chaque malware sa spécialité : Rybuk par exemple, cible en priorité les villes et les établissements de santé. Le ransomware Maze est quant à lui distribué “comme un service”, c'est-à-dire qu’il est conçu par certains cybercriminels pour être utilisé par d’autres. Les pirates utilisateurs versent une commission aux concepteurs du code malveillant, en fonction des rançons qu’ils parviennent à extorquer.
Peut-on supprimer un ransomware ?
Pour supprimer un ransomware, il convient de déconnecter le poste de travail infecté afin d’éviter que le malware ne se propage aux autres terminaux du réseau, puis de le redémarrer en “mode sans échec”. Un scan approfondi de l’appareil à l'aide d'un antivirus et antimalware doit permettre de détecter les fichiers suspects. Mais attention, une solution antivirus traditionnelle, même régulièrement mise à jour, ne protège pas des attaques "zero day", dont la caractéristique est d’exploiter les vulnérabilités n'ayant pas encore fait l'objet de correctif ou de publication. A défaut, il s'agira de réinstaller le système d'exploitation et récupérer les données du poste de travail à partir du dernier jeu de sauvegarde.
Pourquoi les ransomwares ont-ils autant de succès ?
Ces attaques se sont multipliées ces dernières années car la disponibilité de malwares sous forme de "ransomware as a service" a démocratisé leur accès : un cybercriminel acquiert, pour un prix modique, un logiciel malveillant "clés en main" puis mène, depuis l'étranger, ses campagnes d'infection. Pour un groupe souhaitant s’enrichir de manière frauduleuse, ce type d'extorsion virtuelle présente moins de risques physiques et juridiques que les cambriolages ou le trafic de drogue, puisque les attaquants peuvent être très difficilement localisés et arrêtés.
La plupart des attaques sont opportunistes, infectant sans distinction tout type d'organisation quel que soit son secteur d’activité ou sa zone géographique. De plus en plus de hackers ciblent toutefois des proies présentant le double "avantage" de posséder un système d'information vieillissant et de devoir fonctionner en continu comme les PME industrielles, les mairies ou les hôpitaux, ou encore des entreprises peu vigilantes à ces menaces, et qui sont dans la majorité des cas enclines à payer les rançons exigées par les hackers
Nos conseils pour se protéger des ransomwares
Sensibilisez vos collaborateurs
L’homme est un des principaux maillons faibles de toute politique de sécurité. Il est donc primordial de sensibiliser ses salariés aux comportements à risques, tels que ouvrir la pièce jointe d’un mail suspect, surfer sur des sites illicites ou utiliser une clé USB sans précaution.
Au-delà des formations théoriques classiques, les mises en situation permettent aux collaborateurs de se confronter directement à la menace, et sont donc encore plus formatrices. Une simulation de cyberattaque permettra ainsi à vos employés de mieux identifier les pièges, et à votre structure d’évaluer le pourcentage d'utilisateurs susceptibles de se laisser piéger par de faux courriels infectés.
Cette sensibilisation doit être faite dans la durée et à une fréquence régulière, pour maintenir un bon niveau de vigilance des collaborateurs, ou mettre à niveau les nouveaux arrivants.
Vous souhaitez sensibiliser vos collaborateurs aux ransomwares ?
Chiffrez vos données
La principale couche de sécurité porte sur le chiffrement des données critiques. Cela inclut les données "au repos", enregistrées sur des supports persistants comme des disques durs internes ou externes, et les données "en transit" qui peuvent être interceptées lorsqu'elles circulent sur le réseau.
Analysez les comportements suspects et détectez les logiciels malveillants grâce à des outils spécialisés
Au-delà des traditionnels antispam et antivirus, des solutions de protection avancée réservées aux professionnels savent détecter des comportements suspects sur un réseau : ces programmes peuvent repérer un ralentissement anormal de la bande passante, ou l’activité d’un ordinateur en dehors des heures de bureau. Ou encore, avant-même que les mails ne parviennent à leurs destinataires, ils peuvent simuler l'exécution de la pièce jointe ou de l'URL, potentiellement infectée, dans ce que l’on appelle un “bac à sable” (ou “sandbox”, c’est-à-dire un environnement de test entièrement virtuel).
Ces solutions s'appuyant sur l'intelligence artificielle assurent un travail de prévention, mais peuvent aussi prendre automatiquement les premières décisions en cas d'attaque. Par exemple, isoler un poste de travail qui commence à être chiffré afin de circonscrire la propagation du ransomware.
Lorsqu’on possède un SI vaste et complexe, avec beaucoup d’utilisateurs, il est nécessaire de le protéger avec une offre adaptée aux grandes entreprises, telles que Gateway sécurité.
L'offre Internet Sécurisé de Bouygues Telecom Entreprises est, quant à elle, une solution tout-en-un (prévention, détection, décontamination) qui assure une protection en temps réel des nouvelles menaces contre les entreprises de petite et de moyenne taille grâce à des mises à jour automatiques.
Vous souhaitez scanner l'activité de votre réseau ?
Mettez à jour régulièrement vos systèmes et applications
Le patching (le fait de télécharger et appliquer des “patchs correctifs”, des mises à jour) fait partie des règles “d'hygiène de base” en matière de cybersécurité. Les cybercriminels exploitant les failles applicatives, il convient de mettre régulièrement à jour les systèmes d'exploitation et les logiciels. Il en va bien sûr de même pour l'antivirus et pour tous les équipements de cybersécurité mis en place. Les paramètres de mise à jour automatiques doivent être activés. Les fournisseurs de solutions de sécurité externalisées, comme les opérateurs télécom par exemple, prennent en charge ce maintien en “conditions de sécurité”, et donc le suivi quotidien.
Protégez vos mails des menaces
Le phishing, ou hameçonnage, constitue le principal vecteur d’infection, dans plus de 80% des cas. Le ransomware est délivré via une pièce jointe, ou un lien URL dans le corps d'un e-mail. Les attaquants utilisent généralement la ruse et la manipulation (ou ingénierie sociale) pour personnaliser leur message et inciter la victime à ouvrir la pièce jointe ou cliquer sur le lien malveillant.
Pour contrer ce type d’attaque, il existe des solutions de protection des messageries contre les malwares, le spam et le phishing, écartant les e-mails illégitimes et non productifs. Il convient également de sensibiliser les salariés aux risques auxquels ils peuvent être exposés à travers des formations mais aussi des campagnes de simulation (fausses attaques).
Il est par ailleurs plus que jamais vital de protéger les flux emails pour une raison pragmatique : le protocole utilisé pour l’envoi des emails (SMTP) a près de cinquante ans, et a peu évolué depuis. Pourtant, c’est l’un des moyens de communication les plus utilisés en entreprise ! D’où l’importance de mettre en place une protection spécifique des e-mails.
La solution Sécurité Mail de Bouygues Telecom Entreprises est la solution idéale pour filtrer tous les mails entrants de l’entreprise : elle élimine les risques liés au spam, au phishing, aux attaques “Zero Day” et, bien sûr, aux ransomwares :
Faites des sauvegardes régulières
A défaut de prévenir une attaque par ransomware, le seul moyen de récupérer ses fichiers consiste à s'appuyer sur des sauvegardes récentes et régulières, et à mettre en place un PRA (Plan de Reprise d’Activité). Un backup efficace doit être redondant en utilisant différents supports : bande magnétique, disque dur externe, serveur NAS (Network Attached Storage) ou SAN (Storage Area Network), service de stockage dans le cloud... Il convient au préalable de s'assurer que la sauvegarde est fiable et ne contient pas de malware dormant qui pourrait s'activer au moment de la restauration. Pour être certain d’avoir des sauvegardes régulières, l’une des solutions consiste à migrer tout ou partie de ses applications et données dans le cloud. Oncloud se charge de faire un backup des données, des tests de restauration, de la supervision, de l’assistance, et en cas d’attaque, de mettre en place le Plan de Reprise d'Activité, etc.
Privilégiez l’utilisation des services cloud
Un terminal qui stocke sur son disque dur des données confidentielles tout en étant relié à l'extérieur par Internet offre un vecteur d'attaque privilégié. Le recours à un poste de travail virtualisé ou à une solution SaaS évite d'héberger des données sensibles en local, et donc d’être une cible de choix pour les hackers.
Bouygues Telecom Entreprises dispose désormais de ses propres solutions de sauvegarde externalisée, avec OnCloud.
Vous souhaitez migrer votre SI dans le cloud ?
Les autres solutions Bouygues Telecom Entreprises pour vous protéger des ransomwares
Bouygues Telecom Entreprises propose une panoplie complète de dispositifs de sécurité pour les Systèmes d’Information, en association avec ses partenaires Fortinet et Netscout, pour se prémunir des ransomwares et autres attaques virales.
La solution Anti-DDoS permet, par exemple, de se prémunir des attaques par déni de service en détectant les tentatives de saturation du réseau.
Quelle solution de cybersécurité semble la plus adaptée aux besoins de votre entreprise ?
Pour aller plus loin
keyboard_arrow_down Mentions légales (1) Source : https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-001/ (2) Source : https://www.cesin.fr/fonds-documentaire-6eme-edition-du-barometre-annuel-du-cesin.html/ (3) Source : https://www.docaufutur.fr/2021/02/25/le-rapport-de-securite-de-check-point-software-revele-lampleur-de-la-cyber-pandemie-mondiale-et-la-facon-dont-les-organisations-peuvent-developper-une-immunite-en-2021/ (4) Source : https://fr.wikipedia.org/wiki/WannaCry (5) Source : https://fr.wikipedia.org/wiki/Cyberattaque_NotPetya#:~:text=Le ransomware NotPetya affecte des,monde le 27 juin 2017.
