Six étapes clés pour protéger ses actifs des rançongiciels

1. Maintenir un programme de sécurité de défense en profondeur

Les ransomwares sont un type de logiciels malveillants, et la réalité est que la plupart des épidémies de rançongiciels utilisent des variantes bien connues et facilement détectées par les outils de protection des postes de travail et des serveurs. Aujourd’hui, certains de ces outils offrent en outre des fonctionnalités dédiées à la protection contre les ransomwares.

Élaborez un programme de sécurité de type défense en profondeur qui intègre un antivirus puissant en conjonction avec d’autres technologies et processus, tels que les suivants :

• pare-feu,
• analyse et filtrage des postes de travail et des serveurs,
• analyse du trafic réseau,
• filtrage du Web,
• systèmes de détection des intrusions,
• filtrage du courrier électronique,
• listes d’autorisation/de déni.

Les meilleures pratiques de prévention contre les ransomwares intègrent également le respect du principe du moindre privilège, l’authentification à facteurs multiples, l’utilisation de VPN ou d’autres technologies de sécurité périmétrique pour les employés distants, la désactivation ou la limitation de l’utilisation de RDP – un point d’entrée courant pour les attaques de ransomwares – et la protection des ports contre l’exploitation.

2. Envisager des technologies de protection avancées

Bien que la plupart des attaques de ransomware puissent être repérées par les défenses antivirales de base, le risque demeure que les attaquants ciblent les victimes avec de nouvelles attaques. Pour détecter ces attaques inédites, de type zero day, envisagez d’utiliser des technologies avancées, notamment les suivantes :

• détection et réponse sur les hôtes (EDR),
• sandboxing,
• technologies d’analyse comportementale,
• sécurité et accès réseau sans confiance,
• technologie de leurres.

3. Sensibiliser les employés aux risques d’ingénierie sociale

Les ransomwares sont souvent introduits dans une organisation par le biais d’actions involontaires des employés. La plupart du temps, il s’agit d’un employé qui est victime d’une attaque de phishing, qui clique sur une URL malveillante ou qui télécharge et ouvre une pièce jointe vérolée.

Menez des programmes de sensibilisation et de formation à la cybersécurité pour tous les employés, partenaires et parties prenantes. Proposez régulièrement des messages actuels et cohérents.

Conseillez aux employés de faire ce qui suit :

• Utiliser des mots de passe forts.
• Vérifier les expéditeurs de courriels.
• N’ouvrir que les liens et les pièces jointes provenant d’expéditeurs connus.
• Ne pas cliquer sur des liens douteux et ne pas télécharger de pièces jointes suspectes.
• Ne pas activer les macros lorsqu’un document bureautique le demande, sans vérification approfondie.

Des employés non préparés peuvent exposer une entreprise à un risque important. Assurez-vous que le personnel sait ce qu’il faut faire si un ransomware infecte le réseau et informez immédiatement la direction.

Élaborez un plan d’intervention en cas d’incident lié à un ransomware qui prévoit des actions pour les employés, l’équipe de sécurité, la direction, etc.

4. Appliquez régulièrement des correctifs

L’installation régulière de correctifs, pour les vulnérabilités des logiciels et des systèmes, aurait pu permettre à de nombreuses organisations d’économiser beaucoup de temps, de stress et d’argent. Le fameux événement WannaCry en mai 2017, par exemple, a exploité une vulnérabilité dans les anciennes versions du protocole SMB. Microsoft a publié un correctif pour cette vulnérabilité en mars 2017, mais WannaCry a tout de même touché environ 230 000 systèmes dans le monde.

Suivez un programme de gestion des correctifs et les meilleures pratiques, pour vous assurer que toute vulnérabilité critique est corrigée rapidement et efficacement.

5. Effectuez des sauvegardes fréquentes des données critiques

La plupart des attaques de ransomware visent à priver les victimes de l’accès aux informations critiques, jusqu’à ce qu’elles paient une rançon. Les sauvegardes peuvent atténuer ce risque en fournissant un plan B.

Si un ransomware chiffre vos données, les sauvegardes peuvent aider à rétablir l’accès rapidement sans répondre aux exigences de l’attaquant. Stockez les sauvegardes à un endroit où elles ne sont pas accessibles depuis le réseau, et surtout pas à un administrateur du contrôleur de domaine Active Directory.

N’oubliez pas : la restauration à partir d’une sauvegarde vous ramène à un point dans le temps où vous avez probablement toujours la même vulnérabilité que les attaquants ont exploitée à l’origine. Assurez-vous que votre processus de récupération des ransomwares comprend l’identification et la correction de la cause première de l’incident, et des éventuels comptes utilisateurs compromis.

6. Ne dépendez pas uniquement des sauvegardes

Les ransomwares évoluent. De nombreux attaquants pratiquent désormais une double extorsion : ils chiffrent les données de la victime et les exfiltrent. Ainsi, même si une entreprise restaure ses données à partir d’une sauvegarde, l’attaquant peut toujours exiger le paiement d’une rançon pour ne pas divulguer les données.

Les sauvegardes sont importantes, mais elles ne sont qu’un élément d’une stratégie de défense en profondeur contre les ransomwares.

Tout mettre en œuvre

Les organisations qui suivent ces bonnes pratiques de prévention des ransomwares se trouveront bien préparées à la prochaine vague d’attaques par ransomware. Ces contrôles de sécurité n’ont rien de sorcier, mais face aux milliers d’attaques réussies chaque année, ils nous rappellent qu’ils sont d’une importance capitale.