Guides Essentiels

Contre les ransomwares, combiner préparation, prévention et détection

Introduction

Les cyberattaques par ransomware se sont imposées comme l’une des principales menaces cette année, sinon la première. Elles s’avèrent d’autant plus graves que la détonation de la charge de chiffrement n’est en fait que la partie visible d’attaques qui, désormais, s’étendent en profondeur dans le système d’information, avec des assaillants empruntant largement aux APT.

Elle peut avoir eu pour point de départ une campagne de hameçonnage, comme l’exploitation de vulnérabilités graves sur des équipements de périphérie du système d’information. D’où l’importance de l’application des correctifs – même si celle-ci n’est pas nécessairement suffisante, surtout si elle s’avère tardive.

Dès lors, il est essentiel de travailler sur trois axes : la prévention, la détection et la préparation.

Pour le premier, il s’agit de restreindre les possibilités d’intrusion initiale et de déplacement latéral dans le système d’information. 
Le second se concentre sur la mise en place de contrôles visant à permettre de repérer les signaux faibles d’une attaque engagée, à l’instar de comportements anormaux de comptes – utilisateurs comme techniques – susceptibles de trahir des opérations de déplacement latéral et des tentatives d’élévation de privilèges.
Quant au troisième axe, il consiste surtout à se préparer à l’éventualité d’une attaque et, surtout, à son succès, afin de savoir gérer la crise efficacement et, autant que possible, rebondir au plus vite.

Chacun de ces trois axes a une composante technique et une composante humaine, organisationnelle, qu’il convient de ne pas négliger. Rien de tout cela n’est trivial, mais quelques conseils d’experts de la cybersécurité peuvent réduire rapidement et considérablement le risque, sans nécessiter d’efforts insurmontables ni pénaliser significativement la productivité des collaborateurs. Et certains de ces conseils n’ont rien de neuf. Il est peut-être temps de les suivre… pour ne pas venir allonger la frise chronologique ci-dessous des attaques connues, en France, pour 2020.

Télécharger gratuitement ce dossier au format PDF

1Prévention-

Se prémunir des tactiques courantes

Conseils IT

Ransomware : une préparation solide en 20 mesures

Être prêt à faire face à la menace des rançongiciels suppose de couvrir la prévention en réduisant autant que possible le risque d’exécution du maliciel, mais également la réponse, notamment avec des sauvegardes bien protégées. Lire la suite

Conseils IT

Mimikatz, déplacement latéral : comment se protéger ?

Ce logiciel – ou du moins les techniques qu’il utilise pour dérober des données d’authentification – est souvent impliqué dans les attaques de ransomware. Son créateur, Benjamin Delpy, explique comment s’en protéger. Lire la suite

Conseils IT

Emotet : comment éviter une cyberattaque conduite avec ce malware ?

… et se prévenir d’une éventuelle détonation ultérieure d’un ransomware. En combinant filtrages multiples, protection du poste de travail, renseignement sur les menaces, et journalisation, suivant une approche de contrôle continu. Lire la suite

Conseils IT

Une poignée de vulnérabilités à corriger sans attendre (si ce n’est pas déjà fait)

Elles se suivent inlassablement, sans forcément se ressembler. Mais elles peuvent conduire à des exploitations aux conséquences très significatives, entre vol d’identifiants et déploiement de ransomwares, par exemple. Dans un monde idéal, les correctifs auraient déjà dû être appliqués. Lire la suite

Actualités

Ransomware : un vaccin utile, mais au pouvoir limité contre la double extorsion

Baptisé Raccine par son créateur, l’expert Florian Roth, ce logiciel bloque les ransomwares qui essaient d’effacer les snapshots de Windows. L’approche est assurément prometteuse, mais ce n’est hélas pas un remède miracle. Lire la suite

Conseils IT

Sécurité de la messagerie : de l’importance des enregistrements DNS

Certaines organisations laissent un enregistrement MX pointant directement vers leurs serveurs et non pas vers ceux de leur solution de filtrage des messages entrants. Une pratique risquée. Lire la suite

2Détection-

Traquer les signaux faibles

Actualités

Ransomware : où concentrer ses efforts de détection ?

L’automne est marqué par une activité particulièrement intense des cyberdélinquants adeptes des rançongiciels. Ces derniers ne brillent toutefois pas par leur furtivité. C’est leur mode de distribution qui s’avère redoutable. Lire la suite

Conseils IT

Contre les ransomwares, la difficile chasse aux signaux faibles

Il ne semble plus y avoir que l’épreuve de la reconstruction à craindre d’une attaque par rançongiciel. De quoi encourager au renforcement des capacités de détection. Mais cela n’a rien de généralisé. Lire la suite

Conseils IT

Détecter Trickbot avant qu’il ne soit trop tard… et que Ryuk ne détone

Ce cheval de Troie est fréquemment utilisé dans les attaques conduisant au déploiement du ransomware Ryuk, comme Sopra Steria vient d’en faire l’expérience. Mais ce n’est pas une fatalité. Lire la suite

Projets IT

Malspam : comment faire la chasse aux comptes de messagerie détournés

Identifier des comptes compromis par des maliciels tels qu’Emotet, Trickbot ou Qakbot n’est pas trivial. Surtout a posteriori et sans beaucoup d’indices, ou lorsque le détournement est exploité discrètement. Lire la suite

3Préparation-

Réduire le risque

Conseils IT

Active Directory : pourquoi réplication ne vaut pas sauvegarde

La réplication automatique de la base de données d’annuaire entre contrôleurs de domaine, n’a pas d’autre vocation que d’assurer une disponibilité permettant la continuité de l’activité. Lire la suite

Conseils IT

Pourquoi les sauvegardes sur bandes redeviennent populaires

Plus capacitives qu’un disque dur, plus rapides que le cloud, les bandes reviennent en force dans les entreprises. Cet article cite les avantages et la manière de contourner les inconvénients. Lire la suite

Projets IT

Ransomware : les premiers enjeux de la reconstruction

Les équipes de Wavestone ont été amenées à intervenir sur plusieurs situations de crise provoquées par des infections de rançongiciel. Gérôme Billois partage son expérience avec la rédaction. Lire la suite

Conseils IT

Ransomware : s’y retrouver dans le processus de remédiation

Si des systèmes sont bloqués par un rançongiciel, à quoi convient-il de donner la priorité ? Ce plan aide à éviter des problèmes supplémentaires avant de lancer la remédiation. Lire la suite

Close