Ce blog est l’adaptation d’un article original d’Angela Frechette Cannon par Eric Vedel.
Les ransomwares font des ravages. Comment s’en protéger ?
Les ransomwares dépassent aujourd’hui les frontières du monde de la cybersécurité. On en entend de plus en plus souvent parler dans les journaux, et ce sujet s’est même invité au sommet du G7.
En effet, les hackers concentrent de plus en plus leur attention sur les infrastructures critiques, très sensibles aux pannes et aux perturbations qu’elles peuvent subir à la suite d’un incident informatique (par exemple, le secteur agroalimentaire, les transporteurs de denrées périssables, les systèmes d’approvisionnement énergétique ou encore les services de santé).
La majorité d’entre nous sait ce que sont les ransomwares (consultez cette page si ce n’est pas votre cas). Mais comment fonctionnent-ils exactement ? Qu’est-ce qui les rend si destructeurs ? Et comment les entreprises peuvent-elles les contrer ? Si le gouvernement américain a récemment déclaré qu’il allait jouer un rôle plus important dans la lutte contre les ransomwares et les autres types de cyberattaques, il a également souligné le rôle de la collaboration avec le secteur privé pour combattre
le problème. Dans le même temps, le secteur privé a urgemment demandé aux autorités de prendre des mesures plus fortes.
Le problème touche désormais tout le monde : les administrations publiques, les entreprises et même les particuliers. La pandémie a multiplié les opportunités pour les cybercriminels, car les collaborateurs de l’entreprise accèdent maintenant aux ressources à partir de dispositifs et de réseaux non gérés par l’équipe IT. Une fois qu’un hacker parvient à s’introduire dans votre entreprise et à chiffrer vos données et vos fichiers, il exige des sommes d’argent considérables pour les restaurer.
Pourquoi les ransomwares sont-ils si dangereux, notamment actuellement ?
Les données sont devenues vitales dans l’entreprise, et leur indisponibilité entraîne souvent l’arrêt des opérations. Autrefois, les ransomwares ciblaient des systèmes individuels, et il suffisait de quelques centaines de dollars pour en récupérer les données. Aujourd’hui, les hackers s’attaquent à des cibles plus importantes et se déplacent latéralement dans l’environnement de l’entreprise pour atteindre les systèmes critiques. Une fois qu’ils y ont accès, ils déploient des ransomwares à plusieurs endroits du réseau afin que la victime soit davantage disposée à payer une rançon très élevée (parfois de plusieurs millions).
Les cybercriminels utilisent également d’autres tactiques plus agressives pour augmenter leurs chances. Par exemple, ils compromettent les systèmes de sauvegarde afin que les administrateurs ne puissent pas les utiliser pour restaurer les données. Certains hackers ont également recours à la « double extorsion », qui consiste à menacer de divulguer des informations sensibles au public tout en perturbant les activités quotidiennes de la victime.
En outre, le modèle de Ransomware-as-a-Service permet aux cybercriminels de lancer plus facilement leurs attaques. En effet, ceux qui ne disposent pas des compétences ou des ressources nécessaires pour créer leur propre ransomware peuvent acheter des kits auprès d’autres hackers. Toute personne désireuse de mener une cyberattaque peut ainsi obtenir facilement un code malveillant qui exploite des vulnérabilités non corrigées.
Pourquoi ne pas simplement payer la rançon ?
Bien que les rançons se chiffrent souvent en millions de dollars, payer pour restaurer des données reste parfois moins coûteux que les conséquences d’un ralentissement ou d’un arrêt de l’ensemble de l’activité (surtout lorsqu’il s’agit d’infrastructures critiques). Alors pourquoi ne pas simplement verser la rançon ?
Les experts en sécurité et les autorités publiques déconseillent aux entreprises de payer la rançon, car cela ne fait qu’alimenter le cycle d’attaques. Si un pirate informatique extorque une rançon à une cible, cela l’incite à lancer d’autres attaques contre cette dernière, car elle est susceptible de payer
à nouveau. De plus, ce n’est pas parce qu’une entreprise décide de payer une rançon que ses données seront restaurées ou que ses informations sensibles ne seront pas divulguées à des tiers.
Comment les hackers s’infiltrent-ils ?
Les cybercriminels peuvent s’infiltrer dans un environnement de différentes manières. Souvent, l’hameçonnage et l’ingénierie sociale permettent de dérober des identifiants, ou d’inciter les employés
à cliquer sur une pièce jointe ou un lien malveillant. Il est également possible d’infecter des sites web consultés par le personnel, ou simplement d’exploiter des vulnérabilités logicielles connues dans le périmètre du réseau de l’entreprise. Dans certains cas, les hackers peuvent commencer par s’introduire chez un partenaire commercial, un prestataire de services ou un autre tiers associé à l’entreprise.
Chacun d’entre nous a aujourd’hui l’habitude de parcourir rapidement ses e-mails, les réseaux sociaux et les sites d’actualités. Les cybercriminels en profitent pour lancer des attaques avant même que les utilisateurs ne réalisent ce sur quoi ils ont cliqué. Cependant, comme nous l’avons dit plus haut, l’intrusion initiale n’est qu’une partie du processus.
Pour augmenter leurs chances de parvenir à leurs fins, les hackers attendent généralement d’avoir pris le contrôle d’une grande partie d’un réseau avant de déployer un ransomware. Si le premier objectif des équipes chargées de la sécurité doit être d’empêcher les cybercriminels d’accéder au réseau, elles doivent également s’assurer que des politiques correctes sont en place pour limiter la marge de manœuvre des hackers qui prennent le contrôle d’un réseau ou d’un compte d’utilisateur.
Que faire pour contrer les ransomwares ?
Les ransomwares ont de multiples facettes. Il doit en être de même de votre système de protection.
Une solution technologique ou une bonne pratique isolées ne peuvent à elles seules contrer ce type d’attaques. Il faut considérer la défense contre les ransomwares comme un processus continu et
à plusieurs niveaux. Les meilleures technologies du marché sont mises à jour pour détecter les dernières menaces et sont intégrées de sorte qu’une solution puisse reprendre là où l’autre s’arrête.
La formation des utilisateurs doit également jouer un rôle clé. Les collaborateurs qui naviguent et cliquent sur des liens de manière irréfléchie doivent comprendre les conséquences de leurs actes. Toutefois, selon Wendy Nather, responsable des services de conseil aux RSSI chez Cisco, il y a une bonne et une mauvaise façon de procéder.
« La culture consistant à réprimander les utilisateurs imprudents en matière de sécurité n’est pas une bonne tendance… S’ils savent que vous les soutenez et que vous êtes prêt à travailler avec eux pour résoudre le problème, ils sont beaucoup plus disposés à coopérer », déclare-t-elle.
Wendy Nather explique que lorsque des exercices d’hameçonnage sont menés au sein de son unité opérationnelle, l’entreprise met à l’honneur les collaborateurs qui les signalent (plutôt que de réprimander ceux qui se font avoir). « C’est un excellent moyen de souligner le type de comportement attendu et d’inciter les collaborateurs à l’adopter », ajoute-t-elle.
Nos conseils stratégiques pour se défendre contre les ransomwares
Si vous ne savez pas par où commencer pour vous défendre, appliquez d’abord quelques principes de base en matière de cybersécurité. (Bien que certaines de ces mesures puissent paraître simplistes, elles sont souvent négligées en raison de contraintes de ressources, de projets plus importants, etc. Les hackers en sont conscients et exploitent souvent ces vulnérabilités et faiblesses courantes.)
- Corrigez et mettez à jour vos systèmes régulièrement. L’automatisation des correctifs, lorsqu’elle est possible, permet de s’assurer que rien ne passe à travers les mailles du filet,
et peut également alléger la charge de travail de vos équipes responsables de l’IT et de la sécurité. Sur les 25 bonnes pratiques que nous avons analysées dans le cadre de notre étude 2021 sur les objectifs en matière de sécurité, la mise à jour proactive des technologies avait le plus gros impact sur l’amélioration des systèmes de défense globaux. - Sauvegardez toujours vos données afin de pouvoir les récupérer en cas d’urgence. Stockez les sauvegardes hors ligne pour éviter aux intrus d’y accéder. Élaborez un plan de récupération des données qui peut vous aider à effectuer une restauration à grande échelle tout en assurant la continuité de vos activités.
- Maintenez un inventaire précis et à jour de vos ressources. Les anciennes machines que vous êtes susceptible d’avoir oubliées constituent souvent une porte d’entrée pour les hackers.
- Procédez à des évaluations continues des risques pour découvrir d’éventuelles vulnérabilités au sein de votre infrastructure.
- Chiffrez les données confidentielles et segmentez votre réseau afin que les cybercriminels ne puissent pas accéder facilement à vos systèmes critiques.
- Assurez-vous que vos employés sont familiarisés avec la cybersécurité et les ransomwares. Organisez des formations pour leur expliquer l’importance d’utiliser des mots de passe complexes, leur apprendre à repérer un e-mail d’hameçonnage, leur expliquer comment procéder s’ils reçoivent une communication suspecte, etc.
- Informez-vous sur les derniers risques et les nouvelles stratégies de défense, et mettez en place un plan de réponse aux incidents solide pour faire face aux menaces inattendues. Des organisations comme Cisco Talos proposent des services de réponse aux incidents pour vous aider à anticiper, à gérer et à surmonter les failles.
- Suivez les conseils des organismes publics tels que CISA et NIST au sujet des ransomwares.
Les solutions technologiques qui peuvent vous aider
Veillez à mettre en œuvre un éventail complet de solutions de sécurité pour couvrir les nombreux vecteurs de menace que les hackers utilisent :
Pare-feu et système de prévention des intrusions (IPS) de nouvelle génération : empêchez les attaques d’envahir votre réseau grâce à un pare-feu et à une technologie de prévention des intrusions modernes.
Sécurité des e-mails : bloquez les ransomwares qui se propagent via les spams et les e-mails d’hameçonnage, et identifiez automatiquement les pièces jointes et les URL malveillantes.
Sécurité du cloud et du web : protégez les utilisateurs contre les ransomwares et d’autres programmes malveillants sur Internet et dans des applications cloud.
Protection des terminaux : détectez et corrigez les menaces qui infectent les divers terminaux de votre environnement.
Accès sécurisé : assurez-vous que seuls les utilisateurs et les appareils autorisés accèdent à vos ressources grâce à l’authentification multifacteur et à d’autres mesures de protection.
Visibilité du réseau et analytique : contrôlez ce qui se passe sur votre réseau afin d’atténuer rapidement les comportements anormaux. Utilisez une solution capable d’analyser le trafic chiffré et non chiffré.
À l’aide de ces technologies (et d’autres), les entreprises doivent adopter une approche Zero Trust en matière de sécurité. Cela signifie qu’aucune tentative d’accès ne doit faire l’objet d’une confiance implicite, quels que soient l’utilisateur, le terminal ou l’application. Grâce cette approche, il est plus difficile pour les cybercriminels de parvenir à lancer des ransomwares sur votre réseau.
Cisco Ransomware Defense
Si vous avez besoin d’aide concernant votre stratégie de lutte contre les ransomwares, Cisco Secure propose toutes les technologies ci-dessus et bien plus encore. Elles sont intégrées à la plateforme Cisco SecureX pour une efficacité maximale et reposent sur la Threat Intelligence de pointe de Cisco Talos.
Pour approfondir ce sujet, nous vous invitons à lire un des rares entretiens de Cisco Talos avec un pirate informatiqueafin d’en savoir plus sur ceux qui se cachent derrière ces menaces. Pour obtenir des détails techniques sur toutes les dernières attaques, suivez le blog de Cisco Talos.
Authors
