Les ransomwares sont de plus en plus nombreux et élaborés, s'inquiète l'Anssi

Que sont les ransomwares ? Vous en avez probablement déjà entendu parler, surtout si votre entreprise utilise les outils digitaux. Un ransomware ou rançongiciel est logiciel malveillant prenant en otage des données afin de faire du chantage envers l'entreprise en ayant besoin. Et ces logiciels sont de plus en plus sophistiqués, d'après un récent guide co-signé par l'Anssi (Agence nationale de sécurité des systèmes d'information) et le ministère de la Justice. Alors, que faire pour s'en défendre ?

Les ransomwares deviennent de plus en plus élaborés

Le 4 septembre dernier, l'Anssi a révélé qu'entre janvier et août 2020, 104 attaques au ransomware avaient eu lieu contre des entreprises en France. Parmi ces attaques, on compte notamment celles subies par M6, le CHU de Rouen et Fleury Michon. Le mode d'action d'un ransomware est relativement simple : il chiffre l'intégralité des données se trouvant dans un système ou registre et les rend inutilisables.

Mais au-delà de la recrudescence de ces dernières, c'est également la sophistication des logiciels utilisés qui inquiète. Traditionnellement, les pirates ayant recours à ce genre de moyens s'attaquent à des organismes possédant « un faible niveau de maturité en sécurité informatique ». Mais cela fait quelques années qu'ils opèrent avec bien plus de potentiel. À présent, ils peuvent s'en prendre à des organisations « aux moyens financiers importants », voire « aux activités particulièrement critiques », d'après l'Anssi, qui ajoute que « le niveau de sophistication atteint équivaut parfois aux opérations d’espionnage conduites par les États ».

Les conséquences de ces attaques peuvent être « dévastatrices » : arrêt de la production, chiffre d'affaires de facto réduit, risques judiciaires en lien avec la protection de données personnelles, répercutions sur la réputation de l'entreprise... « Dans le cas d'une entreprise, il peut en aller de sa survie », mentionne le guide de l'Anssi. Rappelons qu'en 2019, le rançongiciel ayant attaqué Fleury Michon a engendré un « arrêt total de l'activité pendant trois jours et fonctionnement en mode dégradé pendant deux semaines. »

Que faire pour bien se protéger contre les ransomwares ?

Bien se protéger pour les ransomwares est donc devenu un enjeu capital pour nombre d'entreprises ayant recours aux outils digitaux. Si les méthodes pour s'en protéger ne sont pas nouvelles, il s'agit surtout de bien les appliquer. Plusieurs mesures peuvent donc être mise en place :

• sauvegarder vos données sur du matériel non-connecté à votre système d'informations (disques durs par exemple) ;
• sauvegarder vos données sur un cloud séparé de votre système d'informations ;
• mise à jour des logiciels et outils de sécurité ;
• cloisonnement de votre système informatique ;
• limiter les droits et autorisations des applications pour les collaborateurs ;
• surveiller les accès internet ;
• veiller à bien refermer les accès, droits et autorisations délivrées pour des anciens collaborateurs.

« Pour limiter le risque de propagation, il convient de mettre en place un ou plusieurs dispositifs de filtrage permettant un cloisonnement entre les différentes zones réseaux plus ou moins critiques du système d'information, trouve-t-on dans le guide. Un cloisonnement des niveaux d'administration peut également être mis en place afin de s'assurer que les niveaux d'administration les plus hauts soient difficilement atteignables par les attaquants. »

Vous êtes attaqué par un ransomware : que faire ?

Si vous êtes attaqué par un ransomware, la réactivité est de mise. « Le premier réflexe est d'ouvrir une main courante permettant de tracer les actions et les événements liés à l'incident. Chaque entrée de ce document doit contenir, à minima : l'heure et la date de l'action ou de l'événement ; le nom de la personne à l'origine de cette action ou ayant informé sur l'événement ; la description de l'action ou de l'événement », explique le guide de l'Anssi.

De plus, vous pouvez déposer plainte auprès de la police ou de la gendarmerie. Il faut aussi déconnecter tous vos systèmes de sauvegarde et bloquer les communications entrantes et sortantes avec Internet. « Afin de limiter la diffusion du rançongiciel et le chiffrement de données sur de nouvelles machines, il est préférable de laisser éteints les équipements non démarrés (par exemple : retour de congés d'un employé ou démarrage d'une machine en début de journée) et d'interdire l'utilisation de supports de stockage amovibles (clé USB, disque dur externe, etc.) », conseille aussi le guide.