L'Anssi tire la sonnette d'alarme sur les ransomwares qui se multiplient et deviennent très sophistiqués
Face à l'explosion des attaques par rançongiciel, l'Anssi publie un guide des bonnes pratiques à destination des entreprises pour s'y préparer efficacement et mieux réagir si on en est victime. L'agence gouvernementale chargée de la cybersécurité rappelle l'importance de sauvegarder régulièrement les données en dehors du système d'information, d'assurer une veille sur les vulnérabilités logicielles, de sensibiliser les collaborateurs via des formations... En cas d'incident, les organismes doivent isoler les équipements infectés, déposer plainte et ne jamais payer la rançon.
L'Agence nationale de la sécurité des systèmes d'information (Anssi) révèle ce 4 septembre 2020 que le nombre de rançongiciels explose. Entre janvier et août 2020, le gendarme de la cybersécurité a recensé 104 attaques informatiques de ce type contre des entreprises en France, dont l'incident subi par M6, le CHU de Rouen et Fleury Michon. Des attaques aux conséquences lourdes, qui vont parfois jusqu'à provoquer la faillite des entreprises victimes.
Réduire les risques et mieux réagir à une attaque
Face à ce constat, l'Anssi en partenariat avec la Direction des Affaires criminelles et des grâces (DACG) du ministère de la Justice publie un guide d'une vingtaine de pages à destination des dirigeants, des responsables informatiques des entreprises et des collectivités. Le manuel est scindé en deux parties : réduire le risque et réagir en cas d'attaque.
"Les acteurs privés comme publics sont encore trop peu conscients du risque et de leur propre vulnérabilité", constate Guillaume Poupard, directeur général de l’Anssi. "Il est urgent pour les entreprises et les collectivités de mettre en œuvre des mesures pour prévenir les attaques par rançongiciels et d’apprendre à bien réagir lorsqu’il est trop tard ", poursuit François Deruty, sous-directeur opérations de l’autorité.
Une sophistication des rançongiciels
Dans son guide, l'Anssi rappelle que les ransomwares sont des programmes malveillants dont le but est d'obtenir de la victime le paiement d'une rançon, payable typiquement en cryptomonnaie (et donc impossible à annuler une fois payée). Concrètement, ce malware paralyse un système en chiffrant l'intégralité des fichiers qui s'y trouvent. En principe, les hackers utilisent ce type d'attaque envers des organismes qui possèdent "un faible niveau de maturité en sécurité informatique". Mais, depuis quelques années, l'Anssi observe une nouvelle tendance. Les criminels, de mieux en mieux organisés, s'en prennent désormais à des organisations "aux moyens financiers importants" ou "aux activités particulièrement critiques". A ce titre, "le niveau de sophistication atteint équivaut parfois aux opérations d’espionnage conduites par les États", remarque l'agence.
En plus de la perte de données et du paiement de la rançon, les rançongiciels provoquent de nombreuses conséquences "dévastatrices" : arrêt de la production, chute du chiffre d'affaires, risques juridiques liés à la protection des données personnelles, altération de la réputation… "Dans le cas d’une entreprise, il peut en aller de sa survie", alerte le guide. Laurent Babin, RSSI de l'entreprise agroalimentaire Fleury Michon, raconte que le rançongiciel survenu en avril 2019 a provoqué "un arrêt total de l’activité pendant trois jours et fonctionnement en mode dégradé pendant deux semaines".
L'Anssi profite de ce guide pour rappeler les bonnes pratiques afin de réduire le risque d'attaque. Premièrement, les entreprises doivent sauvegarder régulièrement leurs données, "y compris celles présentes sur les serveurs de fichiers, d’infrastructure et d’applications métier critiques". Ces sauvegardes doivent être déconnectées du système d'information pour prévenir leur chiffrement. De plus, il est indispensable de maintenir à jour les logiciels et les systèmes et d'assurer une veille permanente sur les vulnérabilités logicielles et matérielles. Le guide conseille également la mise en place d'un ou de plusieurs dispositifs de filtrage permettant un cloisonnement entre les différentes zones réseaux "plus ou moins critiques" du système d’information général. Les connexions entre les postes des utilisateurs doivent être interdites par défaut.
Mise en place d'une politique de journalisation
Le guide note également que la supervision des incidents de sécurité informatique nécessite de mettre en place "une politique de journalisation" sur les différentes ressources du système d’information. Cette politique permet de détecter une éventuelle compromission et de réagir le plus tôt possible pour éviter le chiffrement des données par l’attaquant.
Enfin, l'Anssi rappelle que les organismes doivent sensibiliser leurs collaborateurs car, le plus souvent, l'attaque par rançongiciel commence par l’ouverture d’une pièce jointe piégée ou la consultation d’une page web malveillante. L'Agence recommande la mise en place de formation destinée à "faire naître ou renforcer certains réflexes chez les utilisateurs en les invitant à signaler au service informatique de l’organisation tout élément suspect". Il est par ailleurs nécessaire d'instaurer une communication de crise pour "limiter les impacts de la crise sur l’image et la réputation de l’entité, tant en interne qu’en externe".
Que faire en cas d'attaque ?
Si malgré ces barrières l'organisme est quand même attaqué, que faire ? Le premier réflexe doit être d'ouvrir une main courante permettant de tracer les actions et les événements liés à l'incident en rassemblant le maximum d'éléments factuels (date, heure…). Ce document doit permettre à tout moment de renseigner les décideurs sur l’état d’avancement des actions entreprises. De plus, afin d’éviter une propagation du rançongiciel sur les autres équipements informatiques de l’entité, il est important de déconnecter au plus tôt les supports de sauvegardes et d’isoler les équipements infectés du système informatique en les déconnectant du réseau.
Il faut conserver les données chiffrées
Malgré le chiffrement des données par le rançongiciel, il est possible qu’une solution de chiffrement soit découverte et rendue publique ultérieurement, explique l'Anssi. Il est donc important de conserver les données chiffrées. A ce sujet, le projet "No More Ransom", d’Europol, du National High Tech Crime Unit de la police néerlandaise et de l’éditeur McAfee recense les moyens de déchiffrement applicables à un grand nombre de rançongiciels.
Pour gérer les conséquences d'un rançongiciel, l'Anssi préconise la mise en place d'une cellule de crise "au plus haut niveau de l’organisation, indépendante des groupes de travail opérationnels". Cet organe doit servir à établir une stratégie de communication, rassembler les éléments à fournir en vue d'une judiciarisation de la procédure en cas de vol de données personnelles… Le guide recommande aussi fortement de porter plainte. Ce dépôt conditionne généralement la réparation du sinistre et permet de réaliser une enquête suivie d’une "chasse aux clés" à l’issue de laquelle il sera éventuellement possible de déchiffrer les données altérées.
Ne jamais payer la rançon
Enfin, l'Anssi rappelle que les organismes ne doivent jamais accepter de payer la rançon exigée par les criminels. En effet, "son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux". Pire encore, le fait de payer la rançon multiplierait presque par deux le coût total du processus de restauration d'un système d'information, d'après une étude de l'entreprise anglaise spécialisée en cybersécurité Sophos.
SUR LE MÊME SUJET
L'Anssi tire la sonnette d'alarme sur les ransomwares qui se multiplient et deviennent très sophistiqués
Tous les champs sont obligatoires
0Commentaire
Réagir
