Jean-Francois Beauzel

Ransomware, sont ils inéluctables?

Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, pendant plusieurs jours. Or, aujourd’hui l’informatique est au cœur de l’activité, et l’interruption de ces services peut engendrer des pertes importantes, voire mettre en difficulté ces sociétés au point de les amener au bord de la faillite.  Face à ces attaques, deux postures sont possibles. Soit on se dit que de toute façon on ne pourra pas l’éviter et on attend l’inéluctable, soit on regarde le problème en face, on le comprend, et on s’y prépare en ayant en tête le point suivant : les attaquants font cela pour gagner de l’argent.

Comment ces ransomwares sont-ils introduits dans les SI, et comment se propagent ils ?

Ici, rien d’extraordinaire, dans la majorité des cas, le malware est introduit via un mail contenant une pièce jointe malveillante et dans une faible proportion via des machines directement exposées sur internet. Bien sûr, il peut s’agir directement de la charge virale, mais également d’une première charge permettant de prendre la main sur le poste de la victime. Dans le premier cas, il est nécessaire que le malware embarque un exploit lui permettant de se répandre par lui-même. Dans le second scénario, les attaquants prennent la main sur un premier terminal avant de s’en servir comme rebond pour propager manuellement le malware.

Que faire pour contrer cela ?

Pour contrer cela, on pense immédiatement aux solutions anti-spam, aux anti-malware voire aux solutions de Sandboxing. Certes ces solutions permettent de réduire fortement le risque, même si elles restent faillibles. En complément, il est important de ne pas oublier la première des actions à réaliser : sensibiliser les utilisateurs. Bien sûr, certains vous diront que les utilisateurs ne comprennent rien, que c’est une perte de temps et d’argent. Mais d’expérience, une communication régulière de sensibilisation, qui ne se limite pas à une communication par mails et quelques posters, permet d’obtenir des améliorations significatives sur les comportements des utilisateurs.

Ensuite, avant de vous jeter sur la dernière technologie de sécurité qu’il vous manque, demandez-vous si les outils que vous avez déjà sont pleinement configurés et à jour.
Mais au-delà du premier poste contaminé, se pose la question de la propagation.

Généralement, elle est due à la présence de vulnérabilités sur les postes, que ce soit au niveau des systèmes d’exploitation, ou au niveau des logiciels présents sur les machines. Et c’est précisément là que se trouve le principal point de vulnérabilité, souvent mal maîtrisé.

En effet, aujourd’hui encore, la gestion des vulnérabilités n’est pas une priorité dans de nombreuses entreprises, et même si une politique est en œuvre, le suivi est souvent défaillant. Enfin, si les OS sont globalement bien mis à jour, les composants présents sur les machines ne le sont généralement pas, parce que non couverts par les outils en place. En plus de cela, certains éléments sont maintenus pour des problèmes de compatibilité. Bref, beaucoup de points peuvent être discutés au sujet des mises à jour, mais nous aborderons cela dans un prochain article. Le point à retenir, c’est que dans la majorité des cas, les mises à jour de certains composants auraient rendu inopérantes ces attaques.

Bien sûr, il n’y a pas de solutions parfaites, mais en utilisant un panaché de mesures, cela permet de complexifier la tâche des attaquants.

Très bien, mais cela ne garantit pas que je ne serai pas touché(e), comment s’y préparer ?

Mon premier conseil, préparez-vous à la gestion de crise. La meilleure solution dans le cas d’un ransomware est d’isoler, d’éteindre,  de contrôler et le cas échéant de restaurer ce qui a été compromis : cela se prépare et nécessite de parfaitement maitriser votre SI. Et pour cela, l’une des solutions serait que votre PRA prenne en compte ce scénario, cela vous permettra d’identifier les actions à réaliser, les chaines de décisions ainsi que toute la logistique associée, mais également de pouvoir conduire des exercices de simulation basés sur ces scénarios.

Ensuite, la sauvegarde vous permettra de récupérer tout ou partie de vos données. Bien entendu, il sera nécessaire de s’assurer que celles-ci sont fonctionnelles, et qu’elles permettent de retourner sur plusieurs versions antérieures, afin d’éviter de récupérer des données corrompues.

Enfin, et en dernier recours, la souscription d’une assurance pourra vous permettre de couvrir une partie des coûts de perte d’exploitation, ainsi que de la remédiation.

Et payer la rançon, est-ce une solution ?

Mon caractère tend vers la réponse suivante : Non, jamais. Maintenant, si vous êtes compromis sans espoir de récupérer des données vitales pour votre entreprise, la question peut se poser et les grands principes ne sont plus une option. Dans ce cas, surtout, ne vous précipitez pas. Prenez contact avec eux, essayez de comprendre leurs motivations et assurez-vous de réellement pouvoir récupérer vos données.

Au final, une bonne préparation vous permettra de limiter le risque, voire de le rendre tellement complexe à réaliser que les attaquants n’y verront plus aucun intérêt. Et si malgré tout vous êtes touché(e), vous saurez comment réagir, et ainsi réduire l’impact de cette attaque.

 

Articles associés

Les Devops et l’Agilité : les pires ennemis de la Sécurité…ou pas ! (2/2)

24 juin 2021
Nous l’évoquions dans un précédent article (les devops et l’agilité pires ennemis de la sécurité ou pas 1/2), Devops et agilité ne font pas forcément bon ménage avec la sécurité. Cependant, loin d’être une fatalité, cette opposition permet au métier de la sécurité d’évoluer avec le temps. À l’image de l’essor de l’IT et de […]

L’Analyse d’Impact du Transfert des données personnelles hors UE

31 mai 2021
L’Analyse d’Impact du Transfert des données personnelles hors UE: Au mois de juillet 2020 et suite au jugement Schrems, La Cour Européenne de Justice a décidé que les Clauses Contractuelles Standards ou Types (CCT) étaient valides et que le Privacy Shield EU – US n’était plus un instrument adéquat pour permettre le transfert de données […]
Partager cet article
Derniers articles

Comment agir sur nos Datacenters afin de réduire leur consommation énergétique ?

Réduire la consommation énergétique des centres de données : Les Datacenters ont un grand impact sur l’empreinte carbone et leurs émissions totales de gaz à effet de serre sont en augmentation constante. L’objectif est ici de vous faire découvrir quelles sont les pistes à explorer pour réduire la consommation d’énergie et l’impact environnemental de nos […]

L’évolution des architectures réseaux en data center

L’informatique est un monde en perpétuelle évolution, et l’architecture réseau des datacenters n’échappe pas à la règle. Les moteurs de ces évolutions sont nombreux, que ce soient les progrès techniques, ou encore les évolutions des usages et des besoins…. Au cours de cet article, nous allons aborder l’orientation actuelle des architectures en data center. Mais […]

Les Devops et l’Agilité : les pires ennemis de la Sécurité…ou pas ! (2/2)

Nous l’évoquions dans un précédent article (les devops et l’agilité pires ennemis de la sécurité ou pas 1/2), Devops et agilité ne font pas forcément bon ménage avec la sécurité. Cependant, loin d’être une fatalité, cette opposition permet au métier de la sécurité d’évoluer avec le temps. À l’image de l’essor de l’IT et de […]

L’Analyse d’Impact du Transfert des données personnelles hors UE

L’Analyse d’Impact du Transfert des données personnelles hors UE: Au mois de juillet 2020 et suite au jugement Schrems, La Cour Européenne de Justice a décidé que les Clauses Contractuelles Standards ou Types (CCT) étaient valides et que le Privacy Shield EU – US n’était plus un instrument adéquat pour permettre le transfert de données […]