Rançongiciels en entreprise : comment limiter les risques ?

Des cyberattaques en augmentation constante

Les attaques par ransomware sont en augmentation exponentielle ces dernières années. Popularisées par les attaques WannaCry (2017) et Ryuk (2018), ce mode opératoire est aujourd’hui adopté par de nombreuses organisations cybercriminelles qui proposent même des modèles de “ransomware as a service” à l’instar de Lockbit.

Si le nombre de cyberattaque par rançongiciel a légèrement diminué (831 intrusions avérées en 2022 contre 1082 en 2021 selon le dernier panorama des cybermenaces, le ransomware est aujourd’hui l’activité cybercriminelle la plus lucrative. Parmi les secteurs les plus impactés, l’ANSSI pointe les entreprises numériques, les secteurs de la santé, de l’éducation, et les collectivités locales. 

Selon l’ANSSI, cette cybermalveillance touche en premier lieu les entreprises numériques mais aussi les secteurs de la santé, de l’éducation, et les collectivités locales.

La fréquence et l’ampleur de ces cyberattaques par rançongiciel démontrent qu’il est primordial de prendre des mesures pour limiter le risque.

Des multiples vecteurs d'entrée à la cybermalveillance

Le ransomware est un moyen peu coûteux et très rentable de rançonner les entreprises, qui peuvent ainsi se trouver en grande difficulté. Elles doivent prendre conscience que ce type de menace peut se produire à tout moment depuis des points d’entrée multiples : 

• L’email reste le vecteur le plus utilisé à travers une pièce jointe ou un lien web pointant vers un site contenant un malware.


• Le rançongiciel peut également se cacher dans une simple bannière de publicité, une image, une application mobile, une clé USB, ou profiter d’une faille logicielle ou encore être injecté au travers d'une connexion à réseau Wi-Fi public.

Comment limiter l'exposition de vulnérabilité aux cybercriminels ?

Les pirates sont opportunistes et suivent l’actualité des entreprises pour trouver leurs futures cibles. Ils peuvent profiter du lancement d’un nouveau produit pour agir ou plus simplement orchestrer une campagne non ciblée de phishing, ce qui signifie qu’aucune entité n’est à l’abri d’un ransomware. Il est donc important de réduire le risque de ces menaces en déployant des mesures de sécurité : 

• La première action à mener consiste à installer des technologies d’antispam, d’antivirus et d’anti-phishing sur le réseau et les terminaux de l’entreprise. 


• Peuvent s’y ajouter un filtrage des flux web qui vont interdire l’accès à des sites et des adresses IP répertoriés comme étant des menaces. 

Des barrières supplémentaires peuvent être mises en place :

• L’IPS (Système de Prévention d’Intrusion) veille à ce qu’aucun malveillant ne tente d’exploiter une vulnérabilité entre le serveur de l’entreprise et internet. 


• Il convient également d’installer un pare feu afin de protéger le réseau de l’organisation.


• La Sandbox, en complément de l’antivirus permet de s’assurer qu’un logiciel inconnus de l’antivirus ne contient pas toutefois un ransomware en l’activant à l’intérieur d’un « bac à sable » isolé du reste du système pour analyser son comportement.

Comment s'assurer qu'une protection cyber est réellement efficace ?

L’entreprise qui souhaite se protéger correctement doit s’assurer que son prestataire et sa solution de sécurité utilisent des modules de détection fiables et complets pour effectuer des filtrages efficaces de toute menace. 

L’entreprise doit également être sûre que sa solution utilise des bases de réputation actualisées en permanence et classées par catégorie (URLs connues pour héberger des ransomwares et virus, adresses IP vérolées, etc.). 

Le réseau doit être cloisonné et idéalement chaque sous-réseau être protégé par un pare feu doté de règles de sécurité les plus fines possibles.

Le filtrage antivirus/antimalware doit lui aussi s’opérer à travers des bases de qualité répertoriant des signatures de virus constamment mises à jour. Un bon antivirus professionnel doit ainsi pouvoir bloquer une nouvelle menace entre 4h à 8h après son ajout dans la base. La solution du prestataire de sécurité doit être en phase avec ces délais. L’ajout de la Sandbox permettra de diminuer encore un peu plus cette fenêtre de risque aux tous nouveaux virus.

Par ailleurs, lorsque l’entreprise a activé ses barrières de sécurité en partenariat avec son prestataire de sécurité, elle doit être en mesure de corriger les erreurs de configuration (IP mélangées, activation d’un service risqué, etc.). Le plus simple consiste à se faire aider par le prestataire. Il est à même d’étudier les rapports de sécurité d’équipement et d'optimiser la configuration de sécurité. 

En complément, un scanner de vulnérabilités (comme la solution Cybercheck de SFR Business) permet notamment d’identifier et donc d’anticiper toute cyberattaque qui s’appuie sur l’exploitation de failles de sécurité.

Quelles sont les bonnes pratiques pour limiter les risques liés aux ransomwares ?

Préserver le devenir de l’entreprise en conservant un réseau sain requiert la mise en œuvre de bonnes pratiques de sécurité. Éviter l’intrusion de malwares nécessite de posséder un bon antivirus et filtrage web reposant sur des bases réputées et à jour. Les licences de sécurité doivent être renouvelées, et les équipements et applications être constamment patchés et actualisés. Le réseau doit être cloisonné et idéalement chaque sous-réseau être protégé par un pare-feu doté de règles de sécurité les plus fines possibles.

Les pirates misent sur les erreurs humaines des collaborateurs pour introduire les rançongiciels. Ils doivent donc être sensibilisés aux risques à travers des formations et des simulations. Et si la crise survient, l’entreprise doit savoir réagir sans céder à la panique. Rapidement déconnecter les terminaux et le serveur du réseau, s’assurer que les restaurations de sauvegarde ne sont pas aussi contaminées font partie des bonnes pratiques.

En conclusion, afin de limiter au maximum les rançongiciels, il est indispensable de protéger le réseau par un antivirus et pare-feu antu-spam, parfe-feu à jour. Ils peuvent être associés à du filtrage web et à des scans de vulnérabilités. Les collaborateurs doivent être formés aux risques cyber pour éviter d’introduire par mégarde un virus dans le réseau.

Enfin, le recours à un Next Gen SOC, véritable tour de contrôle du SI, permet de contrecarrer les tentatives d’intrusion et les actes cyber malveillants en quasi-temps réel. L’entreprise peut également se tourner vers un prestataire de sécurité pour une sécurité renforcée. SFR Business met à disposition des PME des outils pour limiter au maximum le risque de rançongiciel à travers ses offres de sécurité internet dédiées et de dernière génération.