Comment réagir face aux ransomwares ?
Apparus pour la première fois en 1989, les rançongiciels (contraction de “rançon” et “logiciels”) sont des virus qui chiffrent les données de leurs cibles et forcent ces dernières à payer une rançon pour les récupérer. Entre 2019 et 2020, le nombre d’incidents signalés à l’ANSSI est passé de 54 à 192, soit une hausse de 255%(1). Ce type d’attaque représente actuellement la menace informatique la plus sérieuse pour les entreprises, en raison du nombre d’attaques recensées et de leur impact potentiel sur la continuité de l’activité.
Pour limiter les risques d’infection, les entreprises doivent appliquer quelques règles essentielles en matière de sécurité informatique. Mais quand une attaque par rançongiciel survient, comment les entreprises doivent-elles réagir ? Explications.
Comment les ransomwares infectent-ils votre PC ?
Un pirate envoie un email avec une pièce jointe infectée, un lien contaminé, ou bien vous fait télécharger un fichier depuis le web ou pire, le fait sans action de votre part en utilisant les plugins des navigateurs Web (Javascript, Flash, …). Ce fichier cache le code malveillant qui, une fois installé dans l’ordinateur, va mettre en place le piège : il va chiffrer les documents stockés sur le disque dur. Impossible pour le salarié de les ouvrir pour travailler ou même de les transférer à des collaborateurs. Le piratage informatique peut ensuite toucher d’autres postes de travail, eux-mêmes connectés au réseau. En quelques secondes, des milliers de fichiers peuvent être chiffrés. Dans d’autres cas, les ransomwares bloquent totalement l’usage du PC en empêchant de taper l’identifiant et le mot de passe de la session Windows.
Dans la plupart des cas, ce virus se cache dans un document bureautique (Word ou PDF), une image ou un extrait vidéo. Les pirates informatiques, ayant beaucoup d’imagination, tentent actuellement de piéger les ordinateurs des DRH en adressant des CV infectés.
Dans d’autres cas, un email est envoyé, invitant la personne à se connecter à un site sous différents prétextes (coupure d’un compte, problème de virement, etc.). C’est la technique du Phishing.
Les 5 étapes/réflexes pour réagir face aux ransomwares
1. On débranche tout
Le premier réflexe est de déconnecter immédiatement l’ordinateur infecté (arrêt du Wi-Fi, câble Ethernet débranché), mais également tous les autres postes de travail afin de contenir la propagation du code malveillant.
2. On ne paie pas la rançon
Le paiement ne garantit en rien le « déchiffrement » des données. Contrairement à ce qu’il affirme dans le message qu’il affiche sur l’écran du PC pris en otage, le pirate informatique n’a aucune obligation de transmettre la « clé » permettant de récupérer les documents. Ne faites pas confiance aux cybercriminels ! Par ailleurs, le versement de la rançon peut compromettre le moyen de paiement utilisé. S’il s’agit d’une carte bancaire, l’escroc pourrait profiter de ces coordonnées pour effectuer des achats…
3. On traque le virus
Le troisième réflexe est de lancer une analyse complète de chaque ordinateur par un antivirus (voire plusieurs) bien mis à jour au préalable. L’objectif est de repérer le ransomware et de le supprimer avant qu’il se réenclenche. Mais cette opération n’est pas toujours efficace...
4. On repart de zéro
Il faut réaliser un formatage complet du disque dur du poste infecté. Cette opération consiste à effacer l’intégralité des données. C’est en effet la seule solution efficace pour éradiquer le ransomware en espérant qu’il n’est pas en veille sur le poste d’à côté.
5. On restaure ses données
Lorsque le formatage est terminé, il faut lancer une restauration des données qui auront été préalablement sauvegardées. Pour plus de précautions, il est nécessaire de réaliser auparavant un scan complet de la sauvegarde, afin de récupérer des fichiers « propres ». Certains malwares peuvent être dormant pendant des jours voire des semaines, ils peuvent donc retrouver à l’intérieur des sauvegardes.
Cybersécurité : comment protéger sa TPE/PME et ses clients ?
Ransomwares : anticiper la menace
Ces cinq étapes montrent qu’un rançongiciel a un impact majeur sur l’activité de l’entreprise. En avril 2019, l’attaque par rançongiciel d’une ETI française a provoqué un arrêt de l’activité pendant trois jours et un fonctionnement en mode dégradé pendant deux semaines !
« Toutes ces mesures sont longues, parfois angoissantes et coûteuses. Si un commercial ou une secrétaire ne peut pas utiliser son ordinateur durant plusieurs jours, cela entraîne une perte d’argent. L’intervention d’un prestataire informatique pour reformater le ou les disques durs, faire une analyse complète par l’antivirus et gérer la restauration engendrent des frais importants. Il est donc indispensable que la direction en prenne conscience avant d’être touchée, et ce afin de limiter l’impact »,
Insiste Xavier Poinsignon, Responsable marketing des offres de sécurité chez SFR Business.
Sauvegarder ses données, renforcer sa protection, et sensibiliser : indispensable !
Les entreprises doivent mettre en place une politique de sécurité. Elle repose sur trois points majeurs.
- Premièrement, la sauvegarde des informations critiques. Cette opération peut être réalisée en local (sur un serveur), mais surtout dans le Cloud afin de limiter l’impact d’un dégât des eaux, d’un incendie ou d’un cambriolage. Les solutions de sauvegarde dans le Cloud permettent en effet de définir les documents, voire même des partitions, que l’on souhaite sécuriser en priorité et de planifier des sauvegardes.
- Deuxièmement, il est nécessaire de sensibiliser tous les salariés aux bonnes pratiques en matière de sécurité, afin qu’ils repèrent plus facilement les pièges des pirates informatiques. Pour traverser les protections toujours plus performantes, les pirates traquent l’erreur humaine.
- Troisièmement, mettre en place une vraie protection de son accès à Internet et de ses postes de travail avec des technologies d’analyse capables de détecter des malwares évolués, même quand ils ont mutés ou camouflés pour échapper aux signatures des antivirus (Sandboxing) ou bien des systèmes capables de contrer les tentatives d’intrusion par exploitation des failles (IPS). Ces technologies de sécurité informatique se démocratisent et deviennent accessibles à toutes les entreprises, même les petites dont l’enjeux est beaucoup plus grand, voire vital, si elle perd tout son savoir-faire ou arrête totalement sa production.
SIS Evolution
SÉCURITÉ INTERNET PROFESSIONNELLE Découvrez l'offreEn savoir plus sur Xavier Poinsignon, Responsable offre Sécurité Informatique
Recevez le meilleur de l’actualité
s'abonner(1) D'après une étude ANSSI sur L'état de la menace rançongiciel à l'encontre des entreprises et institutions réalisé en mars 2021
(2) D'après un guide ANSSI sur les Attaques par rançongiciels, comment les anticiper et réagir en cas d'incident