Les médias en parlent régulièrement, les grandes entreprises et les hôpitaux sont souvent victimes de hackers très bien organisés pour crypter les données et demander une rançon : les ransomwares.
Pour autant ces cyberattaques ne sont pas l’exclusivité des plus grosses structures, les PME sont tout autant ciblées et encourent les mêmes risques.
D’après le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), 1 entreprise française sur 5 a subi une attaque par un ransomware en 2020.
Votre cabinet est malheureusement bien sous la menace.
SOMMAIRE
C’est quoi un ransomware ?
Comment agir contre cette menace ?
Que faire en cas de contamination ?
C'est quoi un ransomware
Ransomware ou rançongiciel (en français) est un virus dont l’objectif est d’obtenir de la victime le paiement d’une rançon. Pour cela le cybercriminel va crypter vos données informatiques paralysant ainsi votre système d’information et vous demandera de payer une rançon en contrepartie du moyen vous permettant de déchiffrer vos données.
Le préjudice est important et dépasse la perte de vos données, car cela va entrainer un arrêt de votre production et donc une perte de chiffre d’affaires.
Cela vous causera des problèmes juridiques liés au RGPD et votre réputation risque d’être altérée donc vos clients vont perdre confiance.
Une étude demandée par l’assureur Hiscox auprès du cabinet de conseil Forrester montre que 80% des entreprises ayant perdu leurs données font faillite dans les 12 mois.
Le ransomware est devenu une véritable industrie disponible sur le Dark Web. Vous utilisez votre logiciel de comptabilité en mode SaaS (Software as a Service) ? Eh bien, sachez que les cybercriminels utilisent des ransomware en mode RaaS (Ransomware as a Service). Oubliez l’image du hacker solitaire et génie de l’informatique qui s’attaque aux plus grandes institutions depuis sa chambre mal éclairée.
Nous faisons face à des organisations très bien structurées. Dans son rapport de février 2021, l’ANSSI fait état d’une hausse de 255% de signalement d’attaque par ransomware entre l’année 2019 et 2020.
Comment agir contre cette attaque ?
La cybersécurité est un sujet d’expert avec une véritable complexité technique et au premier abord il parait bien difficile d’agir à son niveau. Pourtant un certain nombre d’actions « simples » s’avère efficace et sont souvent des règles de bon sens qu’il faut absolument respecter. La sécurité informatique est un empilement de mesures techniques et humaines à adapter en fonction de son contexte, il n’existe pas de solution unique qui permettrait de se prémunir de tous les risques de piratage.
Sauvegardez vos données
Il est essentiel de réaliser des sauvegardes régulières de votre système d’information. C’est un élément clé pour la protection de vos données. Une simple copie de vos fichiers n’est pas suffisante.
Il convient d’utiliser un véritable logiciel de sauvegarde qui opèrera selon la règle du 3-2-1 :
- Disposer de trois copies de vos données : celles de production + deux copies de sauvegarde.
- Stocker ces copies sur deux supports différents : votre sauvegarde ne doit pas être sur votre serveur de production, mais par exemple sur un NAS (Network Attached Storage) est un boitier qui permet de stocker des données sur un réseau ou un disque dur USB.
- Sortir une copie à l’extérieur de vos locaux : par exemple en cas d’incendie c’est l’assurance de retrouver vos données intactes.
Bénéficier d’une sauvegarde déconnectée de sa production est un atout en cas de contamination par un ransomware. En effet, les hackers ne se contentent pas toujours de cibler vos données de production, mais vont aussi essayer d’atteindre vos sauvegardes. Pour cela, vous pouvez opter pour une sauvegarde complémentaire sur disque dur USB, bande magnétique ou bien dans le Cloud chez un spécialiste du sujet.
Soyez toujours à jour
Les mises à jour sont longues et tombent souvent quand on manque de temps, mais pourtant elles sont essentielles.
Certaines mises à jour permettent de combler des failles de sécurité de vos logiciels ou de votre système d’exploitation (exemple : Microsoft Windows 10).
Les éditeurs travaillent donc en permanence à mettre à disposition des correctifs sur leurs codes qui présentent un risque de sécurité pouvant être exploité par un cybercriminel.
Cependant, le paradoxe de cette situation est que chaque publication d’une mise à jour de sécurité se transforme en opportunité pour un hacker de profiter de cette faille nouvellement identifiée afin d’agir contre les malheureux utilisateurs qui ne mettront pas à jour leurs systèmes informatiques rapidement.
Il est parfois plus simple pour un hacker d’attendre qu’une faille de sécurité soit découverte par l’éditeur lui-même plutôt que de la chercher de son côté. Sachant que bon nombre de systèmes ne sont jamais mis à jour ou alors de façon trop irrégulière, cela laisse largement aux cybercriminels le temps d’agir.
Dans ce cas de figure, la faille de sécurité n’est plus tant liée au logiciel en lui-même, mais à l’humain qui n’a pas été assez rapide pour avoir réalisé sa mise à jour.
Utilisez un antivirus
L’antivirus ne fait pas de miracle dans le sens où il n’est pas auto suffisant pour se prémunir d’un virus comme les ransomwares.
Certains antivirus disposent d'une fonctionnalité d’analyse comportementale qui permet de mettre en évidence une action non volontaire ou qualifier de suspect. Malheureusement, entre les faux positifs, les ressources importantes demandées pour faire ce genre d’analyse et les hackers toujours plus inventifs, ce type de fonctionnalité n’est pas toujours efficace.
Néanmoins, l’antivirus est tout de même essentiel grâce à sa base de signature. Le fonctionnement est simple, les chercheurs de l’éditeur de l’antivirus vont identifier les virus existants grâce à leur signature numérique qui permettra à l’antivirus installé sur votre ordinateur ou votre serveur de détecter et bloquer les virus. Les chercheurs sont rapides et identifient très rapidement les nouvelles menaces existantes sur Internet. Nul besoin de rappeler l’importance d’avoir un antivirus toujours à jour afin de disposer de la dernière base de signature.
Sensibilisez vos collaborateurs
Dans beaucoup de cas, la contamination par un ransomware est faite par l’ouverture d’une pièce jointe piégée ou la consultation d’un site web malveillant. La technique du phishing (hameçonnage en français) est largement employée pour diffuser des ransomwares. Les cybercriminels vous envoient un email en se faisant passer pour votre collègue, votre banque, un client ou bien encore par le centre des impôts et vous incite à ouvrir la pièce jointe ou de cliquer sur un lien.
Prendre le temps de vérifier l’expéditeur et de bien lire le contenu du message devrait suffire à votre intuition pour identifier ces attaques malveillantes.
En cas de doute, demandez l’avis d’un tiers ou mieux appelez directement l’expéditeur pour vérifier l’authenticité du message.
Dans tous les cas, informer des risques est déjà une première étape, votre prestataire informatique dispose certainement d’une fiche pratique sur la cybersécurité pour vous aider à communiquer auprès de vos collaborateurs.
Que faire en cas de contamination ?
Malheureusement, malgré votre vigilance et les moyens mis en œuvre pour éviter les ransomwares, il y a toujours un risque et le constat est sans appel vous vous êtes fait pirater.
La première chose à faire consiste à isoler le plus rapidement possible l’ordinateur ou le serveur qui est contaminé en le coupant du réseau afin qu’il n’infecte pas d’autres postes. Pour cela, débrancher votre câble réseau et/ou couper votre connexion WiFi.
Informer immédiatement votre service informatique ou votre prestataire qui se chargera de tous les aspects techniques : décontamination, remontée de sauvegarde, correction de la faille exploitée…
Les équipes techniques vont avoir du pain sur la planche, on peut facilement imaginer la pression subie dans ce contexte. Le choix d’un partenaire informatique sur qui compter en cas de crise doit être une de vos priorités, il ne faut pas attendre de subir une attaque pour s’en soucier.
Ne payez surtout pas ! La tentation peut être grande, car vous risquez de relativiser la somme demandée par rapport au préjudice subi, notamment si votre plan de sauvegarde n’est pas à la hauteur de votre espérance.
Il est très probable que le moyen de déchiffrement chèrement payé ne permettra pas de reconstruire l’intégralité de vos données et c’est notamment le cas pour tous les fichiers en cours d’utilisation (exemple : base de données de votre logiciel de comptabilité) qui risquent d’être endommagés par l’action successive de chiffrement, puis de déchiffrement.
De plus, rien n’indique que le cybercriminel va réellement vous mettre à disposition le moyen de décrypter vos données et pire vous seriez maintenant une cible identifiée. Vous pourriez très bien faire l’objet d’une nouvelle attaque par la même entité. Vous êtes un bon payeur alors pourquoi se priver ? Il n’y a pas de code d’honneur dans ces organisations criminelles extrêmement lucratives.
1 Commentaire