Ransomware, logiciel malveillant, comment s'en prémunir

24 juin 2021

Par Guillaume Mathieu et Étienne Bompais-Pham dans Sécurité

En 2020, la crise sanitaire a vu une intensification des activités cybercriminelles qui se sont développées de manière contextualisées ou opportunistes. Les rançongiciels ont été la première cause de recherche d’assistance sur le site cybermalveillance.gouv.fr pour les entreprises et associations, selon les données de la Fédération EBEN d’avril-juin 2021. Celles-ci concernent toutes les organisations.

Pour assurer la pérennité de votre organisation, il convient de prendre des mesures préventives que nous allons vous présenter ici. Certaines d’entre elles ne demandent aucun investissement, car il s’agit seulement d’un changement d’organisation ou parce que vous disposez déjà des outils nécessaires dans votre offre Microsoft 365.

Mais tout d’abord, rappelons ce qu’est un ransomware.

Autodiagnostic de sécurité

Protégez votre organisation en réalisant gratuitement un audit de votre sécurité.

En moins de 2 minutes, obtenez votre plan d’action personnalisé.

Autodiagnostiquez-vous

Qu’est-ce qu’un ransomware ?

Un ransomware (ou rançongiciel) est un logiciel malveillant qui verrouille vos postes de travail, serveurs, appareils mobiles… Une demande de rançon vous est alors réclamée pour retrouver l’accès à vos données.

Pour se mettre en place, le pirate commence par accéder à une machine présente sur votre réseau. La première étape de l’attaquant est d’obtenir un accès à une machine interne à l’entreprise. Les techniques d’entrée principales sont :

l’exploitation d’une faille de sécurité en ciblant les services informatique publiés sur internet de l’entreprise : accès VPN, portail web de la messagerie, services de bureau à distance (TSE, RDS, terminal serveur…) ;
le phishing (ou hameçonnage) par mail ou SMS. Il s’agit d’un message qui reprend la charte graphique d’un acteur fiable : une administration, une banque ou un grand site d’e-commerce, par exemple. La victime clique sur un lien qui télécharge le logiciel malveillant ou ouvre une pièce jointe corrompue.

Le logiciel s’installe sur le poste de travail. L’attaquant peut alors corrompre les données auxquelles l’utilisateur ciblé peut accéder en écriture. L’attaquant va ensuite essayer d’élever ses privilèges en récupérant les accès d’un administrateur. Le but final de l’attaquant est de compromettre les sauvegardes, afin d’empêcher l’entreprise de restaurer les données corrompues par l’attaquant.

Le logiciel se déploie alors dans l’environnement informatique : autres appareils connectés au réseau, serveurs applicatifs et de stockage, serveurs de sauvegarde, etc. Il chiffre toutes les données. Une fois étendu sur l’ensemble du réseau, il verrouille toutes les machines, détruit les sauvegardes locales et externalisées, puis fait apparaître un message réclamant une rançon pour les déverrouiller.

Actions à mettre en place pour protéger votre organisation

Pour protéger votre organisation, respectez la pyramide de la sécurité ci-dessous, en partant des actions correctives qui combleraient le plus vite possible les failles les plus simples à exploiter par des attaquants peu expérimentés (la base).

1. Réalisez régulièrement une sauvegarde hors ligne

Les cyberattaquants visent aujourd’hui tous les serveurs, y compris les sauvegardes. Effectuez donc manuellement des sauvegardes régulières de l’ensemble de vos données sur un support déconnecté de votre réseau. Elles vous permettront de relancer votre infrastructure à partir des dernières données sauvegardées.

En savoir plus : Protégez vos sauvegardes de données avec la règle du 3-2-1.

2. Segmentez les droits des utilisateurs et administrateurs

Afin d’empêcher l’installation de logiciels malveillants sur les postes de travail, supprimez les droits d’administration de vos utilisateurs finaux. Pour empêcher un cyberattaquant de contrôler votre environnement informatique en cas d’intrusion, réduisez et segmentez les droits de votre équipe IT en appliquant le principe de moindre privilège pour les comptes d’administration et en séparant l’administration du service de l’administration du contenu.

3. Mettez à jour vos applications et systèmes d’exploitation

Les éditeurs de logiciel publient régulièrement des correctifs de sécurité pour patcher les failles de sécurité connues. Automatisez leur installation, avec Windows Update par exemple, afin que ces dernières ne soient pas exploitées pour s’infiltrer dans votre organisation. Si vous disposez d’applications non supportées, migrez-les et isolez-les sur des serveurs dédiés.

4. Définissez une stratégie de mots de passe

Pour ralentir les attaques par « force brute » pour trouver les mots de passe d’accès à vos applications et systèmes, ceux-ci doivent être complexes et uniques. Pour empêcher des mots de passe simples et répétitifs, définissez une stratégie de mots de passe interne. Attention à ne pas tomber dans l’excès en imposant des mots de passe trop complexes : les utilisateurs auraient alors tendance à les noter sur un post-it. Privilégiez l’utilisation d’une phrase pour servir de base au mot de passe, plutôt que des mots de passe aléatoires trop compliqués à retenir.

Allez plus loin : 4 solutions pour en finir avec les mots de passe

5. Sécurisez les postes de travail et votre réseau internet

Mettez en place des pares-feux et antivirus sur l’intégralité de vos machines (postes de travail, serveurs, etc.). Optez pour une solution avec console centralisée pour faciliter leur gestion et superviser votre réseau. Les solutions que nous préconisons sont Fortinet Fortigate (pare-feu et proxy), Fortinet FortiSwitch (commutateurs réseaux) et Fortinet AP (points d’accès wifi).

Protégez-vous également contre le spam et le phishing avec des logiciels adaptés, comme Microsoft 365 Defender for Office 365 inclus dans le plan de licence Microsoft 365 Business Premium.

6. Implémentez l’authentification à deux facteurs

Renforcez la sécurité de l’ensemble de votre environnement informatique en mettant en place une authentification à deux facteurs sur l’ensemble de vos logiciels professionnels : un mot de passe et une validation par une application mobile. Il existe des solutions intelligentes qui s’activent lorsque le poste de travail se trouve en-dehors de votre réseau, à des horaires inhabituels ou dans des localisations exotiques.

7. Formez vos équipes aux risques de sécurité

La première porte d’entrée exploitée par les pirates est la méconnaissance des utilisateurs. Formez donc régulièrement :

vos utilisateurs finaux sur les réflexes à adopter en matière de cybersécurité ;
vos équipes IT sur les dernières cybermenaces et les procédures standardisées à mettre en place pour sécuriser votre infrastructure.

Par exemple, quand vous recevez un email qui semble légitime pour des transferts bancaires, mettez en place un process de contrôle pour s’assurer que la demande est légitime.

8. Chiffrez les disques de vos stations de travail

En cas de vol ou de perte d’un poste de travail, une personne malveillante peut accéder à l’ensemble de vos données et applications métier. Pour rendre l’utilisation de vos stations de travail inexploitables par une personne en-dehors de votre organisation, chiffrez-les avec Microsoft BitLocker par exemple.

9. Sécurisez vos annuaires d’entreprise

Dans la mesure où l’annuaire Active Directory (AD) contient les informations secrètes des utilisateurs, comme leurs informations d’identification, il constitue une cible de choix. Appliquez les mesures adaptées pour le sécuriser, comme présenté dans notre article dédié à la sécurisation de l’AD.

10. Protégez votre réseau internet

Pour réduire les intrusions via votre réseau internet, segmentez et filtrez votre réseau filaire et wifi, avec des VLAN.

11. Migrez vos serveurs dans le cloud

Si vous ne disposez pas d’une équipe informatique complète pour superviser de manière granulaire vos serveurs et réseaux, optez pour un stockage de vos données et applications dans un cloud public. En optant pour du PaaS (Plateforme as a Service), vous déléguez ainsi toute la maintenance et la gestion de sécurité à votre prestataire spécialisé.

12. Supervisez votre environnement informatique

Pour être alerté des anomalies qui surviennent dans votre environnement informatique (accès à des horaires inhabituels, depuis des localisations exotiques, à des fichiers que ne consulte jamais un utilisateur, etc.), déployez des solutions de supervision intelligente, comme Azure Security Center, Azure Sentinel et Azure Logs Analytics.

13. Restreignez l’accès à vos données sensibles

Pour protéger vos données les plus sensibles, restreignez leur accès aux seuls profils qui ont besoin de les traiter.

14. Collectez et analysez vos logs (SIEM)

Afin de suivre l’activité sur votre environnement informatique collectez les logs (SIEM) et mettez en place un système d’analyse automatique.

15. Réalisez un test d’intrusion

Une fois que vous avez réalisé toutes les actions précédentes, vous pouvez réaliser un test d’intrusion pour détecter les failles présentes dans votre organisation.

16. Déployez des solutions de détection d’intrusion

Pour garantir une protection élevée, vous pouvez déployer des solutions de détection automatique d’intrusion. Vous pouvez choisir Azure Advanced Threat Protection (ATP) ou Alsid for AD.

Allez plus loin : Découvrez des démonstrations d’attaque et les mesures préventives à mettre en œuvre en regardant le replay de notre webinaire « Cybermalveillance : comment se protéger ? ». [Accès limité aux professionnels, hors ESN.]

En conclusion : une protection à tous les étages

Il n’est ni coûteux ni difficile de protéger votre organisation et vos données. Cela requiert seulement la mise en place et le suivi de procédures strictes pour fermer toute porte d’entrée éventuelle à votre organisation.

Spécialiste de la cybersécurité et labellisé CyberExpert, nous pouvons réaliser pour vous un diagnostic de sécurité informatique. Le rapport que nous vous remettrons vous permettra d’identifier les actions urgentes, prioritaires et importantes que nous pourrons vous aider à mettre en œuvre.

Cookie	Durée	Description
__cfduid	1 mois	Le cookie est utilisé par les services CDN comme CloudFlare pour identifier les clients individuels derrière une adresse IP partagée et appliquer les paramètres de sécurité par client. Il ne correspond à aucun identifiant d'utilisateur dans l'application Web et ne stocke aucune information personnellement identifiable.
_GRECAPTCHA	5 mois et 27 jours	Ce cookie est défini par Google. En plus de certains cookies standards de Google, reCAPTCHA est un cookie nécessaire (_GRECAPTCHA) lorsqu'il est exécuté dans le but de fournir une analyse des risques.
viewed_cookie_policy	1 an	Le cookie est déposé par le plugin GDPR Cookie Consent et sert à savoir si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.

Cookie	Durée	Description
_gat_gtag_UA_46701625_1	1 minute	No description
_ym_visorc	30 minutes	No description
CONSENT	16 years 8 months	No description
metrika_enabled	session	No description
wttj-user-language	1 mois	No description
yuidss	1 an	No description

Cookie	Durée	Description
IDE	1 an et 24 jours	Utilisé par Google DoubleClick, ce cookie stocke des informations sur la façon dont l'utilisateur utilise le site Web et toute autre publicité avant de visiter le site Web. Il est utilisé pour présenter aux utilisateurs des publicités qui les concernent en fonction du profil de l'utilisateur.
test_cookie	15 minutes	Ce cookie est défini par doubleclick.net. Son but est de déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois et 27 jours	Ce cookie est défini par YouTube. Il est utilisé pour suivre les informations des vidéos YouTube intégrées à un site Web.

Cookie	Durée	Description
_ga	2 ans	Ce cookie est installé par Google Analytics. Il sert à calculer les données du visiteur, de la session, de la campagne et suivre l'utilisation du site pour le rapport d'analyse du site. Les cookies stockent des informations de manière anonyme et attribuent un numéro généré de manière aléatoire pour identifier les visiteurs uniques.
_gid	1 jour	Ce cookie est installé par Google Analytics. Il sert à stocker des informations sur la façon dont les visiteurs utilisent un site Web et aide à créer un rapport d'analyse de la façon dont le site Web fonctionne. Les données collectées, y compris le nombre de visiteurs, la source d'où ils viennent et les pages consultées sous forme anonyme.