Découvrez, dans cet article, que faire face à un ransomware.

La dernière étude de Cybereason, une entreprise de technologie de cybersécurité, montre que 80 % des organisations victimes d'un ransomware et ayant payé la rançon ont subi une nouvelle attaque à peine quelques semaines plus tard. 46 % d’entre elles estiment d’ailleurs qu’il s’agit d’une cyberattaque provenant des mêmes cybercriminels. Pire, après avoir payé les hackers, seules 46 % des entreprises ont pu récupérer leurs données, et une partie de celles-ci étaient définitivement corrompues. En cas d’attaque par un ransomware ou rançongiciel, payer est loin d’être la solution idéale. Découvrez, dans cet article, que faire face à un ransomware.

Se doter d’une politique de cybersécurité adaptée aux rançongiciels

« Prévenir vaut mieux que guérir », ce vieil adage reste parfaitement adapté au domaine IT…

Pourtant d’après un sondage du club des experts de la sécurité de l’information et du numérique (CESIN), en 2020, 6 entreprises sur 10 se disaient non préparées à une cyberattaque de grande ampleur. Ce manque d'anticipation est probablement l'une des causes de l’explosion de la cybercriminalité. En 2020, 91 % des organisations françaises (entreprises, mais aussi institutions gouvernementales et hôpitaux) ont subi au moins une cyberattaque.

Comment alors mettre en place une politique de sécurité informatique ? En ce qui concerne les ransomwares, plusieurs actions sont à mener notamment :

la mise en place de mesures pour pouvoir isoler immédiatement un matériel informatique touché par un rançongiciel. L'appareil doit pouvoir être déconnecté du réseau (filaires et wifi) le plus rapidement possible pour éviter toute propagation ;
la création de procédures pour faciliter la récupération des données (sauvegardes régulières avec stockage des supports dans un lieu sécurisé, réplication sur un site distant, etc.) ;
des actions de formation pour sensibiliser les salariés et les collaborateurs aux ransomwares et aux méthodes d'ingénierie sociale ;

Bien entendu, ces éléments sont à intégrer dans une politique de la cybersécurité globale, comprenant l'utilisation de pare-feu et antivirus, des règles d’authentification fortes, une surveillance du trafic et des menaces, etc.

Identifier le rançongiciel

Si votre politique de sécurité est en place, le « patient zéro » (ou premier matériel touché par le rançongiciel) doit être isolé du reste de réseau. Attention cependant le ransomware peut être entré dans votre système informatique au travers de plusieurs ordinateurs. Il peut simplement être en mode « sommeil », c'est-à-dire ne rien afficher à l’écran. Effectuez donc des scans et vérifications complètes sur tous vos terminaux connectés.

Ensuite, identifiez le ransomware grâce aux informations qu’il expose (montant de la rançon demandée, mode de paiement, etc.). Vous pouvez vous aider de sites comme ID Ransomware ou No More Ransom pour déterminer à quelle attaque vous avez à faire.

Si vous êtes un professionnel, et que l'intrusion touche des données à caractère personnelles, vous devez également signaler l’infection à la CNIL en lui fournissant le maximum de détails sur les conséquences de l’attaque et les mesures que vous avez prises ou comptez prendre.

Enfin, identifier le ransomware vous aidera à comprendre comment il se propage et quelles données il cible. Ces informations sont cruciales pour déterminer comment vous pouvez faire face au ransomware.

Se débarrasser d’un ransomware

Avant d’entamer toute procédure pour supprimer le ransomware, il est impératif de déployer un plan de réponse aux incidents. Cette étape permet de s'assurer que l'incident est correctement géré. Toutes les actions pour contenir et potentiellement éliminer le logiciel doivent être enregistrées et conservées afin de prouver que l’attaque a été prise en charge aussi rapidement et efficacement que possible.

Vous avez ensuite 2 options :

tenter de supprimer le ransomware ;
réinitialiser complètement votre système ;

En revanche, comme on l’a vu et même si ce peut être tentant, payer la rançon n’est pas une solution. Vous n'êtes pas assurés de récupérer vos données et vous risquez fortement de subir de nouvelles attaques par la suite…

Si vous avez mis en place une bonne stratégie de sauvegarde des données, remettre à zéro vos systèmes ne devrait pas occasionner de lourdes pertes ou compromissions. En revanche, sans sauvegarde, la situation est plus compliquée. Si vous n’avez pas de ressources internes, il est grandement conseillé de faire appel à un cabinet ou à un consultant en cybersécurité. Ils pourront vous guider sur les actions à mener et les possibilités de déchiffrement des données.

Prévenir les prochaines attaques de ransomwares

Même si vous avez réussi à vous débarrasser du rançongiciel ou pire que vous avez payé la rançon, vous n'êtes pas à l’abri d’une nouvelle attaque. Au contraire, si les cybercriminels ont découvert une vulnérabilité dans votre système informatique, ils ne devraient pas tarder à l'exploiter de nouveau.

Dans tous les cas, après avoir fait face à un ransomware :

déconnectez tous les utilisateurs et réinitialisez les mots de passe ;
si vous en avez un, revoyez la sécurité de votre Active Directory ;
effectuez des scans sur tous vos appareils (y compris les mobiles et les distants) ;
renforcer la sensibilisation de vos salariés ;
vérifiez que les mises à jour et correctifs ont bien été installés sur tous vos équipements ;
analysez également la sécurité de votre réseau et passez, si besoin, par un VPN ;
mettez en place une veille sécuritaire pour acquérir une connaissance précise de votre système, de ses vulnérabilités et des nouvelles menaces.

Les attaques de ransomware peuvent engendrer des dégâts considérables sur les données, les revenus et l’intégralité du fonctionnement d’une entreprise. Mettre en place une bonne gestion des risques et des plans pour prévenir et réagir à ces attaques est donc indispensable. Si vous recherchez un consultant ou ingénieur en cybersécurité, n’hésitez pas à vous rapprocher de l'équipe Free Work dédiée aux recruteurs. Vous pouvez également poser toutes vos questions sur notre forum IT.

Sources et liens utiles :