Les attaques aux rançongiciels ont connu une forte progression ces dernières années et ne sont plus un phénomène marginal. Au point que le gouvernement prépare un plan national doté d’un milliard d’euros pour y faire face. Toutefois il incombe aux entreprises d’être vigilantes et préparées pour y faire face. Cet article a pour vocation un rappel de la situation et des bonnes pratiques à mettre en place pour se prémunir d’une attaque. Nous verrons dans un second article que faire en cas ‘d’attaque.

 

Rançongiciels : qu’est-ce que c’est et pourquoi est-ce dangereux

Sans rentrer dans trop de détails techniques, les rançongiciels (‘ransomware’ en anglais) sont des virus informatiques pilotés à distance par des cybercriminels et dont la spécificité est de chiffrer toutes les données de postes informatiques à distance. Les postes infectés deviennent dès lors inutilisables et toutes les données qu’ils contiennent sont irrécupérables à moins d’en détenir la clé de déchiffrage. Cette clé est alors proposée contre rançon par les malfaiteurs à leurs victimes et payée généralement en Bitcoin via des réseaux spécialisés.

Contrairement aux idées reçues, ces attaques ne sont pas l’œuvre de hackers isolés vivant dans le garage de leurs parents. Cette ‘industrie’ représente plusieurs dizaines de milliards de dollars de revenu par an et a été investie par des groupes organisés qui se sont mis au Fordisme : des hackers se spécialisent dans la conception des virus et louent leurs créations à d’autres acteurs qui eux sont spécialisés dans l’infiltration et qui se chargent de faire pénétrer le virus dans les réseaux informatiques d’entreprises. Il n’existe dès lors aucune autre alternative pour ces entreprises si ce n’est de payer la rançon (souvent proportionnelle au chiffre d’affaires) afin pouvoir reprendre leur activité, cette rançon étant par la suite partagée entre ces malfaiteurs.

 

Comment se prémunir d’une attaque au rançongiciel

Comme pour tous les problèmes dans la vie, il vaut mieux prévenir que guérir. Il est plus simple et plus efficace d’éviter une telle attaque que d’avoir à s’en débarrasser. Il y a donc trois axes principaux afin de protéger votre entreprise :

  • La protection des postes accédant au réseau par antivirus professionnel ;
  • La formation et la vigilance de chacun des collaborateurs de l’entreprise ;
  • La mise en place préventive de sauvegardes (back-ups) ;

 

Les antivirus

Il en va en informatique un peu comme en immunologie ou il y a une course permanente entre les virus dans la nature qui mutent et s’adaptent aux médicaments, et la science qui cherche et développe de nouveaux traitements contre ces virus mutants. Les hackers qui développent des rançongiciels et d’autres ingénieurs informatiques développent des antivirus pour y faire face. A noter que les seconds sont toujours en réaction aux premiers et qu’ils ne peuvent agir qu’en prévention (il est virtuellement impossible de ‘sauver’ un ordinateur une fois infecté). Il est donc de la plus haute importance d’équiper tous les postes ayant accès au réseau de l’entreprise d’antivirus de qualité professionnelle et que ces derniers soient mis à jour en permanence.

Or s’il est vrai qu’aujourd’hui tout PC vendu dispose d’un antivirus, tous les antivirus ne se valent pas. Ceci se comprend dans la mesure un PC à utilisation personnelle par exemple est peu susceptible d’être la cible d’attaques sophistiquées et pour lequel un antivirus générique est sûrement suffisant. Mais cette démocratisation de l’antivirus a tendance à faire croire naïvement que d’en disposer d’un, quel qu’il soit, prémunit de toutes les attaques. Or rien n’est moins vrai et de même qu’en médecine tous les vaccins et toutes les thérapies ne se valent pas, il en va de même pour les antivirus informatiques. Il est donc absolument nécessaire pour une entreprise d’équiper chaque poste d’antivirus adaptés à leur activité.

 

La formation

Pour continuer sur notre parallèle entre virus informatique et virus biologique, il faut prendre conscience que le risque zéro n’existe pas et que même les antivirus les plus avancés peuvent parfois faillir. Or la porte d’entrée de ces virus dans les réseaux d’entreprise est rarement le fait d’employés à dessein malveillant. Il s’agit pour l’immense majorité des cas d’employés ingénus téléchargeant des fichiers à partir de site web non certifié ou de pièces jointes d’emails suspects. D’aucuns cliquent sur des liens contenus dans emails en apparence légitime et sont victimes de ‘phishing’ : ils renseignent alors leurs identifiants et mots de passe sur de faux sites vitrine qui récupèrent donc les accès au réseau de l’entreprise.

Il est donc primordial de bien formé son personnel et tous ses collaborateurs aux gestes de sécurité simple : ne pas télécharger les pièces jointes d’email inconnu, vérifier les adresses mail d’envoi, ne pas rentrer ses identifiants sur des sites inhabituels, et d’autant plus s’ils proviennent d’une redirection email. Si nécessaire il est préférable de se reconnecter soi-même au site internet concerné ou tout du moins de bien vérifier l’URL (adresse du site web) auquel on est redirigé. Dans le doute, il convient de demander à un collègue si ce n’est à votre service informatique de vérifier la légitimité de l’email ou du site web en cas de doute.

 

Les sauvegardes et plans de continuité

Le dernier axe de prévention peut paraître moins pertinent, mais sera d’autant plus critique en cas d’intrusion réussie d’un rançongiciel sur le réseau de l’entreprise. Il consiste à faire des sauvegardes complètes et déportées de toutes les données sensibles et importantes au bon fonctionnement de l’entreprise et de pouvoir les remettre rapidement en place en cas d’attaque. Cela ne diminuera en rien l’étendue de l’attaque, mais permettra à l’entreprise de sauver le principal, à savoir ces données immatérielles et essentielles. Celles-ci pourront être remises sur les postes non infectés ou sur de nouveaux postes. L’exploitation commerciale pourra reprendre aussitôt et les pertes seront ainsi limitées.

Un plan de sauvegarde et de reprise adéquat vous mettra également en bien meilleure posture s’il s’agit de négocier avec les cybercriminels pour la récupération de données manquantes et non sauvegardées, s’il en est.

Nous verrons plus en détail dans un prochain article que faire pendant et après une attaque au rançongiciel.