Ces dernières années, les ransomwares sont devenus une menace majeure pour la cybersécurité des entreprises. Les dommages causés par ce type de logiciels malveillants vont du blocage de l'accès des utilisateurs aux ressources nécessaires à l'exposition ou à la destruction des données sensibles de l'entreprise. Quelle que soit la manière dont vos données sont rançonnées, l'entreprise en souffre, ce qui fait de la protection contre les ransomwares une priorité pour les équipes informatiques des entreprises.
Si votre entreprise n'a pas été touchée par le ransomware, ce n'est peut-être qu'une question de temps avant qu'elles ne le soient. Cybersecurity Ventures prévoit que d'ici 2021, une entreprise sera victime d'une attaque par logiciel rançonné toutes les 11 secondes. En 2016, le taux d'attaque était de toutes les 40 secondes, ce qui indique que les acteurs malveillants s'améliorent dans l'exploitation des vulnérabilités pour prendre le contrôle des ressources de l'entreprise et limiter la productivité.
Cette augmentation du nombre d'attaques de ransomwares a également d'énormes répercussions financières. En 2019, les dommages causés par les ransomwares dans le monde entier ont été estimés à 11,5 milliards de dollars. En 2021, ce chiffre devrait atteindre 20 milliards de dollars. La réalité : Le ransomwares est une activité commerciale importante.
Les experts en sécurité ont constaté une augmentation d’attaques de ransomware et autres attaques de phishing dans le sillage du COVID-19. Si vous ne disposez pas d'un plan de protection contre les ransomwares, le moment est donc bien choisi pour informer l'ensemble de l'entreprise sur la manière dont les demandes se propagent, sur ce qu'il faut faire si elles passent la sécurité et sur les stratégies de protection contre les demandes de rançon à mettre en œuvre dès maintenant.
Méthodes courantes d'infection des systèmes par les ransomwares
La sensibilisation est le premier pas vers la prévention et l'atténuation des dommages causés par les ransomwares. Connaître les points d'entrée communs des ransomwares aidera tous les membres de votre organisation à travailler en première ligne de défense contre une violation.
Les ransomwares sont principalement acquises par des actions de l'utilisateur, comme cliquer sur des liens erronés dans les courriels ou télécharger des pièces jointes infectées. Il se propage également par le biais de liens malveillants dans de fausses publicités ou de faux sites web et d'applications de médias sociaux qui transfèrent des malwares au sein d'une application ou vers d'autres appareils connectés.
Les tactiques d'attaque par ranwomares sont en constante évolution, ce qui rend ce type d'attaque plus difficile à identifier comme malware. Les attaquants utilisent même le téléchargement en mode "drive-by download" pour pénétrer les réseaux et installer ransomwares sans avoir à tromper les utilisateurs en leur faisant cliquer sur des liens.
Que faire si votre système est infecté par un ransomware
Si le jour redouté arrive et que vous recevez une notification indiquant qu'un ransomware retient les données de votre entreprise en otage, ne paniquez pas. Pour vous aider à surmonter l'événement, prenez les mesures suivantes afin de limiter les dégâts au maximum.
Débranchez tous les appareils suspects du réseau.
Dès que vous soupçonnez qu'une machine est infectée par un logiciel de rançon, déconnectez-la de tous les contacts du réseau. Le logiciel rançon se répand sur le réseau, donc mettre les machines infectées hors ligne les empêchera d'en infecter d'autres.
Localisez le patient zéro.
Il est essentiel de localiser le point d'entrée du ransomware le plus rapidement possible après la détection du malware. Savoir si la brèche est due à des choix humains ou à une faiblesse de la sécurité du réseau fera la différence dans la manière dont les TI aborderont les prochaines étapes de la récupération et de la réparation.
Identifier le type de ransomware.
Les différentes souches de ransomwares ont leurs propres méthodes de diffusion et de cryptage des données. Identifier le type de ransomware auquel vous avez affaire accélérera votre effort de récupération.
Évaluez les dommages.
Une fois que vous savez à quelle souche de ransomware vous avez à faire, vous devriez être en mesure de déterminer l'ampleur des dommages. Certains types de logiciels ne font que verrouiller vos données, tandis que d'autres cryptent les fichiers, les rendant inutilisables si vous ne payez pas la rançon. Si vous n'avez pas l'intention de payer la rançon, récupérez vos informations à l'aide de votre solution de sauvegarde. Si vous n'avez pas de solution de sauvegarde en place, considérez que ces fichiers ont disparu.
Signalez le délit.
Informez les autorités après une infraction afin qu'elles puissent enquêter et aider à mettre fin à d'autres attaques. Si vous travaillez dans un secteur réglementé, votre entreprise peut être tenue par la loi de signaler les attaques de ransomwares pour rester en conformité.
Veillez à prendre une photo de la demande de rançon comme preuve pour le rapport de police et la demande d'assurance contre la cybersécurité.
Mettez en œuvre votre plan de reprise après sinistre.
Une fois l'attaque neutralisée et les dommages évalués, il est temps d'entamer le processus de restauration et de récupération afin de minimiser l'impact sur les utilisateurs du système et les opérations de l'entreprise.
Si vous ne disposez pas d'un plan de reprise après sinistre complet et à jour, considérez ceci comme un signal d'alarme. La cybercriminalité est en augmentation et chaque entreprise a besoin d'une solution de reprise après sinistre pour protéger ses actifs et réduire l'impact financier de futures attaques.
Les 4 meilleures façons de protéger votre entreprise contre les ransomwares
Bien qu'il soit important de savoir quoi faire en cas d'attaque de ransomware contre lequel une rançon est demandée, dans l'idéal, la brèche ne se produit jamais.
Ces quatre stratégies peuvent protéger le réseau et les applications de votre entreprise contre les ransomwares et autres cyberattaques, en assurant la sécurité de vos données et en maintenant une haute disponibilité pour vos utilisateurs.
1. Centralisez votre technologie de sécurité.
Plus votre environnement informatique est complexe, plus votre organisation est vulnérable. L'entreprise type exploite de multiples systèmes et applications sur un large éventail d'infrastructures - du site au cloud en passant par le virtuel - qui nécessitent chacune des stratégies de sécurité et de protection des données différentes. Chaque fournisseur et chaque solution déployée présente des points faibles supplémentaires et des lacunes potentielles dans la couverture de la sécurité.
Une stratégie unifiée de gestion des menaces - comprenant la détection des malwares, le deep learning et la technologie anti-exploit - combinée à des capacités de sauvegarde et de récupération des données sécurisées peut combler les lacunes de sécurité pour une protection complète contre les logiciels de rançon. Cette stratégie unique peut fournir une première et une dernière ligne de défense.
2. Sauvegardez vos données et vos systèmes, puis sécurisez les sauvegardes.
Votre plan de reprise après sinistre n'est valable qu'à partir de la dernière sauvegarde en état de marche. Testez régulièrement vos sauvegardes et votre plan de récupération des données pour vous assurer qu'il fonctionnera si et quand vous en aurez besoin. En règle générale, vous devriez tester une sauvegarde partielle deux fois par an et effectuer un test de sauvegarde complète chaque année.
La stratégie de sauvegarde 3-2-1 offre un niveau élevé de protection contre la perte de données, notamment en cas d'incendie ou de catastrophe naturelle :
- Conservez trois copies de vos données.
- Exploitez deux types de supports différents.
- Conservez une copie hors site ou dans le cloud.
Il est important de se rappeler que les attaques de ransomwares ciblent de plus en plus les sauvegardes, alors assurez-vous que votre système de sauvegarde ne permet pas l'accès direct aux fichiers de sauvegarde.
3. Gardez vos systèmes d'exploitation et vos logiciels à jour.
Les correctifs manquants sont l'un des moyens les plus courants par lesquels les acteurs malveillants accèdent aux systèmes et aux applications. Il est essentiel de se tenir au courant des correctifs et des mises à jour afin d'éliminer les failles de sécurité.
L'automatisation des tâches de maintenance, telles que l'application de correctifs et l'exécution de mises à jour, est le meilleur moyen de s'assurer que les tâches sont réellement effectuées et que les correctifs de sécurité importants ne passent pas à travers les mailles du filet.
4. Gérer le comportement des employés.
Le comportement en ligne des employés est le premier moyen par lequel un ransomware pénètre dans le réseau d'une organisation. La création d'une stratégie d'éducation et de formation à la cybersécurité à l'échelle de l'entreprise est essentielle pour réduire le risque d'infection.
Au minimum, il faut apprendre aux employés à cliquer en toute sécurité, à reconnaître les tentatives de phishing et d'ingénierie sociale, et à signaler les emails et les activités suspectes au service informatique. Ensuite, prévoyez des exercices périodiques pour tester et contrôler l'efficacité de vos initiatives d'éducation.
Pour aller plus loin dans la sécurité, déployez un logiciel de surveillance pour détecter les violations des politiques et appliquer un protocole de mot de passe sécurisé. Vous pouvez également mettre en place des contrôles réguliers de l'accès aux comptes pour vous assurer que les bonnes personnes ont accès aux bonnes ressources et rien de plus. Cela permet non seulement de protéger les données sensibles et les applications critiques de l'entreprise contre les menaces internes, mais aussi d'empêcher les acteurs malveillants d'utiliser des comptes non autorisés pour infliger des dommages plus graves à l'entreprise.
La protection contre les ransomware est essentielle
L'année 2020 s'annonce comme une année de changements et d'incertitudes généralisés pour les entreprises, et les cybercriminels profitent pleinement de la tourmente. Les attaques de ransomwares sont de plus en plus courantes et les entreprises doivent renforcer leurs initiatives de sécurité pour y faire face.
La mise en œuvre d'une stratégie globale de protection contre les ransomware, qui comprend la formation des employés et des plans de lutte contre les cyberattaques, ajoutera une couche de sécurité supplémentaire à vos systèmes et évitera à votre entreprise le stress et les dépenses liés à la restauration des données, des revenus et de la réputation perdus.