Les attaques de ransomwares ont augmenté de 300 % en 2016

 

 

 

Les infections par ransomware ne sont pas limitées aux particuliers. Ce malware, parmi les plus sophistiqués, cible tous les internautes, des individus, aux réseaux d'entreprise, sans oublier les agences gouvernementales. Les attaques de ransomwares visant les entreprises peuvent affecter les actionnaires, les employés et les clients et provoquer des dégâts permanents dus à la perte de données confidentielles, mais aussi à la mauvaise publicité et aux pertes financières qu'elles entraînent.

 

 

Comme en atteste le FBI, les infections par ransomware sont difficiles à nettoyer. Une bonne compréhension des menaces permet aux entreprises de définir de meilleures stratégies de sécurité pour prévenir les attaques. Toutefois, ce n'est pas suffisant, et la plupart du temps, les entreprises ne se rendent pas compte des risques, voire les minimisent. Walmart, Target, Apple, Ebay et TalkTalk, pour ne citer que quelques exemples, font partie de ces nombreuses grandes entreprises à avoir subi de graves failles de sécurité et des vols de données faisant suite à des cyberattaques et des vulnérabilités.

 

 

Les employés sont le maillon faible des entreprises. Le plus souvent, les hackers utilisent des techniques de social engineering pour inciter les utilisateurs à cliquer sur des publicités et des URL infectées dans les e-mails, ou à télécharger des pièces jointes qui entraînent une infection par ransomware du réseau entier de leur entreprise. L'engouement pour les objets connectés (IoT) et le BYOD ont accru les vulnérabilités et les risques de sécurité pour le secteur privé.

 

 

Les appareils multifonctions utilisés à domicile et au travail représentent le risque le plus important. Un simple clic peut suffire à les infecter. Et une fois que l'appareil est connecté au réseau d'entreprise, l'infection peut corrompre l'ensemble de l'infrastructure. Étant donné que l'innovation technologique pousse les hackers à faire preuve d'inventivité, les entreprises doivent se plonger avec plus de rigueur dans l'analyse et la réduction des menaces, au lieu de se contenter de mesures de base en matière de cybersécurité.

 

 

Mais alors, de quelle manière les entreprises peuvent-elles protéger leurs infrastructures des attaques de ransomwares les plus sophistiquées ? Les RSSI doivent implémenter des méthodes de prévention visant à réduire les risques pour leurs entreprises. Il est toujours plus économique d'éviter les infections ransomware, que de récupérer son système et ses données.

 

 

Les employés constituent le point d'entrée le plus fréquent des hackers qui cherchent à s'introduire dans le système d’une entreprise ou d’une organisation gouvernementale. Des formations régulières à la sécurité réseau et à la détection des risques peuvent donc permettre de limiter les infections par des malwares. Les codes malveillants sont souvent intégrés à des sites Internet légitimes afin de piéger des utilisateurs non formés. Le personnel d’une entreprise doit apprendre à savoir distinguer les liens et e-mails authentiques des tentatives de phishing, qui peuvent entraîner une infection par ransomware ou les inciter à divulguer leurs mots de passe et des données sensibles.

 

 

Si malgré tout, vous faites face à une attaque par ransomware, ne vous précipitez pas pour payer la rançon demandée. L'expérience a prouvé que les hackers n'envoient généralement pas la clé de déchiffrement destinée à récupérer ses données. Le paiement de la rançon ne fait qu'encourager ce type de modèle économique criminel et ne vous protège ni contre une autre attaque, ni contre une augmentation du montant de la rançon.

 

 

« Le paiement d'une rançon ne garantit en aucun cas à l'entreprise de récupérer ses données. Dans certains cas, les entreprises victimes ne reçoivent jamais la clé de déchiffrement après avoir payé », explique James Trainor, Directeur adjoint de la division informatique du FBI. « Le paiement d'une rançon incite non seulement les cybercriminels à cibler toujours plus d'entreprises, mais encourage aussi d'autres criminels à se lancer dans ce type d'activité. Finalement, en payant la somme demandée, la société peut involontairement financer d'autres activités illégales des criminels. »

 

 

Face à un appareil infecté, l'approche recommandée est de le retirer immédiatement du réseau et de contacter les forces de l'ordre. L'objectif est d'éviter que le malware ne se propage sur toute l'infrastructure. La seconde mesure à entreprendre est de changer tous les mots de passe immédiatement, puis de les remodifier une nouvelle fois après la suppression du malware et la récupération des données.

 

 

Pensez à réaliser des analyses et des mises à jour régulières de tous les systèmes d'exploitation et logiciels, et vérifiez qu'ils ne présentent pas de vulnérabilités. Sauvegardez régulièrement les données de l'entreprise sur des périphériques physiques hors ligne ou dans le cloud, et sécurisez ces sauvegardes en veillant à ce qu'elles ne soient pas connectées en permanence à l'infrastructure de l'entreprise. Il est arrivé que les infections de ransomwares verrouillent aussi l'accès aux sauvegardes dans le cloud.

 

 

Lors de la détection d'une cyberattaque, documentez avec précision les vulnérabilités qui ont été exploitées et les mesures entreprises pour restaurer le système. En vous basant sur cette expérience et les recherches de l'industrie, attachez-vous à mettre en œuvre une stratégie de sécurité qui préviendra de futurs incidents similaires et protégera votre activité de la cybercriminalité.