En 2022, les rançongiciels ont souvent fait la une de l’actualité. Il devrait en être de même en 2023. Cependant, une attaque au ransomware n’est pas nécessairement catastrophique. “Si vous vous préparez correctement et suffisamment tôt, vous pouvez éviter pas mal de problèmes.”
En tant que senior manager chez NVISO, Michel Coene accompagne les entreprises confrontées à des problèmes de sécurité. Il les soutient dans la recherche et les conseille sur la manière de résoudre les problèmes. Il est aussi instructeur au SANS Institute où il dispense des formations sur la cybersécurité. “La prévention est primordiale dans le contexte de la cybersécurité mais les entreprises doivent être conscientes qu’une sécurité totalement étanche n’existe pas”, dit-il. “La détection est essentielle car elle permet au moins de savoir qu’une attaque est en cours.”
La valeur des données
La détection permet de lutter contre les rançongiciels. Le principe d’une attaque – les données sont cryptées et une rançon est demandée pour les déverrouiller – existe depuis plus de trente ans. Cependant, le phénomène a pris de l’ampleur au cours de ces dernières années. C’est notamment dû à la disponibilité de la technologie. Le ransomware est disponible as a service avec les directives, les manuels et le support, ce qui abaisse considérablement le seuil.
“Les attaques ne visent pas uniquement les grandes organisations”, poursuit Michel Coene. “Chaque entreprise est une cible potentielle. Il ne s’agit pas de savoir si vos données sont intéressantes pour le pirate. C’est un erreur de réflexion que font de nombreuses organisations. La seule chose qui compte est de connaître la valeur des données pour votre organisation. C’est ce qui anime les pirates.”
Une attaque par étapes
Les rapports sur les attaques donnent trop souvent une image déformée. Ils ne décrivent que le résultat final : une organisation ne fonctionne plus correctement parce que ses données ont été piratées. “C’est la dernière étape de l’attaque”, signale Michel Coene. “Les cybercriminels ont d’abord effectué un repérage. Ils sont entrés une première fois dans le système et ont répertorié l’environnement. Ensuite, ils ont commencé à se déplacer dans le réseau. C’est à ce moment-là qu’ils entrent en action en déployant le ransomware pour atteindre un objectif spécifique : percevoir une rançon.”
Si l’attaque est en cours mais que le ransomware n’est pas activé, l’organisation peut réagir de plusieurs manières pour l’empêcher d’aller plus loin. “Voilà pourquoi la détection est si importante “, insiste Michel Coene. ” Il s’agit de prévoir des points de contrôle pour pouvoir stopper une attaque à temps.”
Technologies et individus
La protection idéale consiste en une combinaison de technologies et d’individus. Les efforts de sensibilisation restent une nécessité, tant auprès de l’équipe IT que des utilisateurs finaux. “Une attaque vise bien souvent les utilisateurs finaux”, poursuit Michel Coene. “Voyez les mails d’hameçonnage qui incitent le destinataire à ouvrir un fichier ou à se connecter à un site.” La technologie permet d’intercepter ces messages et de filtrer les liens et les pièces jointes. Mais elle n’est pas non plus infaillible. “Pour percevoir ce type de danger, il est nécessaire de répéter les formations de sensibilisation à la sécurité.”
Une protection contre le ransomware englobe la technologie, les individus et un plan d’action clair.”
Un autre point est le développement d’une vision plus large par l’organisation. Que faire si l’utilisateur final se rend compte qu’il a cliqué sur un mauvais lien ? Ou qu’il a entré son mot de passe ? “Il faut développer une culture qui amène l’utilisateur final à signaler immédiatement le fait d’avoir pu commettre une erreur”, continue Michel Coene. “C’est nécessaire pour pouvoir agir rapidement.”
Élaborez un plan
Plus important encore, l’organisation doit élaborer un plan avec les scénarios possibles au cas où un incident avec un rançongiciel se produirait. “On évite alors de perdre un temps précieux lors d’une attaque”, explique Michel Coene. “Un tel plan demande une certaine préparation.” Le département IT doit notamment prévoir un back-up qui reste hors d’atteinte en cas d’attaque. Il doit aussi vérifier si le back-up est complet et s’il est possible de le restaurer dans la pratique.
“Parallèlement à cela, tout le monde doit être impliqué dans la préparation du plan”, continue Michel Coene, “pas seulement l’IT mais aussi le département hr, les collègues de la communication pour informer les clients, le service juridique pour déposer une plainte en cas de fuite de données, etc.”
Enfin, il faut décider au préalable comment l’organisation doit réagir en cas d’attaque ultime : payer ou non une rançon. “C’est un grand dilemme”, d’après Michel Coene. “Si vous payez, vous contribuez à maintenir le modèle criminel. Si vous ne payez pas, cela peut signifier la fin de votre organisation. Impossible d’avancer une réponse sans équivoque.”
À propos de SANS Institute
SANS Institute propose des formations sur la cybersécurité, notamment ‘Defeating Advanced Adversaries – Purple Team Tactics & Kill Chain Defense’ et ‘Ransomware for Incident Responders’.
Cette année encore, SANS propose des formations dans plusieurs villes européennes. Bruxelles est à l’agenda début janvier et en septembre. Des formations seront également données à Amsterdam, Paris, Berlin, Munich et Londres. Plus d’information sur le site www.sans.org.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici