L’agence nationale de la sécurité des systèmes d’information (ANSSI) constate une augmentation de 255 % du nombre d’attaques par rançongiciels en 2020 sur le territoire français, les entreprises de toutes tailles ont pleinement conscience de cette menace.
Selon une étude de l’éditeur Kaspersky, sept entreprises françaises sur dix ont été victimes d’un au cours des deux dernières années. Quelles sont les bonnes pratiques pour se protéger ? Cinq étapes et douze bonnes pratiques sont à privilégier reprendre.
1. L’identification
Les environnements susceptibles d’être touchés par une attaque et les risques liés à ces environnements doivent être identifiés, puis mis en contexte avec les objectifs de l’entreprise.
• Évaluer les pare-feux humains : la technologie ne peut pas, à elle seule, protéger l’entreprise. Chacun doit être sensibilisé aux risques de sécurité et savoir comment signaler les incidents potentiels. Pour cela, il est nécessaire d’évaluer le degré de sensibilisation des collaborateurs à la cybersécurité et de le tester régulièrement par des simulations de phishing.
• Élaborer un plan de continuité d’activité : il est essentiel de déterminer les processus cruciaux pour la continuité d’activité de l’entreprise, notamment les contacts et actions indispensables en cas de crise. Ce plan doit être conservé hors site de façon à demeurer intact et accessible 24 heures sur 24, 7 jours sur 7.
• Recenser tous les actifs numériques : en répertoriant les actifs les plus critiques, l’entreprise peut les identifier et les protéger efficacement.
2. La protection
Les entreprises doivent élaborer et appliquer des mesures de protection appropriées pour assurer la fourniture des services d’infrastructures critiques, en s’appuyant proactivement sur leur capacité à limiter ou contenir l’impact d’une cyberattaque.
• Sensibiliser les pare-feux humains : la formation des collaborateurs à la cybersécurité reste un moyen très efficace de rehausser le niveau de protection. Cette sensibilisation doit se dérouler en continu, afin d’informer les collaborateurs, quelle que soit leur fonction, au fur et à mesure de l’apparition des menaces.
• Investir dans l’hygiène numérique : rendre la vie dure aux acteurs malveillants qui cherchent à « infecter » l’entreprise passe notamment par le choix d’identifiants complexes et leur renouvellement régulier, l’authentification multifacteurs ou encore le retrait des équipements et applications inutiles.
• Appliquer la règle 3-2-1 : il est recommandé de conserver au moins trois copies de chaque donnée importante et de stocker les sauvegardes sur deux types de supports différents, dont une copie hors site. Il est possible d’obtenir une protection supplémentaire par le chiffrement des données et l’utilisation exclusive d’infrastructures intégrant la sécurité dès leur conception.
3. La détection
La découverte rapide des évènements de cybersécurité est une étape critique pour la mise en place d’une stratégie robuste dans ce domaine. Plus tôt un évènement est détecté, plus vite ses répercussions pourront être atténuées.
• Muscler les systèmes de détection : le principal risque d’un ransomware étant sa propagation rapide à d’autres systèmes, il est essentiel de disposer d’une réelle visibilité sur toute activité pouvant en être le signe. La mise en place d’alertes avancées permet de mieux se défendre contre les virus, les malwares et les ransomwares.
• Créer des alarmes virtuelles : l’observation d’un élément suspect (compte administrateur inutilisé, par exemple) doit déclencher instantanément un signal d’alerte.
4. La réponse
Il s’agit d’aider les utilisateurs à développer des techniques destinées à contenir l’impact d’évènements de cybersécurité en veillant à élaborer et mettre en œuvre les actions appropriées.
• Disposer d’un plan de réponse aux incidents : les procédures de détection, de communication, de contrôle et de remédiation des incidents de cybersécurité doivent être précisées afin que les collaborateurs sachent y réagir de manière optimale lorsqu’ils surviennent.
• Prendre du recul et rester objectif sur les responsabilités : les équipes de la DSI ou les autres collaborateurs ne doivent pas être tenus responsables d’une attaque. Cela ne faciliterait en rien la réponse à l’incident et ne ferait qu’accentuer les craintes et le stress. La meilleure chose à faire est de rester objectif et de réunir les bonnes personnes pour activer le plan de réponse aux incidents le plus rapidement possible.
5. La reprise
Puisqu’il est impossible de parer toutes les cyberattaques, disposer d’une stratégie de reprise dans l’éventualité d’une brèche dans les cyberdéfenses est vital.
• Élaborer une stratégie de reprise : les actions prioritaires pour la reprise d’activité doivent être définies en amont, comme la sauvegarde des données et la mise à l’abri des sauvegardes en cas d’attaque.
• Définir des objectifs de reprise : les systèmes de sauvegarde doivent être conçus dans l’optique des performances de reprise plutôt que sur le temps nécessaire à la sauvegarde. Pour cela, les SLA (engagements de service) de reprise sont déterminés sous la forme d’objectifs de points et de temps de restauration (RPO/RTO) acceptables.