La dernière étude réalisée par le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) révèle que, en 2021, les attaques par ransomware ont touché une entreprise française sur cinq. Dans la plupart des cas, l’attaque aboutit à un chiffrement de tout ou partie des données.
Les ransomwares ont touché une entreprise française sur cinq. Dans la plupart des cas, l’attaque aboutit à un chiffrement de tout ou partie des données. Selon le « Ransomware Spotlight Report » d’Ivanti, les entreprises paient en moyenne 220 298 dollars et subissent 23 jours d’inactivité après une attaque par ransomware. Face à ce qui est qualifié par le Cesin de « déferlante », les entreprises ont accentué leurs campagnes de sensibilisation auprès des utilisateurs, le déploiement d’EDR (Endpoint Detection and Response) et le durcissement de l’Active Directory. Par ailleurs, quatre entreprises sur dix ont recours à des programmes d’entraînement à la crise cyber, et une entreprise sur deux déclare que c’est en projet. Selon Recoveo, quatre bonnes pratiques permettent de lutter contre les ransomwares et leurs conséquences :
Isoler les zones infectées et identifier le périmètre de l’attaque
Une décision doit être prise en début de crise entre déconnecter le système immédiatement pour espérer une reprise rapide d’activité ou bien prendre le temps de réunir des preuves contre les cybercriminels. Un compromis entre ces deux options devra sans doute être trouvé selon la portée, l’ampleur et l’impact de l’incident, en évaluant les risques sur l’intégrité des actifs de l’organisation. L’objectif sera de limiter les dégâts, en bloquant l’assaillant et de tout mettre en œuvre pour un retour à la normale, avec un système utilisable et un accès préservé pour les utilisateurs.
Il faut donc commencer par déconnecter, du réseau (câblé et Wi-Fi) et de tout périphérique de stockage, les ordinateurs ou appareils suspectés d’être infectés, afin d’empêcher la propagation de l’attaque vers d’autres systèmes et dispositifs. Le rançongiciel peut avoir pénétré l’organisation par le biais de plusieurs ordinateurs et appareils, ou bien être dormant sans s’être encore manifesté sur certains systèmes. Il convient donc de traiter chaque matériel connecté avec suspicion. Identifier le type de ransomware attaquant pourra également permettre de comprendre son impact, son mode de propagation, quels types de fichiers il chiffre, les options éventuelles de désinfection, puis d’évaluer le périmètre de l’infection.
Éviter certaines actions précipitées et irréversibles
- Redémarrer un ordinateur qui vient de subir une infection n’est pas recommandé, car cela peut aider les logiciels malveillants les plus récents à chiffrer les fichiers. Les exécutables conçus pour parcourir les disques se bloquent parfois pour un problème d’autorisation et un redémarrage peut leur faire reprendre cette tâche. Il est donc préférable de mettre les composants en veille après déconnexion du réseau.
- Il convient de désactiver les tâches de maintenance automatisées sur les systèmes concernés, celles-ci peuvent interférer avec des fichiers utiles aux enquêteurs : journaux contenant des indices sur le point initial d’infection ou fichiers temporaires créés par des rançongiciels mal programmés renfermant des clés de chiffrement.
- Attention également à ne pas restaurer le système à partir d’une sauvegarde sans avoir vérifié que celle-ci n’est pas infectée, cela empêcherait une reprise d’activité rapide et anéantirait les chances de récupération de données. Les sauvegardes peuvent en effet avoir été contaminées par un piratage « APT » (menace persistante avancée) qui infecte les systèmes pendant une longue période avant le déclenchement de l’attaque.
Mettre en place une cellule de crise pour gérer l’humain et la communication
Souvent oubliée des plans de lutte contre les ransomwares, la création d’une cellule de crise est capitale pour une reprise rapide de l’activité, l’idéal étant qu’elle ait déjà été constituée et testée en amont. De par leur connaissance de l’architecture système, le DSI et le RSSI se retrouvent logiquement au centre de la cellule. Leur rôle et leur responsabilité étant essentiels, il convient de les protéger d’une pression trop forte et de bien les encadrer pour limiter leur charge, au risque de les voir quitter le navire en pleine tempête. Le reste de la cellule doit ainsi être constitué des représentants des métiers.
Tous les scénarios d’évolution défavorables devront être envisagés par la cellule de crise pour anticiper des actions en conséquence, qu’il s’agisse de l’exploitation, des finances, du juridique, du social ou de l’humain. Bien gérer sa communication de crise est également primordial, à commencer par l’interne, en donnant des consignes de sécurité claires aux collaborateurs et en les rassurant sur les pertes ou fuites de données. Une cyberattaque peut être mal vécue par certains, communiquer régulièrement est donc la démarche à adopter pour conserver la mobilisation des salariés.
La communication externe auprès des clients, partenaires et médias est tout aussi indispensable. Il s’agit d’anticiper les réponses aux interrogations de chacun avant que les rumeurs ne se répandent. Des communiqués de presse factuels permettront de limiter l’emballement médiatique, de rassurer le marché, et ainsi de protéger l’image de l’organisation.
Se faire accompagner au plus tôt par des experts
Dès le début de la crise, il est essentiel d’être accompagné par des spécialistes disposant d’une compréhension à 360° de la problématique. Cela peut aller des experts en cybersécurité, en reprise d’activité ou en récupération de données, des assureurs jusqu’aux représentants de l’ANSSI ou de la CNIL.