Ransomware : les éléments que les PME doivent prendre en compte pour lutter efficacement
Publié par Florian Malecki, Arcserve le - mis à jour à
Les ransomwares sont aujourd'hui l'un des types de malwares les plus dangereux - et les plus répandus. Pour mener à bien ces attaques lucratives, les hackers s'introduisent dans le système informatique d'une entreprise et en chiffrent les données qu'ils ne libèrent qu'en échange d'une rançon.
Toutes les entreprises sont aujourd'hui visées, malgré leur diverses ressources et capacités à lutter. Alors comment doivent agir les PME en tenant compte de l'ampleur des menaces et de leurs contraintes humaines, technologiques ou financières ?
L'attaque subie par le laboratoire Pierre Fabre, 2e laboratoire dermo-cosmétique mondial et 2e groupe pharmaceutique indépendant français en mars 2021, illustre parfaitement les risques encourus par les entreprises. En effet, à la suite de cette attaque, l'entreprise n'a retrouvé une activité normale qu'après quasiment un mois de paralysie de sa production.
Dans l'évolution récente de ces attaques, figure le fait que les hackers vont désormais jusqu'à voler des informations. Ils menacent ensuite de les publier sur des sites du dark web ou de les vendre, ce qui accroît la pression sur les victimes pour payer la rançon.
L'Agence nationale de la sécurité des systèmes d'information (Anssi) a récemment révélé une hausse des signalements d'attaques de 255 % en 2020 par rapport à 2019(1). Cette tendance devrait donc continuer d'augmenter et la leçon reste la même : les entreprises doivent planifier le déploiement de solutions efficaces de sauvegarde et de protection des données, mais aussi de prévention des ransomwares.
Les erreurs humaines toujours au coeur des sources d'attaques
Alors que chacun doit faire tout ce qui est en son pouvoir pour prévenir les ransomwares et autres malwares sur le plan technologique, les erreurs humaines représentent toujours une part malheureusement élevée du problème. Selon le "2021 Data Breach Investigations Report" de Verizon(2), 60 % des cas de ransomware étudiés impliquaient en effet une installation directe ou par le biais d'applications de bureau : le reste des sources d'attaques étant répartis entre email, propagation par le réseau et téléchargements ciblés par d'autres malwares.
L'humain est donc le facteur commun à bon nombre de ces attaques et le rapport indique même que 85 % des violations se soldent par la perte d'informations d'identification. Alors qu'une grande entreprise peut avoir les moyens de survivre à une telle faille, nombreuses sont les PME contraintes de cesser leurs activités en raison de l'impact des ransomwares. Quelle que soit sa taille, chaque organisation doit donc agir à son niveau pour prévenir les ransomwares, protéger ses données et, in fine, la continuité de ses opérations.
Sept points clés à considérer pour optimiser la lutte
Il existe toutes sortes d'escroqueries plus discrètes et inventives les unes que les autres que les hackers utilisent pour introduire des ransomwares dans les appareils et les réseaux, et celles-ci sont en constante évolution. C'est pourquoi chaque membre de l'entreprise doit comprendre ce qu'il peut faire pour agir. Voici donc les points clés à prendre en considération :
Former les employés à repérer les menaces
L'une des premières étapes est en effet d'éduquer le personnel au moyen de programmes réguliers de sensibilisation et de formation à la cybersécurité. Ces derniers doivent porter sur la définition des menaces potentielles, les dernières actualités et les conseils sur les attaques existantes et nouvelles, ainsi que sur la manière de réagir en cas de soupçon ou de compromission avérée. Il est important de maintenir une forte sensibilisation dans toute l'entreprise par des notes internes, des mises à jour et des conseils réguliers.
Renforcer (et appliquer) les politiques de sécurité
L'entreprise doit disposer de politiques claires concernant la confidentialité des informations d'identification des utilisateurs, et ce même pour le personnel informatique et de sécurité. Il convient ainsi d'inclure des exigences strictes en matière de mot de passe et d'authentification. Il est également important de veiller à ce que les employés comprennent ces politiques - et les raisons de leur existence - et y adhèrent afin qu'ils puissent jouer leur rôle.
Utiliser des logiciels en mode SaaS
L'utilisation d'applications approuvées par l'entreprise peut grandement contribuer à la prévention des ransomwares. Un exemple ? Lorsqu'il s'agit d'utiliser celles de partage de fichiers au lieu de pièces jointes classiques à des emails. Cette stratégie permet d'atténuer, voire d'éliminer, les attaques de type phishing basées sur les pièces jointes malveillantes ; elle vaut donc la peine d'être examinée.
Sensibiliser aux macros
Les utilisateurs qui ne connaissent pas les macros dans les documents Microsoft 365 et Adobe PDF peuvent les activer automatiquement en cliquant sur une pièce jointe malveillante. C'est là une erreur colossale qui ouvre la porte aux ransomwares. On constate une augmentation des malwares basés sur des documents(3), dans lesquels les éléments malveillants fonctionnent comme des programmes exécutables, comprenant la capacité d'exécuter des processus et d'installer d'autres codes sur les systèmes. Il est également utile d'envisager l'utilisation d'un rendu de document non natif pour les fichiers PDF et Microsoft 365 dans le cloud pour mettre fin à cette pratique, car ces applications de bureau peuvent présenter des vulnérabilités non corrigées et prêtes à être exploitées.
Faciliter le signalement des incidents
Aucun employé ne veut être celui qui clique sur une pièce jointe ou un lien malveillant. Il serait alors facile de s'en vouloir si cela se produisait et l'embarras qui accompagne le signalement de l'incident serait important. C'est pourquoi les employés doivent comprendre qu'ils sont - et tous ceux avec qui ils travaillent - bel et bien les victimes dans ces cas-là. Les entreprises doivent s'assurer que chacun se sent à l'aise pour signaler tout incident de sécurité et mettre ainsi en place des procédures de signalement simples et claires.
S'assurer que la sécurité physique reste importante
En dehors de ces éléments technologiques, il convient de veiller à ce que chacun comprenne les politiques de sécurité de l'entreprise en ce qui concerne les installations et les appareils. Un ordinateur portable perdu ou volé sans mot de passe de connexion est une invitation ouverte à accéder au réseau. Et des informations d'identification volées et entre les mains d'un hacker ne peuvent que conduire à un sinistre. Chacun doit donc comprendre que les appareils, les badges et les informations d'identification doivent toujours rester sécurisés.
(1)www.ssi.gouv.fr/actualite/cybersecurite-faire-face-a-la-menace-la-strategie-francaise/
(2)enterprise.verizon.com/resources/reports/2021-data-breach-investigations-report.pdf
(3)www.sophos.com/en-us/security-news-trends/security-trends/the-rise-of-document-based-malware.aspx