Ransomware (rançongiciels): 8 façons de se protéger
Patrick Côté
Directeur des services gérés
Les attaques par ransomware (rançongiciels) sont l’un des principaux cybercrimes auxquels font face les organisations. C’est encore plus vrai depuis la pandémie, car cet évènement global a transformé l’environnement de travail, le rendant plus vulnérable à certains types d’attaques informatiques.
Alors, comment se protéger des ransomware efficacement pour éviter le pire? Découvrez tout au sujet des différents types de rançongiciels, l’importance de développer un plan de sécurité informatique et cybersécurité robuste et les façons de protéger votre entreprise contre les cyberattaques.
Cybersécurité 101: un ransomware ou rançongiciel, c’est quoi au juste ?
Un rançongiciel est un logiciel malveillant distribué, de façon ciblée ou opportuniste, par un pirate informatique. Selon le Centre Canadien pour la cybersécurité, il existe plusieurs types d’attaques de cybersécurité, mais les demandes de rançons causées par ces logiciels malveillants sont en tête de liste.
Quel est l’objectif principal d’un rançongiciel ?
L’objectif principal d’une attaque par rançongiciel est d’extorquer de l’argent aux organisations en échange d’une promesse de récupérer vos données ou de déverrouiller les systèmes bloqués. Certaines de ses menaces ont parfois simplement l’intention de nuire à l’image de l’entreprise en endommageant son système d’information et en lui faisant subir des pertes d’exploitation.
Malheureusement, même si l’organisation décide de payer la rançon, il y a toujours un risque que les cybercriminels ne fournissent pas de clé de chiffrage pour retrouver les données personnelles cryptées.
Comment identifier un ransomware?
Il existe différents types de ransomware, mais voici les cyberattaques les plus courantes:
- Bloqueur:
Ce type s’appelle aussi bloqueur de disque. Il peut bloquer l’accès à l’écran de l’appareil en cryptant le disque et bloquer les fonctionnalités de base des terminaux. L’utilisateur n’est donc plus en mesure d’accéder au système d’exploitation pour tenter de remédier à la situation.
- Bloqueur PIN:
Similaire au bloqueur, ce type de cyberattaques ciblent principalement les appareils mobiles (Android ou IOS). Cette cyberattaque sur les mots de passe modifie les codes d’accès et verrouille les utilisateurs hors du système.
- Chiffreur/cryptage:
Le ransomware le plus populaire. Cette cyberattaque sur les données personnelles chiffre les données et fichiers individuels de l’organisation.
- Scareware:
Cyberattaque sur les terminaux qui visent à effrayer les utilisateurs pour les forcer à acheter et télécharger des logiciels inutiles. Les utilisateurs subiront principalement des bombardements de pop-ups qui inonderont leurs écrans, ce qui les obligera à payer la rançon pour les supprimer.
- Doxware/Leakware:
Une attaque informatique qui menace la divulgation de données sensibles à moins qu’une rançon ne soit payée.
Il est souvent trop tard pour identifier une menace lorsque l’on est victime d’un ransomware. Dans la majorité des cas, les victimes reçoivent un message de rançon sur leur écran ou lors du téléchargement de fichier textuels aux dossiers affectés. Certains groupes de rançongiciels modifient aussi l’extension des fichiers chiffrés.
Faire preuve de vigilance et faire des analyses de vulnérabilité sont parmi les méthodes les plus efficaces pour se protéger contre les ransomware. Cependant, même avec des politiques de sécurité robustes et en utilisant les meilleures pratiques, il est possible de devenir une victime. Il est donc crucial pour les organisations de développer des plans d’urgence, comme la sauvegarde de données systématique.
Coût moyen des cyberattaques
Chaque année, ce sont des millions de dollars qui sont extorqués aux entreprises. Selon une étude d’IBM, le coût des violations de données est en moyenne 6,94 millions pour les entreprises canadiennes.
Certains secteurs d’activité, comme le secteur financier et de l’énergie, ont cependant des moyennes beaucoup plus élevées. On enregistre une moyenne de 12 millions par attaque pour le secteur financier, et 9.37 millions pour l’énergie.
Pourquoi se protéger des ransomware est-il important pour votre organisation?
Petite, moyenne, grande, gouvernementale, hôpital — aucune organisation n’est à l’abri. Les plus vulnérables sont les secteurs qui dépendent d’un accès instantané à des fonds ou des dossiers. Cependant, les criminels visent aussi les cibles faciles, comme les petites entreprises qui ont des lacunes de cybersécurité cloud ou de formation pour prévenir les menaces.
Payer la rançon ne signifie pas que vous retrouverez vos données. De plus, vous encouragez le criminel à poursuivre ses activités. La protection et la prévention sont donc essentielles pour éviter les conséquences d’une attaque par rançongiciel.
- Baisse de productivité (temps d’arrêt pour réparer ou restaurer)
- Perte d’argent (pertes de revenus causées par le temps d’arrêt et dépenses liées à la restauration, appeler des experts, amendes si des données personnelles sont divulguées, poursuites judiciaires, etc.)
- Perte de données
- Dommages à la réputation
- Congédiement de responsables de la sécurité (RSSI) et d’employés pour réduire les pertes financières et coûts opérationnels
- Impact quant à la conformité aux réglementations sur la protection des données telles que la loi 25
Que faire en cas d’attaque de ransomware?
Voici nos recommandations si votre organisation est victime d’un incident lié à un rançongiciel:
- Isolez l’appareil du réseau et du cloud et déconnectez-le de la connexion internet
- Si vous avez un fournisseur de services gérés TI, contactez-le immédiatement pour que celui-ci intervienne le plus rapidement possible
- Ne payez pas la rançon
- Conservez les preuves de votre attaque (phishing email, journal d’évènements du pare-feu, fichiers encryptés, copie physique du ou des serveurs ou à défaut, les disques durs.)
- Reportez l’incident aux autorités en cybersécurité
Comment prévenir et lutter contre les ransomwares: 8 meilleures stratégies et pratiques en cyberdéfense
1. Éduquer, former et sensibiliser vos employés aux meilleures pratiques de cybersécurité
Ne commettez pas l’erreur de ne pas investir dans les formations et campagnes de sensibilisation. La meilleure méthode de prévention reste toujours l’éducation. Gardez vos équipes informées sur l’hameçonnage et comment traiter les messages d’expéditeurs inconnus contenant des pièces jointes ou liens vers des sites suspicieux.
3. Sauvegarder vos données de façon systématique
L’une des meilleures méthodes pour réduire vos risques est la sauvegarde systématique de vos données. De cette façon, vous êtes en mesure de récupérer vos données et de rétablir votre système à son état d’origine en cas d’attaque, sans avoir à payer de rançon.
5. Choisir des mots de passe complexes et renforcer l'authentification de l'utilisateur
Pour assurer la sécurité de vos mots de passe, nous recommandons d’utiliser des codes complexes, avec des chiffres et symboles et d’une bonne longueur. Nos experts recommandent aussi de changer ces mots de passe régulièrement. Les mots de passe créés par défaut doivent obligatoirement être effacés s’ils ne sont pas changés immédiatement.
En matière d’authentification, les meilleures méthodes de prévention sont les suivantes:
- Utilisation d’un compte utilisateur plutôt qu’administrateur
- Vérification en 2 étapes (2FA: two-factor authentication)
- La surveillance des accès, mais aussi des activités
7. Solutions anti-ransomware
En matière de bonnes pratiques de sécurité informatique, il existe plusieurs solutions anti-ransomware. Par exemple, l’utilisation d’un logiciel de sécurité fiable et multicouche, d’outils de protection et de détection en temps réel et l’élaboration d’un plan de réponse en cas d’attaque.
L’utilisation des services VPN sur les réseaux Wi-Fi publics est une autre option si votre organisation ne dispose pas d’une solution SASE fiable. Un service SASE comprend tous vos services nécessaires pour maintenir une posture de sécurité exemplaire:
- Secure Service Edge (SSE)
- Réseau étendu et défini par logiciel (SD-WAN)
- Passerelle web sécurisée (SWG)
- Courtier en sécurité de l'accès au nuage (CASB)
- Pare-feu en tant que service (FWaaS)
- Principe du moindre privilège (Zero Trust Network Access)
Si ce n’est pas encore fait, considérez la migration de vos données et systèmes vers les technologies et services infonuagiques. L’un des principaux avantages du système cloud vs local est que les vulnérabilités de l’architecture sont plus difficilement exploitables.
Par exemple, les solutions d’hébergement infonuagique permettent la restauration d’anciennes versions de vos fichiers grâce à des sauvegardes automatiques. Cela signifie donc que si vos fichiers se font crypter par un cybercriminel, il vous sera possible de retrouver vos données non chiffrées dans le stockage du cloud.
2. Identifier un responsable de la sécurité des systèmes d'information (RSSI)
Identifier une personne responsable du pôle cybersécurité au sein de votre entreprise. Cette personne aura pour responsabilité de s’assurer que les outils de sécurité sont mis à jour régulièrement, prendra en charge les campagnes de sensibilisation auprès des différentes équipes et deviendra votre expert en cybersécurité.
Une autre option est de faire appel à un service de sécurité gérée pour assurer une surveillance en continu de vos systèmes d’information et détecter plus rapidement les intrusions.
4. Appliquer les correctifs et mises à jour
Votre antivirus et pare-feu vous notifient d’une mise à jour? N’attendez pas pour faire l’application de correctifs. Mettre à jour vos systèmes de sécurité régulièrement est une bonne pratique de cybersécurité à maintenir.
6. Réduire la surface d’attaque
Une grande majorité des attaques par ransomware débutent dans les:
- Courriels d’hameçonnage
- Vulnérabilités non corrigées
- Solutions d’accès à distance
- Logiciels malveillants mobiles
Avec de plus en plus de travailleurs à distance, télétravail et cybersécurité sont désormais des sujets liés. Il est donc crucial d’instaurer des pratiques de sécurité informatiques robustes qui sont aussi fortes sur site qu’à distance.
En matière de courriel de phishing, nous recommandons de modifier le paramètre de macro par défaut. Désactiver ainsi toutes les macros sans notification dans les applications Office qui supportent les macros. Les macros sont l’une des méthodes les plus utilisées par les hackers.
À moins que vous n’utilisiez systématiquement des macros dans le cadre de votre travail, recevoir des fichiers légitimes avec une macro est rare. Dans le cas contraire où c’est habituel pour votre organisation, nous recommandons de désactiver toutes les macros à l’exception des macros signées numériquement.
8. Quelques conseils de sécurité supplémentaires
- Éteindre les appareils qui ne sont pas en service
- Ne pas divulguer d’informations personnelles
- Ne jamais utiliser une clé USB inconnue
Pourquoi le nombre d’attaques informatiques par ransomware a-t-il augmenté?
Les organisations modernes font face à de nombreux défis depuis quelques années, certains renforcés par la pandémie. Avec l’univers du travail qui évolue de plus en plus vers des modèles flexibles (à distance et au bureau) vient également une surface d’attaque plus étendue.
Ceci crée des failles dans les cyberdéfenses que les cybercriminels exploitent pour propager les ransomwares.
Quelles sont les cyberattaques les plus courantes?
Les cyberattaques les plus courantes sont les attaques de type bloqueur ou chiffreur. Ces attaques visent soit le blocage de fonctions système importantes ou le chiffrement de dossiers et données. À la suite de quoi, les pirates informatiques demandent une rançon pour débloquer ou obtenir une clé de déchiffrage.
Comment fonctionne un ransomware?
1ère étape: infection, distribution et moyens de transmission. Téléchargement depuis un courriel d’hameçonnage, publicités malveillantes, autopropagation, visite de sites web infectés qui redirigent vers un site contenant une trousse d’exploitation, etc. Une trousse d’exploitation expose les faiblesses de vos appareils, puis le rançongiciel se télécharge furtivement au moyen d’un logiciel malveillant.
2e étape: chiffrement des données. Le chiffrement des données est intégré dans le système d’exploitation. Les cybercriminels n’ont donc qu’à accéder aux fichiers pour les crypter. Ils remplacent ensuite les fichiers originaux par des versions chiffrées. Certains groupes de ransomware suppriment aussi les copies de sauvegardes et copies fantômes pour rendre la récupération de données plus difficiles, sans la clé de décryptage.
3e étape: la demande de rançon. Une demande de rançon apparaît sur l’écran de l’ordinateur infecté ou lors du téléchargement d’un fichier texte. Cette note peut aussi être attachée à différents fichiers cryptés.
Comment savoir si on est vulnérable à une attaque par rançongiciel?
Ce ne sont pas toutes les attaques par ransomware qui sont ciblées. En effet, une organisation pourrait aussi être victime d’une attaque opportuniste. Ce type d’attaque ne vise pas une personne ou organisation spécifique, mais plutôt un groupe. Plus il y a d’organisations ou d’individus touchés, plus c’est fructueux.
Voici quelques éléments qui augmentent votre vulnérabilité aux attaques opportunistes et ciblées:
- Les ordinateurs utilisent des systèmes et technologies désuètes
- Des appareils dotés de logiciels obsolètes
- Les systèmes d’exploitation ou navigateur ne sont plus mis à jour
- Aucun mécanisme de sauvegarde mis en place dans l’organisation
- La cybersécurité est trop peu considérée et aucun plan concret n’a été déployé
Comment se débarrasser d’un ransomware sécuritairement?
- Quarantaine de l’appareil: Limiter la propagation du ransomware en éliminant l’accès à d’autres cibles
- Si on conseille d’éteindre les machines lorsqu’elles ne sont pas utilisées, ce n’est pas le cas pour les appareils infectés. Laisser les terminaux allumés, car le cryptage de fichier est un risque d’instabilité. La mise hors tension pourrait causer une perte de mémoire volatile. Laissez donc l’appareil allumé pour maximiser vos chances de restauration
- Faites une sauvegarde de vos données
- Vérifier si vous pouvez avoir accès à un décrypteur. Il existe certains décrypteurs gratuits — cependant, nous conseillons de laisser une équipe d’experts s’en charger pour éviter de télécharger un logiciel malveillant
- Si possible, restaurez votre appareil à une date antérieure grâce à une sauvegarde propre ou une installation du système d’exploitation. Cela assurera que les logiciels malveillants ne sont plus sur votre appareil
- La meilleure solution reste cependant d’aller chercher de l’aide auprès d’experts en cybersécurité
Comment Victrix aide les organisations à se protéger des ransomwares
Vous souhaitez améliorer votre posture de sécurité et éviter les embûches causées par les ransomwares? Victrix est un véritable expert en transformation digitale et cybersécurité.
Faites confiance à notre équipe pour mettre en place un système de sécurité des plus robustes pour votre organisation. Nos conseillers en stratégie de sécurité informatique sont en mesure de vous guider pour trouver les solutions de sécurité les plus adaptées.
Nous offrons aussi un service exclusif de sécurité géré, basé dans la coopération et le partage des connaissances. Plus qu’un simple service géré, nous sommes une extension de votre équipe TI.
Bénéficiez d’un service SOC externalisé puissant pour assurer une sécurité informatique de haut niveau à votre organisation. Découvrez SEvOC, le Centre Opérationnel de Sécurité Évolutif de Victrix.
SEvOC: une solution sur mesure pour contrer les menaces informatiques
Avec notre équipe SEvOC à vos côtés, votre organisation est bien équipée pour faire face à toutes les menaces. Nos experts vous fournissent une veille technologique constante et vous aident à améliorer et faire évoluer votre infrastructure de sécurité pour vous supporter dans tous vos changements organisationnels.
Avec SEvOC, vous bénéficiez:
- D’une équipe experte et dédiée à votre cybersécurité, disponible 24/7
- D’une amélioration constante de votre posture de sécurité
- D’offres modulaires adaptées à votre budget et vos besoins organisationnels
- Du partage des responsabilités et du poids de la gestion de votre sécurité informatique
- De la suppression des tâches à faible valeur ajoutée de vos équipes informatiques
- De l’intégration et d’une adoption plus rapide des nouvelles technologies
- D’un service vous permettant d'atteindre vos objectifs stratégiques de manière cybersécurisée
Chez Victrix, nous vous offrons une expérience client exceptionnelle basée dans le respect de vos activités.
Pour réduire vos vulnérabilités aux rançongiciels ou améliorer votre posture de sécurité, faites confiance à nos experts. Prenez rendez-vous dès aujourd’hui avec l’un de nos consultants en cybersécurité pour trouver une solution de sécurité parfaitement adaptée à vos besoins et votre situation technologique.
Si vous considérez l’externalisation du SOC dans votre entreprise, n’hésitez pas à contacter nos experts. Nous prendrons le temps de discuter avec vos équipes afin de définir la solution modulaire la mieux adaptée à vos besoins.