Comment réagir à un ransomware ?

En l’espace d’un an, le nombre de cyberattaques par ransomware (ou rançongiciel en français) a plus que doublé1 et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)2 semble dépassée. 

Les ransomwares (rançongiciels) désignent un type de cyberattaque consistant à déployer un logiciel malveillant qui bloque l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. Le but de cette pratique est d’extorquer de l’argent aux victimes en échange de la promesse de retrouver l’accès aux données compromises. 

Les particuliers ne sont pas les seules victimes de ces cyberattaques. Depuis 2018, de nouveaux groupes aux ressources financières et aux compétences techniques importantes s’adonnent au « Big Game Hunting » et ciblent de grandes entreprisesSelon l’ANSSI, ces groupes « présentent un niveau de sophistication parfois équivalent aux opérations d’espionnages informatiques opérées par des Etats »3. 

Au cours de ces attaques, des dizaines de millions de dollars ou d’euros peuvent être extorquées aux entreprises victimes. En France, le CHU de Rouen, Bouygues Construction ou encore M6 ont été victime d’un rançongiciel qui a entièrement chiffré leurs ordinateurs.  

François Deruty, sous-directeur des opérations de l’ANSSI, a déclaré : « En parallèle de l’attaque par rançongiciel, nous voyons de plus en plus de vols de données suivis d’un chantage à la publication sur le web de ces informations parfois sensibles ». L’ANSSI préconise aux entreprises d’investir dans de bons outils de protection.  

Les conséquences de ces cyberattaques sont de plus en plus dévastatrices sur la continuité d’activité voire la survie de l’organisation victime. A cette paralysie s’ajoute le risque que les secrets stratégiques de l’entreprises soient révélés publiquement.  

Le problème, qui a déjà entraîné la faillite d’entreprises, est pris au sérieux à tous les niveaux de l’Etat. Dans leur avant-propos, l’ANSSI et la Direction des Affaires Criminelles et des Grâces (DACG)4 annoncent que « le gouvernement mène une réflexion sur les mesures à même de réduire le risque que représentent les rançongiciels en vue de casser le modèle économique des attaquants et diminuer de manière drastique leur sentiment d’impunité. » 

L’ANSSI et la DACG ont publié, le 4 septembre, un premier guide5 pour sensibiliser les entreprises et les collectivités. Le guide propose des mesures préventives aux attaques de rançongiciels ainsi que des conseils pour réagir aux attaques et limiter les pertes. 

Les conseils de l’ANSSI pour réduire le risque d’attaque par rançongiciels :  

  • Sauvegarder les données ; 
  • Maintenir à jour les logiciels et systèmes ; 
  • Utiliser et maintenir à jour les logiciels antivirus ; 
  • Cloisonner le système d’information ; 
  • Limiter les droits des utilisateurs et autorisations des applications ; 
  • Maîtriser les accès Internet ; 
  • Mettre en œuvre une supervision des journaux ; 
  • Sensibiliser les collaborateurs ; 
  • Évaluer l’opportunité de souscrire à une assurance cyber ; 
  • Mettre en œuvre un plan de réponse aux cyberattaques ; 
  • Penser sa stratégie de communication de crise cyber. 

Les conseils de l’ANSSI pour bien réagir en cas d’attaque  

  • Adopter les bons réflexes ; 
  • Piloter la gestion de la crise cyber ; 
  • Trouver de l’assistance technique ; 
  • Communiquer au juste niveau ; 
  • Ne pas payer la rançon ; 
  • Déposer plainte ; 
  • Restaurer les systèmes depuis des sources saines. 

 

Article réalisé avec la collaboration de Noor ZAÏM