Imaginez la situation suivante : Un employé de votre entreprise se connecte tôt pour prendre de l’avance sur les rapports financiers de fin de mois. Il accède au stockage de fichiers de l’entreprise pour consulter les factures du mois précédent, quand soudain une fenêtre contextuelle d’aspect démodé, écrite en caractères sinistres, lui annonce la nouvelle : « vos fichiers sont tous cryptés et verrouillés par une nouvelle souche de ransomware » !
Avant que la gravité ne se fasse sentir, ils reçoivent un message sur Slack de la part d’un collègue. Il a reçu le même message popup inquiétant. Toute l’entreprise a été victime d’une attaque de ransomware.
Aujourd’hui, il s’agit d’un phénomène bien trop courant, puisque 47 % des organisations ont été confrontées à des ransomwares au cours de l’année écoulée. Les ransomwares sont généralement introduits par le biais de tactiques d’ingénierie sociale telles que les escroqueries par hameçonnage, qui incitent les employés à télécharger des logiciels malveillants. Si nous comprenons généralement ce qu’est un ransomware et comment il s’introduit, il est essentiel que tous les membres d’une organisation comprennent le processus de récupération typique après une attaque par ransomware.
Étape n° 1 : Confinement
Une fois le ransomware détecté, vous devez vous assurer qu’il ne se propage pas davantage. Pour ce faire, vous devez essentiellement éteindre votre réseau et mettre fin à toute connexion VPN. Vous devez également déconnecter tous les périphériques de stockage externes, tels que les lecteurs de sauvegarde.
Une stratégie d’endiguement des ransomwares souvent négligée consiste à désactiver toutes les tâches de maintenance automatisées, telles que la conservation des anciens fichiers, le vidage des bacs de recyclage, l’archivage des courriels ou l’application de correctifs au système.
Le travail sera certainement interrompu, mais plus vite vous arrêterez les choses et empêcherez le problème de se propager, plus vite vous pourrez tout réparer et reprendre vos activités.
Étape 2 : Enregistrement et rapport
N’oubliez pas que le ransomware est un acte criminel. En fonction de votre activité et de vos obligations réglementaires, vous pouvez être tenu par la loi de signaler l’incident aux autorités. La meilleure pratique consiste à tenir un journal des actions détaillées entreprises par votre équipe informatique, pendant et après l’attaque du ransomware, à prendre des photos du message du ransomware et à tenir un inventaire de l’impact avec les détails de tous les systèmes touchés. Vous pouvez toujours commencer par contacter la police locale, mais là encore, en fonction de votre secteur d’activité, vous devrez peut-être contacter les autorités fédérales.
Étape n° 3 : Plus de confinement
Si vous êtes victime d’un ransomware, il est fort probable que ce ne soit pas le seul problème. Les criminels lancent souvent une attaque par ransomware dans le cadre d’une attaque sur plusieurs fronts qui commence par un accès non autorisé à vos systèmes. Pour éviter des dommages supplémentaires, changez tous les mots de passe administrateurs (et nous disons bien tous) et désactivez tous les comptes VPN ayant un accès au réseau.
Étape n° 4 : L’heure de la décision… payer ou ne pas payer
Vient alors la décision difficile et stimulante… devez-vous payer la rançon ? La sagesse populaire dit que non. Les personnes qui ont commis cet acte malveillant ne méritent certainement aucune récompense. Cependant, votre entreprise est en train de saigner. Selon l’impact de l’attaque, vous risquez de perdre des milliers, voire des millions de dollars. De plus, l’impact sur votre réputation ne peut être négligé. Il est difficile de résister à l’envie de payer et de continuer à vivre.
Avant de succomber à la tentation, prenez en compte quelques facteurs. Tout d’abord, le paiement de la rançon ne garantit pas un accès immédiat à vos fichiers verrouillés. Après le paiement, les cybercriminels vous fourniront une clé de décryptage. Le décryptage des fichiers verrouillés d’un ransomware est un processus notoirement lent. Dans le cas de Colonial Pipeline, par exemple, la société a payé la rançon avant de découvrir que le décryptage des fichiers était tellement lent qu’il était plus judicieux de s’appuyer sur ses plans de continuité des activités et de reprise après sinistre.
Deuxièmement, lorsque vous payez une cyber-rançon, vous placez instantanément un œil de bœuf géant sur votre organisation qui dit » Encryptez-moi, je paie ». Dans une étude récente menée par Barracuda Networks, 38 % des personnes interrogées ont déclaré avoir été victimes à plusieurs reprises d’une attaque par ransomware. Payer une rançon est un moyen infaillible d’être une nouvelle cible pour les gangs de ransomwares.
Étape 5 Restaurer les fichiers à partir de la sauvegarde
Si vous décidez de ne pas payer, il est temps de séparer et d’archiver les fichiers touchés et de les restaurer à partir d’une sauvegarde. Cette opération est couronnée de succès, à condition que vos sauvegardes n’aient pas été touchées lors de l’attaque initiale, car les cybercriminels tentent souvent de les désactiver.
Si vos sauvegardes fonctionnent avec une copie récente et intacte, c’est votre meilleure chance de reprendre les opérations. Attention, vérifiez d’abord soigneusement vos sauvegardes, car il est possible que vos copies récentes, voire toutes, soient également cryptées.
Étape 6 : Prévention de l’avenir
Après avoir subi une attaque de ransomware et réussi à récupérer vos systèmes et vos données, il est essentiel de donner la priorité aux mesures de prévention futures. Prenez des mesures proactives pour renforcer ou mettre en œuvre les éléments suivants dans votre organisation :
- Test de simulation d’hameçonnage
- Analyse du Dark Web
- Surveillance des informations et des événements de sécurité (SIEM)
- Détection et réponse des points finaux (EDR)
- Solutions antivirus avancées
- Détection des menaces
- Sauvegardes sécurisées, basées sur l’informatique en nuage
- Solutions d’archivage avancées
* Contenu détaillé disponible uniquement en anglais.