Attaques de ransomware : comment protéger son entreprise

0
214

Une étude récente d’IDC révèle que plus d’un tiers des organisations dans le monde ont subi une attaque ou une violation par ransomware au cours des 12 derniers mois, bloquant ainsi l’accès à leurs systèmes ou données. En effet, les campagnes malveillantes se sont accélérées depuis le début de la pandémie ; du fait d’une digitalisation rapide des activités qui a engendré des vulnérabilités et d’une criticité accrue des services dans certains secteurs – notamment la santé – qui incite les organisations à payer promptement les demandes de rançons afin de maintenir leurs activités.

Tribune – Pour se défendre contre ces compromissions de plus en plus nombreuses et sophistiquées, Laurent Nezot, Sales Director France chez Yubico, recommande une approche en plusieurs volets :

« Tout d’abord, les équipes IT doivent régulièrement cartographier les données critiques qu’elles possèdent avec l’aide de tous les responsables de l’entreprise. Il est aussi important d’évaluer les systèmes qui détiennent, exploitent et transmettent ces informations, pour s’assurer de leur efficacité. Plus largement, la sécurité de tous les logiciels est à tester, même si ces derniers ne traitent pas directement des données critiques, car ils peuvent être une porte d’entrée pour les cybercriminels. En outre, les attaques visant la supply chain se multiplient, car les organisations négligent souvent les systèmes qui contrôlent l’accès, ou gèrent, d’autres systèmes. Or, ces points de contrôle centralisés, qu’ils soient sur site, dans le cloud ou exploités par des tiers, exigent un niveau de sécurité très élevé.

De plus, il est primordial de s’assurer qu’une entreprise dispose de sauvegardes fiables, pour pouvoir facilement restaurer les systèmes IT essentiels en cas de compromission. En parallèle, il ne suffit pas qu’une organisation enregistre ou copie ses données, elle doit aussi tester les restaurations, et comprendre le modèle de permission de son système, pour s’assurer notamment que les sauvegardes ne puissent pas être supprimées facilement.

Pour se protéger d’une compromission significative, isoler des systèmes critiques est aussi une priorité. Selon les principes Zero Trust, les entreprises doivent ainsi vérifier la légitimité de tous les individus ou éléments, à chaque demande d’accès au réseau et aux données. Cette stratégie est à déployer en priorité aux systèmes critiques, et doit se joindre d’une gestion des vulnérabilités et d’une politique de mise à jour. Il est également important que l’organisation se concentre non seulement sur la surveillance de l’accès à un logiciel, mais aussi sur l’accès à partir de celui-ci ; car plus il est facile d’en extraire des données sans être détecté, plus la probabilité d’impact des campagnes de ransomware est grande.

Une stratégie Zero Trust exclut donc de facto toutes les formes d’identification numériques vulnérables à l’hameçonnage, à l’origine des nombreuses attaques de ransomware : les mots de passe faibles ou réutilisés, les solutions multifactorielles basées sur les SMS, les mots de passe à usage unique (OTP) ou encore les applications de type “push”. Des clés de sécurité sont alors à déployer pour faciliter l’utilisation de protocoles modernes résistants aux phishing, tels que TLS mutuelle et WebAuthn/FIDO. Pour auditer ses outils de sécurité et évaluer leur niveau de protection, une organisation peut faire appel à des experts externes pour les tester et réaliser des exercices collaboratifs : supposer qu’une faille existe, déterminer une brèche et la corriger.

En outre, il est impératif de conserver uniquement les données nécessaires à l’activité de l’entreprise. Celles qui ne sont pas activement utilisées hors ligne peuvent être sauvegardées, ou alors détruites entièrement. En effet, si ces informations ne sont pas disponibles, elles ne peuvent pas être volées, modifiées ou utilisées contre l’organisation ou ses clients.

Enfin, lorsqu’une attaque de ransomware est identifiée, une entreprise ne doit en aucun cas régler la rançon demandée. Il est en effet peu probable que cela permette de récupérer l’intégralité des données ou des accès, et ne fait qu’alimenter de futures campagnes puisqu’elles apparaissent alors rentables aux yeux des cybercriminels. Dans certains cas, le règlement pourrait de plus être illégal, car l’entité recevant le paiement pourrait être sanctionnée.

À mesure que les violations par ransomware se développent, il devient primordial pour les entreprises d’évaluer et d’adapter leurs systèmes de sécurité aux menaces actuelles. Le déploiement d’une approche protégeant les logiciels et informations critiques est ainsi essentiel pour se défendre efficacement contre les cyberattaques de ransomware. »