loader

Parmi les différents types d’attaques dont vos systèmes et serveurs informatiques peuvent être la proie, les rançongiciels sont l’un des pires. Il n’est donc pas surprenant que de nombreuses entreprises citent les attaques par ransomware comme la violation informatique (ou de cybersécurité) qu’elles craignent le plus.

Comme d’habitude, la prévention est la meilleure méthode de défense. Voici quelques conseils généraux que vous pouvez suivre pour éviter que cela ne vous arrive et pour savoir quoi faire si vous en êtes victime.

Qu’est-ce qu’un ransomware ?

Un ransomware est une forme de logiciel malveillant qui utilise le cryptage. Il utilise une paire de clés pour crypter et décrypter un fichier. Les clés sont générées de manière unique par l’attaquant pour la victime, la clé privée permettant de décrypter les fichiers étant stockée sur le serveur de l’attaquant.

L’attaquant ne met la clé privée à la disposition de la victime qu’après le paiement d’une rançon, bien que, comme on l’a vu dans certaines attaques récentes, ce ne soit pas toujours le cas. Sans accès à la clé, il est pratiquement impossible de déchiffrer les fichiers qui font l’objet d’une demande de rançon.
Préparez-vous

La préparation à une attaque par ransomware peut être essentielle pour prévenir de tels événements et minimiser les dommages si/quand une attaque réussit.

La formation du personnel sur le fonctionnement des ransomwares et sur la meilleure façon de les éviter est une première étape essentielle. Il est également judicieux d’utiliser ces connaissances pour formuler un plan d’action en cas d’attaque par ransomware, en indiquant notamment la procédure à suivre et les personnes à contacter. Par exemple, vous pouvez informer certains ou tous vos clients s’ils sont susceptibles d’être affectés.

La mise en œuvre de certains systèmes de sécurité et de filtrage de base, tels que le filtrage du courrier et les pare-feu, est l’un des meilleurs moyens de garantir la protection de vos données, en particulier si vos serveurs ou services sont ouverts au public. Il existe des mesures plus avancées que vous pouvez prendre (par exemple, fermer certains « ports » sur votre serveur), mais les mesures de base sont un bon début. Presque toutes les infections par ransomware commencent par l’ouverture involontaire d’un document ou d’un lien provenant d’une source inconnue. Assurez-vous donc que votre politique informatique contient des conseils sur cet aspect – par exemple, n’ouvrez pas et ne cliquez pas sur des liens suspects !

La création régulière de plusieurs sauvegardes de toutes vos données est une nécessité absolue à notre époque et vous donne une chance de récupération si le pire devait arriver. Il est essentiel de stocker ces sauvegardes à plusieurs endroits pour les protéger, car les attaquants essaient généralement d' »infecter » toutes les sauvegardes qu’ils trouvent.

Si vous stockez des sauvegardes sur des périphériques externes tels que des disques durs externes ou USB, veillez à ne jamais les laisser connectés en permanence à votre réseau, car les attaquants pourraient ainsi « infecter » ces périphériques et chiffrer les données qui y sont stockées.

Avant de stocker vos sauvegardes sur un dispositif quelconque, vous devez effectuer une analyse pour vous assurer que le dispositif est propre et sûr à utiliser.

Agissez rapidement !

Si vous découvrez que votre réseau a été compromis par un ransomware (ou tout autre logiciel malveillant), il est important d’agir immédiatement pour limiter les dommages potentiels.

La rapidité est essentielle, et la mise en place de voies de communication est le meilleur moyen d’informer tous ceux qui doivent savoir ce qui se passe et ce qu’ils doivent faire.

Votre équipe informatique (si vous en avez une) doit travailler à partir d’un « manuel de ransomware », en exécutant des étapes prédéfinies. Cela variera d’une organisation à l’autre mais, au minimum, le manuel doit couvrir les étapes suivantes :

Séparation de toutes les connexions avec les appareils infectés de toutes les connexions réseau dès qu’ils sont localisés.

Il a été démontré que la détermination de la source de l’infection (parfois appelée « patient zéro ») et le verrouillage de cette zone empêchent toute nouvelle infection des fichiers. Cela peut généralement être déterminé en regardant les fichiers ouverts sur les partages cryptés. Si vous voyez un utilisateur avec des centaines de fichiers ouverts, il est probablement la source de l’infection.

Il est bon de demander à tous les utilisateurs de votre système s’ils ont récemment cliqué sur des liens ou des sites Web susceptibles de contenir le logiciel malveillant, car si la source a été trouvée, le signalement aux autorités concernées peut aider à lutter contre ce crime et à empêcher que d’autres entreprises en soient victimes.

Vérifiez que tous les appareils sont exempts de logiciels malveillants avant de vous reconnecter. Une fois la reconnexion effectuée, vous pouvez commencer à restaurer votre réseau.

Une fois que tous les appareils ont été nettoyés et que tous les signes d’infection ont disparu, vous pouvez commencer le processus de restauration.

Les appareils infectés doivent être nettoyés à l’aide des outils appropriés avant d’être reconnectés au réseau.

Il est également recommandé de réinitialiser tous les mots de passe et les détails des comptes, car l’un d’entre eux peut avoir été compromis.

Veillez à ce que tout logiciel antivirus soit à jour et fonctionne pour détecter tout logiciel malveillant qui aurait pu être omis.

Si vous recevez une demande de l’attaquant, il est recommandé d’y accéder en dernier recours, car il n’y a aucune garantie que l’accès vous sera rendu et vous serez une cible pour de futures attaques.

Nous espérons que les informations ci-dessus vous seront utiles et que vous n’aurez pas à les utiliser (hormis les aspects liés à la préparation). Chez infogeti, la sécurité est l’une de nos principales priorités, c’est pourquoi nous fournissons un support technique 24/7 ainsi que des solutions de sauvegarde des données.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.