Ransomware : qu’est-ce qu’un rançongiciel et comment se protéger

26 janvier 2024 7 min de lecture
Ransomware

De nos jours, les ransomwares constituent certainement le plus grand risque cyber auquel les entreprises sont confrontées, quelles que soit leurs tailles. En 2022, 73 % des entreprises ont subi une attaque par rançongiciel et le coût global devrait dépasser les 30 milliards de dollars d’ici fin 2023. Alors que les cybercriminels continuent d’affiner leurs techniques d’attaque, les organisations doivent se prémunir et renforcer leurs systèmes de sécurité.

Bannière Rapport sur l'état de la menace 2023-2024

Ransomware : de quoi parle-t-on ?

Un ransomware (ou rançongiciel) est un logiciel malveillant qui empêche un utilisateur d’accéder à son appareil ou à ses fichiers personnels, et qui réclame le paiement d’une rançon pour récupérer cet accès. Plusieurs actions peuvent conduire à l’infection d’une machine : ouverture d’une pièce-jointe, clic sur un lien malveillant reçu dans un mail, navigation sur un site compromis… Les cybercriminels exploitent différents canaux pour piéger les utilisateurs et les entreprises. Ces dernières sont souvent ciblées en raison du caractère critique de leurs données. Aussi, les hackers sont conscients que la perturbation des SI peut entrainer d’énormes pertes financières pour les sociétés. Leur motivation ? Réclamer le paiement d’une rançon en échange du rétablissement de l’accès aux fichiers verrouillés via une clé de déchiffrement. A l’origine, la somme était réclamée par courrier postal. De nos jours, les hackers demandent le plus souvent un paiement en cryptomonnaies ou par carte de crédit.

Industries, services publics, médias, établissements de santé… Peu importe le secteur d’activité, les appareils et les systèmes d’exploitation, toutes les entreprises peuvent être victimes de ransomwares. Une attaque se déroule en trois étapes :

  1. L’infection de l’appareil : une action principalement réalisée à l’insu des victimes, lors de l’ouverture d’une pièce-jointe ou un clic sur un lien malveillant ;
  2. Le chiffrement des fichiers qui conduit au blocage de l’appareil et le rend inutilisable ;
  3. La demande de rançon : la prise de contact s’effectue souvent par email ou par un fichier laissé sur l’ordinateur du DSI pour informer de l’attaque.

L’année précédente a été marquée par la mise en œuvre de la triple extorsion. En plus du chiffrement des données, d’autres actions sont menées pour accentuer la pression sur les entreprises. Il s’agit de l’extorsion des données (le fait de divulguer les données sensibles si la victime refuse de payer) et les attaques DDoS conduisant à l’indisponibilité des ressources. Selon les secteurs, les cybercriminels profitent des périodes de forte activité pour mener ce type d’attaques.

En marge des enjeux financiers et de productivité, les ransomwares ont aussi un impact négatif sur l’image des entreprises attaquées. Une attaque peut rapidement nuire à leur réputation, notamment lorsque les groupes d’attaquants communiquent sur leurs sites internet les noms des sociétés hackées.

En cas de compromission des données des consommateurs, un tel incident peut avoir des conséquences irréversibles. Selon la gravité de l’attaque et la façon dont elle est gérée, les clients peuvent se sentir vulnérables et se tourner vers un service concurrent.

Se protéger des ransomwares : bonnes pratiques

Les experts de la sécurité sont unanimes, la meilleure méthode pour se protéger d’une attaque ransomware est d’éviter qu’elle se produise. Dans le contexte d’une entreprise ou d’une collectivité, la sensibilisation aux bons gestes des collaborateurs est une première étape pour se prémunir des attaques. Voici une liste des actions préventives à garder à l’esprit au quotidien :

  • Effectuer les mises à jour de sécurité du système et des logiciels de manière systématique. Une attaque via ransomware exploite des vulnérabilités qui peuvent être corrigées grâce à des patchs. Si les mises à jour ne sont pas installées, les utilisateurs peuvent être vulnérables. Il est recommandé d’automatiser cette tâche pour rester protégé ;
  • Veiller à la bonne configuration des logiciels de sécurité sur son appareil. Afin de lutter contre les ransomwares, il est nécessaire d’investir dans une solution de cybersécurité capable de fournir une protection en temps réel contre les malwares, et de protéger les données et les machines vulnérables ;
  • Ne pas ouvrir les emails et leurs pièces jointes provenant d’expéditeurs inconnus, et ne pas installer d’application dont l’origine est douteuse.  Aujourd’hui, les attaques par email sont de plus en plus sophistiquées et crédibles, il faut donc redoubler de vigilance et sensibiliser les collaborateurs à cet égard pour maintenir une bonne sécurité cyber.
  • Éviter les sites non sécurisés qui peuvent injecter du code en cours de navigation ;
  • Effectuer des sauvegardes régulières des données pour pouvoir réinstaller le système si besoin. Il convient d’utiliser un espace de stockage cloud avec un haut niveau de chiffrement et une authentification à plusieurs facteurs ;
  • Utiliser des mots de passe complexes et veiller à les modifier régulièrement ;
  • Éteindre l’appareil lorsque celui-ci n’est pas utilisé.

Malgré le respect de ces bonnes pratiques, une attaque peut avoir lieu. Une fois infectés, les outils informatiques ne répondent plus, ou ne fonctionnent plus correctement. Souvent, l’attaque est accompagnée d’un message de rançon : « Vos données ont été chiffrées. Vous pourrez les récupérer contre le versement de telle somme en Bitcoin ».

Si une telle expérience peut être traumatisante, l’important est de suivre la bonne méthode de remédiation étape par étape : contenir l’attaque, se structurer, reconstruire son SI et pérenniser les outils mis en place.

Pour réagir au mieux face à un ransomware, lire aussi: Réagir à un ransomware en 5 étapes

Ransomware : les atouts d’un SOC pour mieux se protéger

Un SOC (Security Operations Center) est un processus mis en place pour protéger le SI (Système d’Information). Il est en constante évolution dans le sens où il est conçu pour s’adapter aux nouvelles menaces qui touchent les entreprises, et aux variations qui impactent leur système d’information au fil du temps : nouveaux collaborateurs, nouveaux matériels, nouveaux applicatifs, etc.

Le premier objectif d’un centre opérationnel de sécurité (SOC) est de protéger les éléments stratégiques, les points d’accès vulnérables et l’usage des données sensibles d’une entreprise 24 heures sur 24 et 7 jours sur 7.

Cette surveillance continue d’une organisation permet de détecter en amont les premiers signes qui indiquent qu’une attaque est en cours. Cela lui confère une longueur d’avance pour identifier et se défendre contre les intrusions avant que le ransomware ne soit déposé ou exécuté sur les machines..

S’appuyer sur un SOC offre l’avantage de disposer d’un processus complet, qui réunit plusieurs métiers, pour prévenir et détecter en permanence les failles et les vulnérabilités.  Cette approche permet de rester au fait des différentes menaces et de détecter les malwares qui peuvent peser sur l’environnement informatique. Aussi, les SOC confèrent l’expertise, les outils et la réactivité nécessaires pour une remédiation efficace. Par exemple, les EDR peuvent automatiquement alerter les équipes de surveillance, bloquer des processus ou exécutables sur des terminaux, et éventuellement bloquer la machine pour éviter qu’elle en contamine davantage

Envie d’en savoir plus ? Découvrez le service mySOC

Bannière offres mySOC