Sécurité informatique des entreprises – Alerte en région Rhône-Alpes

ransomware

Face à la recrudescence des attaques au ransomware, la région Rhône-Alpes alerte les entreprises locales. Ces piratages touchent désormais davantage les sociétés et les institutions territoriales que les particuliers et mettent sérieusement en péril l’avenir de leurs victimes.
Cet article vous donne la marche à suivre en cas d’attaque et vous indique les mesures préventives à adopter pour limiter les risques et se préparer au mieux à faire face.

Ransongiciel, une menace réelle pour les entreprises

Un logiciel rançonneur, également appelé rançongiciel ou ransomware est un programme malveillant qui, une fois installé sur une machine, empêche son propriétaire d’accéder à ses fichiers. Généralement, ces virus chiffrent les données qui deviennent alors illisibles sans la clé de déchiffrement fournie contre rançon.
Des programmes de ce type existent depuis des années et ont longtemps ciblé en priorité les particuliers, souvent très vulnérables aux attaques. Ce n’est plus le cas : l’ANSII (Autorité Nationale de la Sécurité des Système d’Information) indique dans un rapport sorti le 5 février 2020, que les attaques contre des institutions et des entreprises du monde entier sont désormais plus nombreuses que celles à l’encontre des particuliers.
Lorsque le virus s’introduit dans le réseau d’une entreprise, il ne se cantonne pas à une seule machine. L’ensemble du système peut être concerné. Et pour la société victime, entre le montant de la rançon (si elle fait le choix de payer), une potentielle perte des données, le temps d’indisponibilité de son système d’information et le risque d’une baisse de confiance de ses clients, la note se révèle salée. En France, on se souvient notamment d’une cyber-attaque contre la société Altran en janvier 2019, dont le coût pour le groupe d’ingénierie a été estimé à 20 millions d’euros.

Attaques de ransomware sur serveur, alerte en région Rhône-Alpes

Dans un article paru récemment, la CCI Lyon Métropole attire notre attention sur les nombreuses attaques qui ont frappé dernièrement les entreprises et institutions territoriales de la région Rhône-Alpes, relayant ainsi une alerte de la Sécurité Économique Territoriale Rhône-Alpes.

Habituellement, les rançongiciels profitent d’une simple vulnérabilité sur un poste de l’entreprise. L’ouverture par un collaborateur d’un e-mail contenant un virus ou la présence d’un système d’exploitation non mis à jour régulièrement et ne bénéficiant donc pas des derniers correctifs de sécurité constituent les principales portes d’entrée pour les pirates. Les dernières attaques en Rhône-Alpes ont quant à elles la particularité d’avoir été menées directement sur les serveurs des organisations visées. Les pirates ont pu y accéder en trouvant un port ouvert et en s’appuyant sur une faille de sécurité d’un logiciel de supervision couramment utilisé sur ce type de machines.
Cette actualité nous montre qu’il n’est plus suffisant pour une entreprise d’éduquer ses utilisateurs. Un niveau de sécurité accrue au niveau des serveurs est nécessaire. De plus, ce type d’attaques étant difficilement évitable, il est indispensable d’être en capacité de réagir lorsqu’on en est victime.

Victime d’un ransomware, faut-il payer ?

Les entreprises sont de plus en plus nombreuses à contracter une assurance pour couvrir les dégâts que pourraient causer un logiciel rançonneur. Le montant de la rançon étant souvent moins important que le coût d’une restauration des données, les assureurs conseillent généralement à leurs clients de payer et prennent tout ou partie de la somme à leur charge.
Est-ce une bonne stratégie pour les victimes ? A cette question, l’ANSSI répond par la négative pour plusieurs raisons :

  1. Payer contribue à pérenniser le modèle économique des pirates rançonneurs
  2. Régler la rançon ne permet pas toujours de récupérer ses données. Certains pirates ne jouent pas le jeu et encaissent l’argent sans envoyer la clé de déchiffrement
  3. Après règlement, l’entreprise redevient immédiatement une cible potentielle pour les mêmes pirates ou pour d’autres
  4. Les pirates ne se contentent pas de chiffrer les données. Ils peuvent également les récupérer et les divulguer auprès des plus offrant que la rançon soit payée ou non

Ainsi, pour une entreprise qui dispose de sauvegardes fiables et qui est en mesure de mettre rapidement en œuvre un plan de reprise d’activité, il est conseillé de ne pas céder au chantage. Dans le cas des sociétés qui sont dans l’incapacité de se passer de la clé de déchiffrement, les experts recommandent le dialogue avec les pirates afin de s’assurer de leurs intentions avant tout règlement. Les cyber-assurances incluent d’ailleurs parfois un service de négociation avec les attaquants.

Attaque de rançongiciel, le plan de survie

En cas d’attaque par un logiciel rançonneur, il est indispensable de réagir de façon rapide et précise.
Les directives de la Sécurité Intérieure décrivent la marche à suivre pour limiter les dégâts.

  1. Ne pas éteindre la/les machines concernées et les déconnecter immédiatement du réseau pour stopper la contamination
  2. Prendre les écrans en photo et consigner toutes les actions effectuées
  3. Contacter son service informatique ou un expert
  4. Changer les mots de passe de toutes les machines de l’entreprise et fermer tous les ports des serveurs
  5. Prévenir l’ensemble de ses utilisateurs de l’attaque
  6. Vérifier tous les postes du réseau pour s’assurer qu’ils n’ont pas été contaminés
  7. Désinfecter les postes et restaurer les données en partant d’une sauvegarde
  8. Prévenir son assureur (pour les souscripteurs d’un contrat « risques cyber »)

Protéger son entreprise, les mesures préventives à adopter

Des solutions pour se prémunir des ransomwares existent et permettent d’ailleurs de se protéger des piratages informatiques en général. Voici les bonnes pratiques à suivre :

  1. Mettre à jour régulièrement ses systèmes d’exploitation et ses applications
  2. Installer des solutions de sécurité sur les postes et les serveurs de l’entreprise. Il existe notamment des anti-virus capables de détecter les chiffrements en masse.
  3. Utiliser des mots de passe forts et les changer plusieurs fois par an
  4. Utiliser des comptes « Utilisateur » plutôt qu’un compte « Administrateur » pour naviguer sur Internet
  5. Ne pas ouvrir les pièces jointes, ni cliquer sur les liens dans les e-mails dont l’expéditeur est inconnu
  6. Sensibiliser l’ensemble du personnel de l’entreprise aux problématiques de sécurité informatique

Mieux vaut également être préparé à affronter une attaque et surtout à pouvoir s’en relever opérationnellement et économiquement. Suivre les recommandations ci-dessous permet de disposer de bouées de sauvetage pour sortir la tête de l’eau en cas de danger.

  1. Effectuer des sauvegardes quotidiennes de ses données sur des supports isolés du réseau (dans l’idéal, des sauvegardes externalisées)
  2. Pratiquer régulièrement des tests de restauration pour s’assurer de la fiabilité des sauvegardes
  3. Prévoir un plan de reprise d’activité
  4. Contacter une assurance pour souscrire une assurance « Risques Cyber » afin de se faire indemniser en cas d’attaque

Dirigeant·e d’une PME / TPE de la région Rhône-Alpes, vous êtes inquiet·e à l’idée de voir le fruit de votre travail réduit à néant par une attaque ?
Kromatic peut vous aider. Nous réalisons un audit de votre système et de vos pratiques. Sur cette base, nous construisons avec vous un plan d’actions (sécurisation de votre système, définition d’un protocole de sauvegarde de vos données, établissement d’un plan de reprise d’activité…) et vous aidons à le mettre en œuvre.

Je veux en savoir plus

Image par Katie White de Pixabay

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *