Se prémunir contre les attaques ransomwares
A l’heure où les attaques Cyber se multiplient ; et ou le débat fait rage pour savoir le nombre d’entreprises Françaises qui ont payé la rançon ; 1 entreprise sur 5 (19%) a été victime d’une attaque Ransomware (source Cesin). Les vecteurs d’attaque sont principalement le phishing (80%) et l’exploitation des failles (52%). Les impacts concernent avant tout le vol de données (30%) et le déni de service (29%). Le coût d’une attaque et de la reconstruction du SI est évaluée en moyenne à 8,6 millions d’euros, dans le cas de Saint-Gobain par exemple, c’est 80 millions d’euros. Se prémunir en anticipant, c’est aussi réduire drastiquement cette facture. La question n’étant plus Cela va-t-il vous arriver mais plutôt à quel moment cela va-t-il vous arriver, il est indispensable de s’y préparer.
Comment s'en prémunir ?
Prévenir
Un exercice de phishing permet de préparer les utilisateurs à adopter les bons réflexes. L’exercice peut être réalisé en amont ou en aval de la sensibilisation utilisateurs. En amont, il a le mérite de servir d’exemple pour les sessions de sensibilisation. En aval, il intervient plutôt en contrôle de la vérification que la session de sensibilisation a porté ses fruits.
Détécter
Les activités de détection s’organisent autour de l’acquisition d’une solution antivirale de dernière génération de type EDR (Endpoint Detection and Response) associée à une politique et procédure antivirale. Les bonnes pratiques de patch management doivent bien sûrs être conservées et les solutions déployées maintenues en conditions opérationnelles et à jour. L’Active Directory est un point clé en particulier pour lequel les comptes dormants doivent être identifiés et réduits/supprimés ainsi que les vulnérabilités patchées. La solution Alsid par exemple permet de s’en assurer.
Remédier
Malgré ces dispositifs, l’attaque Ransomware reste probable. Afin de remédier à l’attaque, il faut disposer d’une cartographie systèmes et réseaux à jour. Il faut aussi disposer de sauvegardes fiables et les avoir testés. Disposer d’une stratégie et d’une procédure de sauvegarde, tout comme l’avoir testé relève donc des bonnes pratiques incontournables. Remédier, c’est aussi se préparer à la crise. De nombreuses entreprises subissent encore les crises Cyber faute de préparation et d’anticipation. Pour ce faire, vous devez disposer d’un corpus documentaire composé d’une politique de gestion d’incident Cyber, d’escalade et de crise assortie d’une procédure et de fiches réflexes spécifiques aux scénarii. Dans notre cas présent, disposer d’une fiche réflexe selon le scénario Ransomware à mettre à disposition de la cellule de crise décisionnelle et opérationnelle. Celles-ci doivent bien évidemment être testées lors d’un exercice de crise à blanc.
Maintenir
Sans doute un peu moins prioritaire mais à considérer au fur et à mesure que l’entreprise a coché les exigences précédentes le plan de Continuité et de reprise d’activité (PCA-PRA) est à développer en commençant par l’interview du/des métier(s) afin de déterminer les exigences de continuité et de reprise au travers d’un BIA (Business Impact Analysis) qui vise à déterminer les RTO/RPO des applications.
Journaliser
Journaliser, c’est se donner la capacité de loguer l’attaque et de retrouver trace de l’attaquant à des fins de Forensic. Des solutions de gestion de logs et de surveillance de type SIEM assorties à une procédure de gestion de logs seront donc intégrées et développées.
Améliorer
Enfin, un pentest permettra de s’assurer que les dispositifs mis en œuvre répondent correctement au risque d’attaque et permettra d’identifier de nouvelles mesures de remédiation et d’amélioration.
Conclusion
À propos de l’auteur :
Sylvain L, responsable de la Practice Conseil SSI (20 professionnels) et certifié CISM, accompagne depuis plus de vingt ans les PME et les grands comptes du CAC40 à la protection de la sécurité de l’Information.
