Ransomware : les dangers et les conseils pour s’en protéger

Au cours de l’année 2020, au moins 20% des entreprises françaises ont été victimes d’un ransomware. Outre le paiement de la rançon (si l’entreprise s’exécute), il faut également faire face aux coûts qu’implique un rançongiciel. Arrêt et reprise de l’activité ; temps consacré à l’identification de la faille ; perte de confiance des clients : autant de conséquences directes d’une telle attaque.

Découvrez dans cet article ce qu’est le ransomware, quels dangers il présente pour l’entreprise et comment s’en protéger.

Qu’est-ce qu’un ransomware ou rançongiciel ?

Le ransomware est un logiciel malveillant qui bloque des fonctionnalités matérielles ou vole des données et exige une rançon pour les récupérer. Un programme de chiffrement est mis en place par les pirates et parvenir à le décrypter est une quasi-impossibilité. Afin de préserver leur anonymat, les pirates demandent un paiement en cryptomonnaie. En majorité, il s’agit des bitcoins, mais on retrouve d’autres monnaies virtuelles, comme le Monero dans le cas de l’attaque ransomware contre Acer.

Les premières attaques de rançongiciels remontent à 2015, et ils connaissent une croissance exponentielle à partir de 2011. En 2017, le ransomware WannaCry saisit le monde entier, contaminant des milliers d’entreprises dans plus de 150 pays.

Le ransomware est un type de malware, c’est-à-dire un programme malveillant. D’autres menaces existent :

  • Virus
  • Scareware (faux logiciel de sécurité)
  • Spyware (logiciel espion)
  • Cheval de Troie

Bien que ces malwares soient autant de dangers pour l’entreprise, le ransomware demeure l’un des plus pernicieux. Il implique un risque financier massif et, une fois lancé, est presque impossible à déchiffrer.

Quels sont les différents types de ransomware ?

Le principe même du ransomware est de demander une rançon, mais l’objet de cette rançon diffère selon le programme malveillant utilisé. On en retrouve deux types :

  • Ransomware Locker : l’ordinateur en tant que matériel est affecté et certaines fonctionnalités sont impactées (clavier, souri, etc.)
  • Ransomware Crypto : le logiciel procède au chiffrement de fichiers individuels.

Ces deux catégories sont générales et elles se divisent elles-mêmes en plusieurs sous-catégories.

 

reponse_cyberattaque

Besoin de conseils pour sécuriser votre entreprise ?

Quels sont les dangers d’une attaque par ransomware pour l’entreprise ?

Les conséquences immédiates

Le premier danger est la perturbation, voire l’arrêt de l’activité. Effectivement, le ransomware opère un premier chiffrement sur un poste de travail, puis se déplace latéralement. Bientôt, ce sont tous les ordinateurs connectés en réseau qui sont impactés par le chiffrement. Effectivement, dans le cas d’un ransomware locker, les fonctionnalités des ordinateurs sont inaccessibles.

Vient ensuite le principe même du ransomware : le paiement de la rançon. Les sommes demandées peuvent être astronomiques, avec une médiane à 175 000 euros pour la France. En termes de montants des rançons, la France occupe ainsi la deuxième place, juste derrière les Etats-Unis.

Les conséquences à court- et moyen-terme

Outre le paiement de la rançon (si l’entreprise s’y résout), le coût d’une attaque ransomware est vertigineux pour l’entreprise. C’est par exemple le cas de JBS, le plus gros producteur de viande au monde, ayant subi une attaque ransomware en juin 2021. Avec plus de 400 usines de production sur les cinq continents, l’impact sur l’activité est massif. JBS s’est donc résolu à payer la rançon demandée de 11 millions de dollars et à assumer les pertes financières liées à l’arrêt de l’activité.

De plus, les attaques de ransomware contre les entreprises font souvent l’objet d’une médiatisation importante. C’était le cas de Garmin en juillet 2020, qui fut contraint de couper l’accès à l’ensemble de ses services après une attaque ransomware réussie. La décision de Garmin de payer 10 000 millions de dollars fut également rendue publique. La réputation de l’entreprise est dès lors ternie.

A l’échelle individuelle, dérober des données signifie que l’entreprise doit informer les clients concernés. Là encore, la réputation est entachée, ce qui peut impacter négativement les contrats présents et futurs.

Double peine : l’entreprise victime face à la loi ?

Le Règlement (UE) 2016/679 (dit Règlement général sur la protection des données, RGPD) impose entre autres aux entreprises concernées de signaler toute cyberattaque aux autorités compétentes, soit l’ANSSI en France. En retour, celle-ci peut être amenée à enquêter sur les protocoles et processus de sécurité de l’entreprise attaquée. Si celle-ci présente des défaillances majeures, elle peut alors être confrontée à des pénalités financières, administratives et légales.

ransomware_effets

Quelles mesures pour se protéger d’un ransomware ?

Le GIP ACYMA – groupement d’intérêt public luttant « Contre la Cybermalveillance » – prodigue plusieurs conseils pour se prémunir d’un ransomware. Il s’agit surtout d’indications de bon sens, comme l’utilisation de mots de passe complexes et changés régulièrement.

Plan d’entreprise pour lutter contre les ransomware

Cependant, il est nécessaire d’établir une véritable stratégie pour se protéger des ransomware en entreprise.

Celle-ci tient en 6 points :

  1. Prévenir : réaliser des simulations de phishing pour identifier les failles de sécurité et les pratiques vulnérables des utilisateurs afin de les sensibiliser
  2. Détecter : l’entreprise doit s’équiper d’une solution antivirale EDR (Endpoint Detection and Response), d’un SOC (Security Operation Center) et établir un process antiviral contre les menaces informatiques
  3. Remédier : il faut anticiper les différents risques d’attaques ransomware grâce à une cartographie des risques. Réaliser des sauvegardes fiables et régulières permet de limiter l’impact d’une telle attaque
  4. Maintenir : il faut mettre en place les conditions de continuité et de reprise de l’activité
  5. Journaliser : un log à jour permet d’identifier précisément l’attaque
  6. Améliorer : grâce à des opérations de hacking éthique (« penetration test »), l’entreprise éprouve ses logiciels, protocoles et processus de cybersécurité

L’erreur humaine et l’importance de la formation

Malgré l’importance de programmes informatiques de sécurité, l’erreur humaine est au cœur de la quasi-totalité des entreprises ayant subi des attaques. C’est ce qu’a découvert IBM dans son enquête 2021 auprès de ses clients : l’erreur humaine était une raison majeure pour 95% des cas de cyberattaques. Cela s’explique par le fonctionnement même des malware, qui nécessitent une action de l’utilisateur pour pouvoir infecter l’ordinateur et le réseau. Il s’agit, par exemple, d’ouvrir une pièce jointe ou de cliquer sur un lien douteux.

La formation à la cybersécurité pour les collaborateurs de l’entreprise est donc essentielle. Bien qu’elle doive concerner l’ensemble des employés, une réflexion doit aussi être menée en amont pour identifier les services avec des vulnérabilités / à risque.

Comment réagir en cas d’attaque ransomware réussie ?

Les possibilités demeurent limitées. Le chiffrement du ransomware rend le décryptage aléatoire et il est donc presque impossible de le briser. Vous pouvez être tenté de payer la rançon, mais attention : rien ne vous assure de récupérer les fonctionnalités bloquées de l’ordinateur (ransomware Locker) ou les données individuelles volées (ransomware Crypto). D’ailleurs, 92% des entreprises ayant payé n’ont jamais récupéré leurs données !

Voici cependant quelques réflexes à adopter dès lors que l’entreprise est victime d’une attaque ransomware : 

  •       Alerter le service ou prestataire informatique ;
  •       Identifier l’origine de l’infection (qui était la cible) et déconnecter le matériel touché et/ou isoler le réseau
  •       Conserver toutes les preuves en externe (comme les logs) ;
  •       Déposer plainte ;
  •       Informer la CNIL ;
  •       Faites appel à des professionnels de la cybersécurité, comme Synetis

Y’a-t-il des solutions techniques au ransomware ?

Malgré son caractère vicieux, le rançongiciel n’est pas forcément infaillible. La restauration des documents est possible si l’entreprise dispose d’un système de sauvegardes régulières. Il suffit alors de charger une sauvegarde antérieure au chiffrement.

Cela n’est cependant pas toujours possible, et il faut alors recourir à des solutions de déchiffrement, comme Crypto Sheriff et Emsisoft (pour le ransomware Ragnarok).