Aller au contenu

Les ransomwares menacent votre entreprise

Les ransomwares menacent votre entreprise

Devez-vous craindre les ransomwares pour votre entreprise ?

Les ransomwares (rançongiciels) sont de plus en plus courants dans les entreprises. Ils sont communément appelés CryptoLocker, CryptoWall, ou encore CryptoDefense. Les organisations cybercriminelles redoublent de détermination et d’ingéniosité pour améliorer jour après jour l’efficacité de leurs attaques, causant ainsi des millions en dommages aux entreprises partout dans le monde.

Pourquoi ce phénomène est-il de plus en plus fréquent? Parce que ces prétendues organisations cybercriminelles génèrent des millions de dollars chaque jour grâce à ces techniques de piratage. Plusieurs rapports et études révèlent que de nombreuses organisations et mafias délaissent le marché de la drogue et des substances illicites pour se tourner vers la cyber criminalité, (majoritairement vers les ransomwares), parce qu’elle génère beaucoup d’argent, et leur permet de courir beaucoup moins de risques.

 

Mais qu’est-ce qu’un ransomware?

Un ransomware est un logiciel malveillant qui chiffre les données d’un ordinateur, dans le but d’extorquer de l’argent à son utilisateur avant de lui en rendre l’accès.

Une fois qu’un poste ou un serveur est infecté, celui-ci se connecte à un serveur de contrôle dans le nuage informatique, afin de recevoir une clé de chiffrement qui servira à chiffrer les données qu’il trouvera sur son passage.

C’est ainsi que le travail commence, le virus tourne en boucle pour trouver des fichiers sur l’ordinateur infecté ou ailleurs sur le réseau, y compris les serveurs. Le tout se faisant en arrière-plan, il est très difficile de voir qu’un ransomware est actif sur un poste. Une fois le travail frauduleux terminé, le ransomware remplacera le fond d’écran du poste infecté par un message avisant clairement l’utilisateur que celui-ci a 72 heures pour payer la rançon afin de pouvoir accéder à nouveau à ses données.

Les fichiers demeureront sur les disques et les serveurs, mais aucun ne sera accessible ou fonctionnel, car ils seront tous chiffrés à un niveau très élevé de sécurité. Plusieurs décennies seraient nécessaires pour déchiffrer les fichiers, même avec le plus puissant des ordinateurs disponibles sur la planète.

 

 

Quelles sont les possibilités pour récupérer mes données?

Seulement deux possibilités s’offrent à vous :

  1. récupérer vos fichiers au moyen d’une sauvegarde (recommandé);
  2. payer la rançon (nous ne recommandons pas d’utiliser cette possibilité).

Le fait de payer la rançon ne garantit aucunement que vous pourrez récupérer vos données. C’est pourquoi nous ne recommandons jamais cette option. Plusieurs pirates empocheront l’argent sans même vous donner la clé pour déchiffrer vos données. Le paiement exigé doit être fait en crypto monnaie, tel le bitcoin. Il s’agit d’une monnaie virtuelle équivalant à de l’argent « liquide », mais en format numérique, il est donc impossible de la retracer.

C’est pourquoi il est primordial d’avoir un bon système de sauvegarde double en parallèle et indépendant.

 

Qu’est-ce qu’un système de sauvegarde double, en parallèle et indépendant?

Il s’agit de deux systèmes complètement différents, tant sur le plan logiciel que matériel, qui sont installés en parallèle, dont un localement et un dans le cloud. Il est primordial d’avoir une sauvegarde locale pour permettre une récupération rapide en cas de problème. Toutefois, il arrive que le virus malveillant ou le ransomware chiffre ou supprime ces fichiers, dans le cas où celui-ci aurait eu accès aux répertoires de sauvegarde. C’est l’une des nombreuses raisons pour lesquelles il est essentiel d’avoir une sauvegarde externe, c’est-à-dire dans le nuage informatique.

 

Pourquoi mon antivirus ou mon pare-feu ne me protège-t-il pas (ou peu) ?

Si vous avez un bon antivirus et un bon pare-feu à jour avec un forfait sécurité actif, vous serez probablement protégé contre une très longue liste de ransomwares de toutes sortes.

Toutefois, les organisations malveillantes ont trouvé un moyen de déjouer ces systèmes. La plupart des systèmes de sécurité se fient à une« signature numérique » pour détecter les virus ou les attaques.

En ce sens, dès que le système reconnait un virus X ou Y, celui-ci est documenté dans la base de données, et protégera les utilisateurs contre les attaques subséquentes. Les pirates utilisent avec brio une technique que l’on appelle le chiffrement polymorphe permettant de décliner un virus en de très nombreuses variantes et de créer des centaines de milliers de signatures différentes. Cette technique utilisée complique la détection des virus malveillants ou des ransomwares par les systèmes de sécurité actuels.

 

Quoi faire si mon ordinateur est infecté?

Vous avez ouvert une pièce jointe à un courriel et rien ne se passe? Vous pensez qu’il s’agit peut-être d’un virus ou d’un ransomware? Le premier réflexe doit être de débrancher très rapidement le fil réseau puis d’éteindre aussitôt l’ordinateur.

Si vous agissez très rapidement, le ransomware n’aura peut-être pas le temps de se connecter aux serveurs aléatoires pour recevoir ses clés de chiffrement, lesquelles sont primordiales pour commencer le travail de chiffrement.

Appelez aussitôt l’administrateur de votre réseau. Il sera en mesure de faire les vérifications et les travaux nécessaires pour remédier à la situation.

 

Comment puis-je prévenir cela dans mon entreprise?

Toute entreprise sérieuse qui souhaite limiter les possibilités d’être infectée par ce type d’attaque très coûteuse doit agir de trois façons.

  1. Éducation de l’équipe

    D’abord, l’éducation des utilisateurs et des employés est primordiale. La majorité des infections sont causées par le manque de vigilance des utilisateurs, comme le téléchargement et l’ouverture d’une pièce jointe à un courriel. Nous vous recommandons de lire et de transmettre à tous les employés et utilisateurs le guide des meilleures pratiques à adopter en entreprise, en cliquant ici.

  2. Protection active

    Ensuite, avoir une protection active. Nous recommandons que vous ayez en place :

    • un antivirus réseau pour entreprise, à jour avec un système de surveillance;
    • un pare-feu avancé avec un forfait de sécurité actif, plusieurs fabricants, tel Watchguard, offrent ce type de sécurité active;
    • un système de courriel avancé avec un filtre de pourriels évolués tels que Microsoft Exchange Cloud et Google Apps, qui filtrera les courriels avant leur ouverture sur les postes de travail.
  3. Bonnes pratiques

    Enfin, comme protection supplémentaire, nous vous conseillons fortement, sans vous y limiter, d’adopter ces bonnes pratiques:

    • installation d’un système antiprogramme malveillant (antimalware), tel Malware bytes Endpoint Security, qui protège les données et analyse tout ce qui est ouvert sur les postes;
    • installation d’une protection supplémentaire pour l’analyse des courriels, tel que Microsoft Exchange Advanced Threat Protection;
    • effectuer une maintenance préventive pour garder à jour tous vos équipements (systèmes d’exploitation, logiciels, micrologiciels, etc.) afin de limiter les portes d’entrée des virus et ransomwares (ex. : problème de droits de sécurités sur les fichiers, problème d’intégrité d’une base de données, etc.);
    • activer des politiques réseau (GPO) pour limiter la propagation d’un tel type d’attaque (ex. : détection automatique des extensions commune lorsqu’un ransomware apparaît, avec alerte à l’administrateur réseau et fermeture automatique des serveurs);
    • désactiver la permission de faire fonctionner des fichiers exécutables dans les dossiers « App Data » et « Local App Data »;
    • ne pas donner les droits d’administrateurs aux utilisateurs sur leur poste de travail;
    • activer la vue des extensions cachées pour tous les utilisateurs.

 

 

Un petit résumé

Il est donc important d’avoir en place un bon système de sauvegarde, un système local, une sauvegarde dans le nuage informatique et surtout, effectuer des tests et des simulations de recouvrement de données à intervalles réguliers. Pourquoi faire ces tests? Parce que la majorité des entreprises croient que leur système de sauvegarde fonctionne à merveille, mais il arrive parfois qu’il ne prenne pas en compte toutes les données ou qu’il ne le fasse pas adéquatement. Lorsque ce genre de situation survient, il est trop tard et c’est alors impossible de récupérer une partie ou l’ensemble des données. Un fait à noter, 40 % des entreprises ne se relèvent pas d’une perte de données.

N’oubliez pas également que peu importe le type de sauvegarde, il est primordial d’avoir un système de surveillance journalière qui permet de voir si la sauvegarde a bien fonctionné. Même le meilleur système de sauvegarde offert sur le marché à l’heure actuelle nécessite des vérifications et des ajustements périodiques.

En conclusion, les attaques de ransomwares de type CryptoLocker et CryptoWall peuvent être très coûteuses pour votre entreprise. Il y a de nombreux éléments sur lesquels il faut travailler pour limiter les possibilités d’une telle attaque, qui est très souvent causée par le manque de vigilance des utilisateurs. Une fois l’attaque lancée, il est souvent trop tard et le meilleur moyen de rétablir la situation est d’avoir un bon système de sauvegarde surveillé et testé régulièrement.

Articles dans la même catégorie

Top