Parfait reflet de l’incertitude du monde actuel, la cybersécurité est une menace permanente qui pèse sur toute entreprise ; une raison qui justifie, à elle seul, la tenue en format physique et virtuel du rendez-vous annuel des Assises de la sécurité à Monaco, du 14 au 17 octobre 2020.
Au début de la période de confinement, dans un contexte de panique et de chamboulements, il a beaucoup été question de l’augmentation du nombre de cyberattaques sur les entreprises, et ce à juste titre. Plusieurs mois après le début de la crise, les attaques n’ont pas faibli, en particulier durant la période estivale, plus propice à la baisse d’attention et aux effectifs réduits des équipes informatiques, avec une liste de victimes comptant quelques grands noms du secteur de l’assurance et des télécoms notamment. Selon un récent rapport, les victimes de ransomwares seraient d’ailleurs de plus en plus nombreuses à choisir de payer la rançon exigée, dont le montant moyen aurait fortement augmenté.
Dans ce contexte d’insécurité informatique, il est important que les entreprises assurent leur cyber-résilience ; pour cela, Patrick Rohrbasser, Regional VP Southern EMEA et Afrique, partage trois bonnes pratiques à mettre successivement en œuvre pour se protéger efficacement : éducation, mise en œuvre et remédiation.
Les principaux points d’entrée de ransomwares dans une entreprise sont le protocole RDP (Remote Desktop Protocol) et autres mécanismes d’accès à distance, les courriels de phishing et les vulnérabilités des logiciels ; le fait de les connaître permet aux entreprises de mieux déterminer où investir leurs efforts pour résister aux attaques.
Le protocole RDP connecté à Internet, que beaucoup d’administrateurs informatiques utilisent encore quotidiennement, crée une grande vulnérabilité qui justifie de cesser son utilisation dans un futur proche. Car malgré toute la créativité dont peuvent faire preuve les administrateurs informatiques en termes d’adresses IP spéciales, de redirection des ports RDP ou de complexité des mots de passe, les données révèlent que plus de la moitié des ransomwares arrivent via RDP, confirmant le fait que ce protocole n’apporte pas la résilience nécessaire pour se protéger des ransomwares nouvelle génération.
L’autre mode d’entrée le plus fréquent est l’email de phishing. La solution la plus évidente pour lutter contre cela est de supprimer systématiquement tous les courriers électroniques suspects. Une formation de sensibilisation à l’identification de ces courriers de phishing associée à des outils d’auto-évaluation peut facilement créer un mécanisme de réponse rapide et efficace.
La dimension éducative, qui a prouvé son efficacité en termes de protection face aux ransomwares, doit être prise au sérieux, qu’il s’agisse d’évaluer le risque de phishing, d’éradiquer les vecteurs d’attaque les plus fréquents ou de maintenir les systèmes et les logiciels à jour.
Face à une attaque de ransomware, la résilience dépend entièrement du type de solution de sauvegarde choisi et de la façon dont elle est mise en œuvre, mais aussi du comportement de la menace et de la manière dont les mesures correctives sont prises. La mise en œuvre de sauvegardes avec une copie de données enregistrée, hors ligne ou immuable, associées à la règle Veeam de sauvegarde « 3-2-1 », constitue l’une des défenses les plus importantes contre les ransomwares, les menaces d’initiés et les suppressions accidentelles. Au-delà des ransomwares, les solutions de sauvegarde peuvent apporter d’autres techniques de protection pour la résilience des données de sauvegarde, comme l’atténuation des menaces internes et la suppression accidentelle.
En plus d’éduquer les parties prenantes et de mettre en œuvre des techniques pour construire une infrastructure résistante, les entreprises doivent être prêtes à remédier à une menace si elle réussit à s’introduire, en définissant précisément la procédure à suivre le cas échéant. La communication étant essentielle, il est vivement conseillé d’établir une liste de contacts pour la sécurité, la réaction aux incidents et la gestion des identités, pour faciliter le processus de restauration.
Ensuite, il faut mettre en place une chaîne de décideurs pré-approuvée, pour savoir à qui s’adresser au moment de prendre des décisions, comme par exemple la restauration ou la reprise des données de l’entreprise en cas d’attaque. Si les conditions sont propices à la restauration, le service informatique doit connaître les options de récupération en fonction de la situation des ransomwares. Il est conseillé de mettre en place des contrôles de sécurité supplémentaires avant de remettre les systèmes sur le réseau - comme un scan antivirus avant la fin de la restauration - et de s’assurer que le bon processus est en cours. Une fois le processus terminé, tous les mots de passe doivent impérativement être changés afin de réduire la menace qui refait surface.
La menace que représentent les ransomwares pour les entreprises, grandes comme petites, est réelle. Bien que personne ne puisse prédire quand ou comment une attaque se produira, les entreprises qui ont mis en place une défense et une stratégie solides et à plusieurs niveaux, basées sur les bonnes pratiques présentées ci-dessus, ont plus de chances de se rétablir et d’éviter de perdre des données ou de l’argent, ou encore de porter atteinte à leur réputation.