Autopsie d'une cyberattaque par ransomware
Plus une semaine ne se passe sans qu’une attaque informatique sur une entreprise ne soit signalée. Et en 2021, 19% des PMEs en ont été victimes. Alors comment réagir lorsque le mal est fait ? Comment contenir la menace et sauver son entreprise ? Et surtout comment anticiper pour éviter tout risque à l’avenir ? Des experts du cyber risque se penchent sur ce dossier et nous apportent leur éclairage dans la vidéo ci-dessous.
Les attaques par rançongiciel (ou ransomeware) sont les plus courantes aujourd’hui, surtout depuis fin 2018, début 2019. Parce qu’elles fonctionnent bien et surtout rapportent beaucoup d’argent. Ce sont les attaques les plus rentables pour les pirates. D’autant qu’elles sont aujourd’hui automatisées grâce à l’intelligence artificielle. Une cyberattaque par rançongiciel, c’est un mélange entre une prise d’otage et un enlèvement.
"Autopsie d'une cyberattaque" Épisode 1 par Xavier Poinsignon, expert cybersécurité SFR Business : un documentaire en partenariat avec BFM Business.
Retrouvez le passage complet d'Emmanuel Pugliesi, Directeur Général SFR Business, dans l'émission Tech&Co de mercredi 14 septembre 2022 sur BFM Business en suivant ce lien ici.
Que faire lorsqu’on est victime d’une cyberattaque par ransomeware ?
Une des premières choses à faire quand on est victime d’une attaque c’est de déconnecter les ordinateurs touchés, du réseau, c’est-à-dire débrancher le câble ethernet ou couper le port wifi. Mais il faut à tout prix éviter d’éteindre et de débrancher l’ordinateur.
Maintenir la machine sous-tension permet en effet de conserver les traces de la cyberattaque et notamment les processus qui étaient actifs au moment de l’intrusion. Et si l’attaque est toujours en cours, le fait de déconnecter la machine du réseau empêche l’attaque de se propager davantage.
Quand on est dans un état de sidération, c’est normal de ne pas savoir quelle décision prendre. C’est pour cela qu’au-delà de l’aspect purement technique, on dit souvent qu’il y a urgence à ne pas agir. Ne rien faire et attendre d’abord que l’émotion redescende afin de ne pas commettre une erreur grossière qui mettrait davantage en péril l’entreprise.
Ebook à télécharger : Protéger son entreprises des ransomwares
Doit-on céder à ses cyber-attaquants pour sauver son entreprise ?
Les cybercriminels sont des groupes ultra organisés qui sont loin d’être des amateurs en informatique et même en négociation. L’erreur fatale à ne pas commettre c’est de payer tout de suite, pris par l’urgence. Déjà parce qu’il est difficile de savoir qui est à l’origine de l’attaque ; il est possible que le criminel qui ait crypté les données ne soit pas le même que celui qui négocie. Le risque est de payer mais de ne jamais récupérer les données.
Souvent, il faut agir au cas par cas : Il y a des entreprises pour lesquelles le paiement d’une rançon sera financièrement plus supportable que les dommages engendrés par l’attaque.
En somme, il s’agit d’un équilibre à trouver. Ne pas récupérer les données, immobiliser l’entreprise va-t-il coûter plus cher que payer une rançon ?
Faire l’inventaire de toutes les données sauvegardées par l’entreprise.
Il est important de rapidement faire le point sur les sauvegardes, car cela peut changer complètement la donne. Si la plupart des données sont sauvegardées, par exemple, il sera plus facile de ne pas céder au chantage. Il est donc primordiale lister tout ce qui a été touché : qu’est-ce qui était sur tel ou tel serveur, a-t-on une sauvegarde, de quelle fraicheur, etc.
Quand on fait l’inventaire de ses données sauvegardées, il faut être vigilent. Le malware a pu aussi corrompre la sauvegarde qui la rend de fait inutilisable. Elle n’est plus viable. Et surtout, il faut faire attention à ne pas réinstaller le malware pour qu’il se déclenche une semaine plus tard.
Trouver l’élément déclencheur de l’attaque.
Sans erreur humaine, l’attaque n’est pas possible. Aujourd’hui près de 90% des cyberattaques sont dues à une erreur humaine. Souvent dans le cas d’infiltration de mail, c’est dû à des problèmes de configuration et donc à des négligences des prestataires qui en sont en charge. En effet, très souvent, les entreprises dépendent de prestataires ou de logiciels externes qui peuvent être vulnérables et qu’ils ne maîtrisent pas ou faute de temps ou de conscience en interne.
C’est pour cela que la sensibilisation est essentielle aussi. Partir du principe qu’il ne faut pas faire confiance à tout ce qui arrive sur le réseau. Et surtout, rappeler aux salariés les bons gestes.
Relancer son entreprise en utilisant toutes les données sauvegardées
En réinstallant le système, il va falloir faire attention à ne pas réinstaller le virus. Donc il faut remonter le plus en amont possible pour déterminer quand le poste était vraiment sain.
La réinitialisation et la réinstallation du système peut être un véritable casse-tête pour les entreprises. Il faut rapatrier tous les postes de travail qui ont été infectés, refaire les inventaires physiques, redémarrer les serveurs dans le bon ordre…
Pendant ce temps-là, l’entreprise continue d’être bloquée et ne peut reprendre les commandes, les livraisons, etc. C’est du temps perdu pour l’entreprise qui peut avoir des conséquences désastreuses, financières comme sur son image et donc la confiance de leurs clients.
Tirer les leçons pour anticiper les cyberattaques
Nous sommes face aujourd’hui à des virus informatiques polymorphes et qui sont de plus en plus intelligents. Il est donc nécessaire de réagir avec des solutions elles aussi de plus en plus élaborées. Heureusement, il existe ces types de solutions de plus en plus abordables aussi pour les PME.
C’est le cas de l’EDR : Endpoint Detection and Response. C’est un système intelligent qui se trouve dans le cloud et qui va se positionner sur les terminaux (endpoint) et sur tous les points d’entrée dans le réseau pour les sécuriser. Mais surtout il va comparer en temps réel tous les indicateurs qui remontent et détecter si un faisceau de signaux faibles montre qu’un comportement anormal a lieu sur le réseau. Il peut alors remonter une alerte mais surtout isoler et bloquer la propagation du virus car il agit au niveau du parc dans son ensemble.
Anticiper ça va aussi être dans une attitude un peu plus offensive par exemple en réalisant ce qu’on appelle des pentests. Cela revient à simuler une tentative d’infiltration sur le réseau d’une entreprise pour en tester les vulnérabilités et reconnaître les failles. Bien souvent, cela permet de découvrir en amont des failles que les entreprises n’avaient pas forcément prises en compte et qui sont des portes d’entrée pour les attaquants.
La cyber c’est la sécurité incendie d’il y a vingt ans. Aujourd’hui, tout le monde a des mesures de sécurité incendie, fait des exercices de simulation, au cas où. La cyber c’est pareil. Il faut que les entreprises se préparent à l'éventualité d'une cyberattaque. Plus les entreprises seront préparés techniquement et psychologiquement à ce genre d’évènements, moins elles prendront le risque de perdre en quelques heures le travail de toute une vie…