Comment se prémunir contre des attaques par ransomware ?
Publié le 09/04/2020 dans Tech, trucs & astuces
Un ransomware est un logiciel malveillant que des cybercriminels installent sur votre réseau grâce au phishing, à un logiciel non mis à jour ou à une clé USB, afin de verrouiller vos systèmes et données et exiger une rançon. Comment l’éviter ?
Wouter Vandenbussche, Solution Lead Cybersecurity chez Proximus, vous explique brièvement comment protéger votre entreprise contre les ransomwares.
Instaurez 3 niveaux de sécurité :
- Formez votre personnel : intégrez la sécurité dans la méthode de travail de tous vos collaborateurs, car la cybersécurité est l’affaire de tous. Rappelez-leur clairement qu’ils doivent renoncer à leur ‘ancienne’ méthode de travail et à leurs anciens droits. Par exemple, on n’octroie plus à un maquettiste les droits de télécharger librement un logiciel dont il aurait besoin.
- Investissez dans des processus de détection et un plan d’action.
- Mettez vos solutions de sécurité à niveau : sélectionnez les bonnes technologies pour vous protéger contre les 4 phases d’une attaque par ransonware.
Comment se protéger contre les 4 phases d’une attaque par ransomware ?
1. Infiltration : phishing, mauvais correctifs ou clés USB corrompues
Tout le monde connaît le phishing. Les hackers tentent de vous convaincre de cliquer sur un lien pour installer un malware sur votre PC via des fichiers Excel, PDF, .exe ou via votre navigateur. Mais le ransomware peut aussi s’infiltrer par des failles non corrigées, des logiciels mal patchés ou mal entretenus. Un malware peut également infecter le PC portable ou fixe d’un utilisateur qui y insère une clé USB corrompue sans se méfier.
Comment vous protéger ?
La sensibilisation des utilisateurs est une priorité absolue : limitez leurs droits au maximum, surtout sur les appareils étroitement liés aux processus sensibles. Une bonne solution antispam protégera également votre système mail. Évitez l’infection de votre réseau grâce à une meilleure protection des appareils de vos utilisateurs. Pensez à la gestion des patchs et utilisez systématiquement les dernières versions des logiciels. La sécurité de vos terminaux doit être dynamique et à même de vous protéger de nouvelles attaques inconnues par de nouvelles techniques.
Des questions ? Discutez avec l’un de nos experts en sécurité.
Contactez-nousNouvelle fenêtre
2. Infection : communication entre vos ordinateurs et les hackers
En cas d’infection, certains signaux révèlent qu’un ransomware s’est niché dans l’ordinateur. Le ransomware contacte systématiquement le centre de contrôle des hackers, une communication anormale pour un ordinateur.
Comment vous protéger ?
L’analyse de vos logs et du comportement de vos postes de travail vous permettra de détecter que quelque chose se trame et d’intercepter cette communication. Installez toujours la dernière version des logiciels sur vos systèmes. Un scan de vulnérabilité peut aussi vous aider à détecter automatiquement les failles connues.
3. Propagation : comportement étrange des ordinateurs et systèmes
Un ransomware peut circuler pendant des semaines, voire des mois dans votre réseau, jusqu’au moment où il trouvera les données et systèmes qui permettront aux cybercriminels d’attaquer votre entreprise là où ça fera le plus mal.
Comment vous protéger ?
Commencez par segmenter votre réseau : divisez-le en zones séparées. L’infection ne pourra pas se propager facilement aux autres appareils. Pour éviter la propagation de malwares, utilisez un pare-feu. Celui-ci contrôle le trafic entrant et sortant, mais aussi le trafic au sein même du réseau. Les systèmes qui révèlent les vulnérabilités d’un réseau et vous permettent d’y remédier sont nombreux. Par exemple, grâce à la détection au niveau du terminal et du réseau, vous pouvez isoler des PC portables, les nettoyer et fermer les protocoles.
4. Chiffrement : game over
Une fois que le ransomware a verrouillé vos fichiers et ordinateurs, il est trop tard. La phase de chiffrement est très rapide. Il ne vous reste plus qu’à sauver ce que vous pouvez encore sauver, restaurer vos processus ou tout recommencer à zéro.
Comment vous protéger ?
Seul un système de sauvegarde au point pourra vous protéger. Grâce à Disaster Recovery as a Service (DRaaS), vous copiez toutes vos données dans le cloud. Un site ou une approche de reprise après sinistre vous permet de disposer d’une infrastructure d’urgence pour reprendre vos activités au plus vite. Vous pouvez bien sûr effectuer vos sauvegardes vous-même. Stockez-les dans un endroit non vulnérable à cette même attaque par ransomware, par exemple hors ligne ou dans le cloud d’un partenaire externe.
Conclusion : prévention, mais aussi détection & réaction
Si la prévention reste essentielle, la détection l’est tout autant. Vous devez analyser le comportement de vos appareils et utilisateurs, mais aussi pister les anomalies et comportements anormaux. Le logiciel Security Information and Event Management (SIEM) a énormément évolué ces dernières années grâce à l’intelligence artificielle et au machine learning. Des logiciels qui réagissent automatiquement aux incidents commencent même à apparaître.
La Proximus Cyber Security Incident Response Team (CSIRT) assure votre sécurité IT. Votre entreprise a été victime d’une cyberattaque ? L’équipe est là pour vous.
En savoir plusExperts
Nos experts vous tiennent au courant des dernières nouvelles et tendances pour les professionnels de l'ICT.