Help, mon entreprise est victime d’un rançongiciel ! Que faire ?

Publié le 24/08/2020 dans Tech, trucs & astuces

Help, mon entreprise est victime d’un rançongiciel ! Que faire ?

Votre entreprise a été victime d’une cyberattaque. Les pirates ont pris vos données en otage et réclament une rançon pour les débloquer. La question à un million (parfois au sens littéral) : comment réagir au mieux ? Et faut-il négocier ?

Limiter les dégâts

Wouter Vandenbussche, Solution Lead Cybersecurity chez Proximus : “Si votre entreprise est victime d’un rançongiciel, vous pouvez juste essayer de limiter les dégâts. Ce qui n’a rien d’évident, puisque vos données sont verrouillées. Vous ne savez donc pas où se situe le problème ni quel impact il aura.”

Vous devez savoir quelles sont les données cruciales pour faire tourner votre entreprise et les protéger des rançongiciels.

Wouter Vandenbussche, Solution Lead Cybersecurity Proximus

Protéger les joyaux de la couronne

En cas d’attaque par rançongiciel, la première chose à faire est de savoir ce qui se passe. “On commence toujours par se concentrer sur les joyaux de la couronne, c’est-à-dire les données cruciales pour faire tourner l’entreprise. Elles sont bien sûr différentes pour chaque entreprise. Pour limiter les dégâts d’une cyberattaque, vous devez donc absolument savoir quelles sont ces données et connaître leur état.”

Les joyaux de la couronne d’un établissement d’enseignement

“Un exemple d’organisation dont les données cruciales ont été prises en otage ? L’an dernier, un établissement d’enseignement néerlandais a été victime d’une attaque par rançongiciel. Plusieurs données cruciales, leurs systèmes mais aussi leurs serveurs de back-up étaient verrouillés. Après une semaine, l’établissement a fini par payer 200.000 euros. Sinon, les étudiants n’auraient pas pu terminer leurs études, le personnel ne recevait plus son salaire et les chercheurs étaient incapables de poursuivre leurs travaux.”

Reconstruire une entreprise après une attaque par rançongiciel peut prendre des mois, voire des années.

Wouter Vandenbussche

author

Faire appel à des spécialistes et à la police

“En cas d’attaque, vous devez immédiatement prendre contact avec une équipe d’intervention spécialisée. La plupart des entreprises de cybersécurité en ont une. Ces experts ont accès à des logiciels de décryptage et vous aident à faire fonctionner de nouveau votre entreprise. Cela dit, une attaque par rançongiciel est aussi un crime. Vous devez donc avertir la police immédiatement.”

La Cyber Security Incident Response Team (CSIRT) de Proximus veille sur la sécurité de vos données et de votre réseau. Joignable 24h/24 et 7j/7, l’équipe est toujours prête à intervenir et même à se déplacer.

Tout sur la CSIRT

Ne pas payer de rançon

Reste à savoir comment limiter l’impact d’une attaque. “Cela dépend de la situation. Si les pirates ont utilisé un ancien rançongiciel avec une clé de chiffrement connue, vous disposez d’un antidote. S’il s’agit d’un nouveau rançongiciel, vous avez deux choix : discuter avec les pirates ou pas. Il est déconseillé de négocier et de céder à leurs exigences. On parle vite de montants énormes à six ou sept chiffres et rien ne garantit que la clé de décryptage que vous recevrez fonctionnera. Il y a un risque réel que les dommages causés au réseau et aux systèmes soient irréversibles.”

Une entreprise de transport international sauvée par un seul serveur hors ligne

“La plupart des entreprises victimes de ce genre d’attaque ne cèdent pas aux exigences des pirates et tentent de reconstruire leur infrastructure. Ce travail de longue haleine peut prendre des mois, voire des années, parce que le cœur de l’entreprise est paralysé.

En 2017, une société de transport a, comme beaucoup d’autres entreprises, été victime de la cyberattaque NotPetya. Ses systèmes informatiques et ses terminaux portuaires étaient paralysés. En 10 jours, elle a installé 45.000 nouveaux PC et 4.000 nouveaux serveurs. Elle a été sauvée parce qu’un contrôleur de domaine au Ghana était hors ligne pendant l’attaque à cause d’une panne d’électricité. Il a donc pu servir de back-up pour les 150 autres contrôleurs de domaine touchés. Si cette entreprise de transport international n’avait pas eu cette chance, elle n’existerait peut-être plus.”

Vous avez des questions sur la cybersécurité ? Contactez-nous et discutez avec un de nos experts en sécurité.

Parler à un expertNouvelle fenêtre

Experts

Nos experts vous tiennent au courant des dernières nouvelles et tendances pour les professionnels de l'ICT.

Les autres articles de Experts