Attaque de ransomware : pas de panique !
De plus en plus de cas de cyber-extorsion sont rendus publics. Mais que faire en cas d'attaque par ransomware ? Un expert en cybersécurité dresse une liste de sept mesures immédiates.
La vague de ransomware continue de déferler sur les entreprises et les administrations. La situation en matière de sécurité semble s'aggraver de toutes parts. Ce n'est plus qu'une question de temps avant que l'entreprise ne soit touchée, pourrait-on supposer. Il existe de nombreux guides sur la manière de mettre en place une cyberdéfense contre une attaque de ransomware ou des technologies promettant une défense efficace. Mais lorsque le moment est effectivement venu, il est utile de savoir ce qu'il faut faire en premier lieu.
En cas d'attaque de ransomware : ne pas payer de rançon
Dans tous les cas, la panique est mauvaise conseillère. Tout comme le fait de prendre son porte-monnaie pour payer la rançon, même si cela semble être la solution la plus simple au premier abord.
La première priorité est bien entendu de rendre les données et les systèmes à nouveau disponibles le plus rapidement possible. Pour que cela fonctionne et pour pouvoir tirer les bonnes leçons d'une attaque réussie, il convient de suivre quelques autres mesures.
1. isoler rapidement les appareils
Un ransomware ne devrait pas pouvoir se propager plus loin qu'il ne l'a déjà fait. C'est pourquoi les administrateurs devraient isoler le plus rapidement possible les systèmes concernés du réseau. Cela permet d'éviter que le malware ne se propage davantage, surtout lors des travaux de nettoyage après l'attaque du ransomware.
2. comprendre le vecteur d'attaque
Si les appareils concernés sont isolés, il est important de comprendre comment l'incident a pu se produire. Cela aide d'une part à gérer l'incident. D'autre part, cela fournit des enseignements précieux pour l'avenir. Il s'agit donc de découvrir : Qui était le patient zéro dans le réseau ?
3. sauvegarder et vérifier les sauvegardes
Les applications et les serveurs peuvent être réinstallés, mais les données sont irremplaçables. Sans sauvegardes, il n'est plus possible de les assurer. C'est pourquoi la première mesure à prendre est de les déconnecter du réseau. Les pirates recherchent les sauvegardes de manière ciblée dans le cadre de leur attaque. Si celles-ci restent en ligne, elles risquent d'être intégrées à l'attaque. Il est bien sûr encore mieux de conserver dès le départ des sauvegardes hors ligne à un endroit physiquement séparé. La règle des 3-2-1 des sauvegardes (il faut au moins trois des copies de vos données doivent être disponibles, stockées sur deux différents médias, un copie de sauvegarde conservée dans un lieu de stockage externe) est une condition indispensable pour protéger les données contre les attaques de chantage. Ainsi, une demande de rançon peut ne pas aboutir, du moins en ce qui concerne les données. Les administrateurs informatiques peuvent au contraire s'occuper de reconstruire les systèmes.
4. arrêter les projets et les tâches planifiées
Une attaque de ransomware est une urgence et nécessite la mise en commun de toutes les ressources. Toute modification de l'architecture informatique, comme les migrations vers de nouveaux environnements ou l'installation de nouvelles applications et de nouveaux serveurs, doit être immédiatement stoppée. De tels projets pourraient aider le malware à se propager davantage. Il est tout aussi important d'arrêter les tâches programmées, par exemple les sauvegardes. En effet, c'est au cours de celles-ci que le malware extorqueur peut continuer à se propager.
5. mettre en quarantaine les zones potentiellement compromises
En règle générale, il ne faut exclure aucune possibilité juste après une attaque et mettre en quarantaine toutes les parties de l'infrastructure potentiellement touchées. Cela signifie que tout doit d'abord être déconnecté du réseau et examiné individuellement avant de pouvoir être à nouveau utilisé.
6. après l'attaque, c'est avant l'attaque : changer les mots de passe
Mieux vaut prévenir que guérir. Au début d'un incident, il n'est pas toujours évident de comprendre comment il a pu se produire. S'agissait-il simplement d'une attaque simple ? Ou s'agissait-il d'une attaque complexe, rendue possible par le fait que le pirate avait obtenu des données d'authentification ? Si c'est le cas, il peut toujours faire une nouvelle tentative. Il est donc judicieux de changer les mots de passe des comptes d'utilisateurs critiques pour le système.
7. pas de panique en cas d'attaque de ransomware - planifier et s'entraîner aux situations de sécurité critiques
L'administration informatique sera soumise à une forte pression en cas d'incident - et il existe donc un risque de prendre de mauvaises décisions dans cette situation de pression. Pour éviter cela autant que possible, les services informatiques devraient se préparer à l'éventualité d'une situation d'urgence. Dans l'idéal, les responsables de la sécurité ont défini des processus. Car c'est justement en cas d'urgence que les entreprises ont besoin d'un plan d'action pour ne pas oublier de mesures judicieuses. Ces processus devraient en outre être régulièrement exercés, par exemple dans le cadre d'une simulation de "Red and Blue Team Testing". Si les collaborateurs savent qu'il existe un plan qui s'applique en cas d'urgence et que ce plan a été répété, le risque de mal agir sous la pression est minimisé.
Source : Bitdefender
