Ransomware : la sauvegarde seule n'est pas une stratégie de sécurité
De nombreuses entreprises pensent que la sauvegarde de leurs données les protège contre les ransomwares. La logique séduisante et simple qui se cache derrière cela : Si l'on peut restaurer toutes les données, on ne peut pas être victime de chantage. Mais c'est un peu court : en effet, même si la restauration est réussie après une attaque, des informations sensibles comme les données des clients ou la propriété intellectuelle peuvent avoir été volées.
De plus, le risque d'attaque reste présent : Les pirates peuvent toujours se trouver sur le réseau ou y accéder à nouveau en installant une porte dérobée. Dans certains cas, les ransomwares servent aux cybercriminels de pure manœuvre de diversion, par exemple pour introduire des logiciels espions dans le réseau de l'entreprise. Ainsi, même si les données sont restaurées presque sans temps d'arrêt, les dommages causés par une attaque de ransomware peuvent rester considérables, voire existentiels.
La question n'est donc pas seulement de savoir quel logiciel malveillant les pirates placent dans une entreprise, mais comment ils ont infiltré l'entreprise. Car si un ransomware a pu pénétrer dans le réseau, il existe manifestement des lacunes dans la défense. Et il s'agit de les combler durablement.
Stratégie globale contre les cyber-attaques
Les entreprises qui veulent éviter les infiltrations par les attaquants ont besoin des bons produits, processus et experts en sécurité. C'est pourquoi Ali Carl Gülerman, CEO et directeur général de Radar Cyber Security, explique ci-après tout d'abord les meilleures pratiques de base pour prendre des précautions :
1. identifier les données et les actifs les plus importants de l'entreprise Qu'il s'agisse de propriété intellectuelle, de secrets commerciaux, d'informations de connexion ou de données clients : C'est ce que les pirates recherchent. Les entreprises doivent donc identifier leurs données les plus sensibles et savoir exactement où elles se trouvent. Une fois les données classées, elles doivent être identifiées et des restrictions d'accès doivent leur être appliquées. Si les responsables savent exactement lesquelles de leurs données sont particulièrement précieuses, ils peuvent les protéger de manière ciblée contre les attaques.
2. former les collaborateurs contre l'ingénierie sociale Informer et sensibiliser les collaborateurs est l'une des mesures les plus importantes pour la sécurité de l'entreprise. L'hameçonnage par e-mail est toujours la méthode la plus courante de propagation des ransomwares. Il est donc important que les employés sachent comment reconnaître les tentatives de phishing. Les entreprises doivent définir des processus simples permettant aux employés de les signaler aux responsables de la sécurité de l'entreprise.
3. les technologies de sécurité : Les filtres de sécurité du courrier électronique, les logiciels antivirus et les pare-feu contribuent à bloquer les souches connues et répandues de logiciels malveillants. En outre, les entreprises devraient utiliser les solutions Endpoint Detection and Response (EDR) et Advanced Threat Protection (ATP) afin d'optimiser la détection et le blocage des ransomwares.
4. maintenir les systèmes d'exploitation et les applications à jour Les systèmes d'exploitation et les applications non corrigés sont des proies faciles pour les pirates et une tête de pont pour d'autres attaques. C'est pourquoi les entreprises doivent veiller à ce que leurs systèmes d'exploitation et leurs logiciels soient toujours patchés avec les dernières mises à jour.
5. désactiver les macros : Un certain nombre de souches de ransomware sont envoyées sous forme de pièces jointes Microsoft Office. Lorsqu'un utilisateur ouvre la pièce jointe, il est invité à activer des macros pour voir le contenu du document. Dès que l'utilisateur active les macros, la charge utile du ransomware proprement dit est téléchargée et exécutée. Les macros doivent donc être désactivées par défaut et les employés doivent être informés que toute demande d'activation de macros est un signal d'alarme.
6. gérer les droits d'accès : Les utilisateurs ne devraient disposer que des droits d'accès dont ils ont besoin pour accomplir leurs tâches. Les droits administratifs devraient être limités autant que possible. En outre, il convient de s'assurer que les utilisateurs administratifs doivent confirmer toutes les actions qui nécessitent des droits élevés.
7. segmenter les réseaux : La segmentation du réseau permet de limiter les dégâts en cas d'infection par un ransomware. En effet, cela permet d'éviter que le logiciel malveillant ne se propage dans l'ensemble du réseau de l'entreprise.
8. tests d'intrusion : Les tests d'intrusion offrent aux entreprises la possibilité de trouver des points faibles dans le système et de les corriger avant qu'ils ne puissent être exploités par des attaquants. Les tests d'intrusion devraient être effectués au moins une fois par an. Un test d'intrusion peut également être utile lorsqu'une modification importante est apportée au réseau de l'entreprise, comme le changement du système d'exploitation ou l'ajout d'un nouveau serveur.
9. la sauvegarde comme dernier filet de sécurité : Des sauvegardes régulières, dont le bon fonctionnement est testé, sont une partie nécessaire de l'architecture de sécurité. Elles contribuent en outre à maintenir la disponibilité des processus commerciaux. Pour la sauvegarde, il est recommandé d'appliquer la stratégie bien connue 3-2-1 : celle-ci préconise trois copies des données à protéger sur deux types de supports de stockage différents. L'une des copies se trouve hors site ou hors ligne. Les sauvegardes ne sont toutefois que le dernier filet de sécurité lorsque tout le reste a déjà mal tourné et ne constituent en aucun cas à elles seules une stratégie de sécurité satisfaisante.
10. s'entraîner aux situations d'urgence Les entreprises devraient effectuer une simulation d'incident de ransomware et s'entraîner aux processus de récupération. Il s'agit notamment de déterminer combien de temps il faut à l'organisation pour être à nouveau pleinement opérationnelle. Ces exercices montrent aux responsables sur quoi ils doivent se concentrer pour améliorer leurs processus de récupération. On l'oublie souvent : La préparation aux situations d'urgence nécessite également l'élaboration d'une stratégie de communication interne et externe. Celui qui communique clairement en cas d'urgence est perçu comme un partenaire et un fournisseur fiable.
Des gardes de sécurité 24h/24 et 7j/7 renforcent la cyber-résilience
En matière de protection contre les cyberattaques, la plupart des organisations manquent surtout de personnel et d'expertise. Pour une prévention complète contre de telles attaques, y compris les ransomwares, et une réaction rapide, les entreprises devraient donc envisager de créer leur propre centre de cyberdéfense ou CDC as a service, car elles peuvent ainsi renforcer massivement leur cyber-résilience. Des milliers de cybermenaces sont créées chaque minute. La technologie peut filtrer bon nombre des menaces connues. Mais seul un centre de cyberdéfense offrant un service 24h/24 et 7j/7 aide les entreprises à analyser l'énorme quantité d'alertes, de nouvelles menaces et d'anomalies identifiées par l'infrastructure technique de sécurité.
Un centre de cyberdéfense - également connu sous le nom de Security Operations Center (SOC) - associe des experts en sécurité informatique, des processus et des technologies. Au CDC, des experts formés examinent en permanence le trafic Internet, les réseaux, les ordinateurs de bureau, les serveurs, les terminaux, les bases de données, les applications et d'autres systèmes informatiques pour détecter les signes d'un incident de sécurité. En tant que centre de commande de sécurité d'une entreprise, le CDC est ainsi responsable de la surveillance, de l'analyse et de l'optimisation continues de la situation en matière de sécurité, afin de détecter rapidement les attaques et de prendre les contre-mesures appropriées en cas d'infraction à la sécurité.
Les ransomwares resteront l'un des plus grands risques de sécurité pour les entreprises. Une mesure seule ne suffit pas pour se protéger. Mais avec une approche à plusieurs niveaux comprenant la formation continue des employés, des processus robustes pour garantir la continuité des activités, des technologies modernes et l'aide professionnelle d'experts en sécurité, il est possible d'atténuer considérablement les risques et les conséquences possibles des attaques par extorsion.
Pour plus d'informations : Radar Cyber Sécurité
Autres sujets :
Cyber risques : Nouvelles recommandations du gouvernement fédéral
Une cyberassurance en cas de coup dur
