Ransomwares: 4 façons de protéger et récupérer vos données

Nous le savons tous – les attaques aux ransomwares font malheureusement partie de la vie sur internet

Pour ne rien arranger, les affaires sont si bonnes pour ces criminels qu’ils développent des menaces de plus en plus sophistiquées. Les organisations perdent ainsi l’accès à leurs données, ce qui peut mettre en péril l’ensemble de leurs activités. Ces organisations mal protégées sont souvent contraintes de payer la rançon dans « l’espoir » que leurs données leur soient effectivement restituées, ou de tenter une récupération ad-hoc sans aucune garantie que celle-ci soit fiable. Pour conserver l’accès à vos données critiques, adoptez ces quatre bonnes pratiques pour les protéger et les récupérer en toute confiance en cas d’attaque par un ransomware.

4 façons de se protéger et de se remettre des attaques de ransomwares

La mise en œuvre d’une stratégie de sécurité à plusieurs niveaux comprenant notamment un anti-malware, un pare-feu personnel, le cryptage des fichiers et un logiciel de prévention des pertes de données (DLP) est essentielle pour protéger vos terminaux et vos infrastructures contre les cyber-menaces de plus en plus nombreuses. Cependant, même avec toutes ces solutions de protection, il existe toujours un risque de violation. C’est pourquoi la sauvegarde de vos données est essentielle!

Pour protéger les environnements comportant un grand nombre de données contre les ransomwares, nous avons rassemblé ci-dessous les meilleures pratiques.

“Réaliser des copies régulières de fichiers sur un appareil séparé est le seul moyen efficace de minimiser les dommages lors d’une cyber-attaque. Une sauvegarde fiable permet de reprendre une utilisation normale de l’ordinateur avec l’intégralité des fichiers intacts le plus rapidement possible.”

–The Threat Report, Myths In Cybersecurity That People Needs To Forget, 2019

Disposer d’un programme efficace de sécurité de l’information

Si votre organisation est novice en la matière, ou si vous n’avez que partiellement appliqué votre plan de sécurité de l’information, pensez à prendre les mesures suivantes pour mettre en place un programme de sécurité efficace.

DossierIntégration
Savoir où sont stockées
les données critiques
Les environnements complexes font qu’il est plus difficile que jamais de savoir où se trouvent les données.
• Data center
• Installations à distance
• Cloud
• Fournisseur de services
Systèmes d’inventaire
• Savoir quels systèmes traitent les données critiques : stockage, traitement et transmission
• Comprendre le flux de données
• Déterminez quels systèmes présentent le plus grand risque pour vos opérations
Évaluer le risque• Inclure les enregistrements électroniques, les supports physiques et la disponibilité des systèmes, services ou dispositifs essentiels
Appliquer les contrôles
de sécurité

• Sélectionner, appliquer et gérer les contrôles de sécurité en fonction du risque
Contrôler l’efficacitéSe préparer à l’évolution du paysage des menaces
• Évaluer de manière proactive l’efficacité de la stratégie de sécurité de l’information fondée sur le risque, la sécurité les contrôles appliqués et la mise en œuvre correcte des technologies de sécurité – appliquer les mesures correctives, les mesures d’assainissement et les enseignements retenus
Éduquer les utilisateurs• Assurez-vous que les employés sont informés de ce qu’ils doivent faire lorsqu’ils reçoivent des courriels d’expéditeurs inconnus avec des pièces jointes ou des liens suspects (voir l’annexe pour les étapes recommandées)

Protéger les données grâce aux meilleures pratiques technologiques

Avec le nombre croissant de menaces, associé à la sophistication des attaques, les entreprises doivent mettre en perspective le coût de l’investissement dans les solutions de cyber-sécurité et la formation des employés, avec la perte d’accès aux données critiques et l’impact qui en résulte sur leur activité et leur réputation.

La sécurité des réseaux est une bonne première ligne de défense contre les attaques de ransomwares. Et en s’appuyant sur les meilleures pratiques technologiques, les entreprises peuvent protéger davantage leurs données et leur infrastructure informatique. Le tableau 2 présente les principales stratégies technologiques permettant d’éliminer le risque d’infection par des ransomwares.

DossierIntégration
Détecter et prévenirUtilisez une solution de sécurité à plusieurs facettes:
• Maintenir les systèmes et les logiciels à jour avec les correctifs appropriés
• Protection contre les menaces pesant sur les fichiers (antivirus traditionnel), protection des
téléchargements, un navigateur protégé, technologies heuristiques, pare-feu et système
collaboratif de notation de la réputation des fichiers
Utiliser des groupes de certification
externes (équipes d’intervention en
cas d’urgence informatique)
• Peut souvent identifier un problème avant que le virus n’infecte les entreprises
• Peut faire des recommandations sur les mesures immédiates à prendre pour le filtrage manuel
(les entreprises de logiciels peuvent avoir besoin d’heures ou de jours pour diffuser un patch)
Identifier et arrêter l’infectionDéfinir une politique globale de prévention et de préparation au rétablissement:
• Comprendre les politiques relatives aux terminaux et aux réseaux ainsi que les solutions de
protection, tels que les antivirus, les logiciels anti-espions et les produits de type pare-feu
• Limiter l’exécution de programmes non approuvés sur les postes de travail
• Limiter les droits en écriture des utilisateurs afin que, même s’ils téléchargent et exécutent un
ransomware, celui-ci ne puisse pas chiffrer d’autres fichiers que les siens.
• Inclure les documents électroniques, les supports physiques et la disponibilité des systèmes
essentiels, services ou dispositifs
Conserver une image “idéale” des systèmes et des configurationsUn élément fondamental des politiques de gestion des données:
• Cloner facilement un système infecté avec le système maître
Maintenir une stratégie de sauvegarde globaleFaire face à l’évolution des menaces:
• Évaluer de manière proactive l’efficacité de la stratégie de sécurité de l’information en fonction
des risques, les contrôles de sécurité appliqués, et la mise en œuvre correcte des solutions de
sécurité
• Appliquer les mesures correctives, les assainissements et les enseignements tirés
Éduquer les utilisateurs• Assurez-vous que les collaborateurs soient informés de ce qu’ils doivent faire lorsqu’ils
reçoivent des courriels d’expéditeurs inconnus avec des pièces jointes ou des liens suspects
(voir l’annexe pour les étapes recommandées)

Appliquer des stratégies de sauvegarde efficaces

Il faut comprendre qu’un ransomeware est presque toujours un piratage progressif. Il fonctionne dans le temps et peut s’exécuter en arrière-plan tout en apprenant le comportement de vos routines de sauvegarde. Il est donc important que votre stratégie de préparation à la récupération et de vos procédures de reprise après sinistre, conserve une copie permanente des données dans d’autres emplacements.

Les entreprises qui ne se fient qu’aux snapshots comme sauvegarde sont plus exposées au risque. Lorsque le snapshot ou l’autre instance est répliquée, la source est également corrompue car elle suit la réplication. Il est indispensable de disposer d’une version préservée des données provenant de points de récupération antérieurs dans un endroit protégé.

Tableau 3 : Meilleures pratiques en matière de protection des données

ÉtapesAction
Utiliser les processus de sauvegarde et de DR• Appeler directement une copie de sauvegarde plutôt que des versions stockées sur le même système
• Disposer de copies de sauvegarde externes des données au-delà des simples instantanés qui sont
conservés sur le système source

L’utilisation d’une bibliothèque cloud est une autre alternative. Puisque la sauvegarde sur le cloud n’est pas visible pour le compte de l’administrateur local, une sophistication supplémentaire serait nécessaire pour accéder à vos identifiants d’utilisateur sur le cloud. Enfin, bien que personne n’aime les bandes, celles-ci peuvent s’avérer être une meilleure alternative pour certaines entreprises, car c’est bien la nature « en ligne » du disque ou du cloud qui l’expose à un risque persistant.

Former les employés pour sécuriser les terminaux

Il est essentiel de sensibiliser toutes les personnes qui touchent à vos données, aux bonnes habitudes en matière de sécurité, pour assurer la protection des entreprises. Rappelez-leur de faire preuve de bon sens.

Comme décrit ci-dessous, sensibilisez vos utilisateurs aux meilleures pratiques édictées par Symantec, présentées dans le tableau 4.

Tableau 4 : Meilleures pratiques pour les employés et les points finaux

ÉtapesAction
Former les utilisateurs aux meilleures pratiques en matière de sécurité• Utiliser un pare-feu
• Instaurer une politique de mots de passe
• Veiller à ce que les programmes et les utilisateurs de l’ordinateur utilisent le niveau de privilèges le plus bas nécessaires pour mener à bien une tâche
• Désactiver l’AutoPlay
• Désactivez le partage de fichiers si vous n’en avez pas besoin
• Éteindre et supprimer les services inutiles
• Si une menace exploite un ou plusieurs services de réseau, désactivez ou bloquez l’accès à ces services jusqu’à l’application d’un patch
• Maintenez toujours vos niveaux de patchs à jour
• Configurez votre serveur de courrier électronique pour bloquer ou supprimer les courriers électroniques contenant des pièces jointes qui sont couramment utilisés pour diffuser des menaces
• Isoler rapidement les ordinateurs compromis pour empêcher les menaces de se propager• Former les employés à ne pas ouvrir de pièces jointes, sauf s’ils les attendent
• Si la technologie Bluetooth n’est pas nécessaire pour les appareils mobiles, elle doit être désactivée

Pour plus de détails, voir les recommandations de Symantec sur les meilleures pratiques en matière de
sécurité, 2018
Utiliser les meilleures
pratiques en matière
de protection des
terminaux
• Déployer des plugins de réputations d’URL qui affichent la réputation des sites web à partir des recherches
• Limitez les logiciels aux applications approuvées par les entreprises et évitez de télécharger des logiciels à
partir de sites de partage de fichiers.
• Ne téléchargez que des paquets directement à partir des sites web de fournisseurs de confiance
• Déployer une authentification en deux étapes sur tout site web ou application qui la propose
• Veiller à ce que les utilisateurs aient des mots de passe différents pour chaque compte de courrier
électronique, chaque application et chaque connexion – en particulier pour les sites et services liés au travail

Conclusion

La sécurisation des informations critiques est sans aucun doute une nécessité pour toutes les organisations. Et la protection de ces informations contre les attaques de ransomwares devrait être une priorité absolue pour toute entreprise. Donc, protégez ces données en étant attentif à la sécurité, à la technologie, à la sauvegarde et aux meilleures pratiques pour les employés. Vos données seront ainsi sécurisées et vous pourrez assurer plus efficacement la continuité de vos activités, tout en limitant les risques liés aux ransomwares.