Les rançongiciels se propagent. WannaCry il n’y a pas si longtemps avait immobilisé une bonne partie du système de santé britannique. Plus récemment, un grand centre hospitalier français a été touché par un nouveau Ransomware. Des institutions publiques au Québec également. Rien n’arrête l’appât du gain ou les enjeux socio-économiques, lorsque l’on sait que ces attaques sont parfois sciemment préparées et organisées. La menace est réelle et la probabilité élevée ; les infiltrations préparées de longue date et souvent silencieuses pendant des mois voire des années. Les groupes de pirates font généralement de l’ingénierie sociale pour mieux cibler l’entreprise qui sera leur victime.
Mais surtout, il ne s’agit pas d’une question purement TI mais de gouvernance saine d'entreprise. Il s’agit d’un point de gestion de risques d'entreprise qui doit être adressé en comité exécutif de direction, car le rançongiciel menace les opérations même de l’entreprise.
Comment savoir si vous êtes une cible :
Vous n’avez pas sensibilisé vos employés : vérifier la légitimité des courriels, ne pas cliquer sur des liens dans les courriels, ou des textos qui proviennent d’expéditeurs non dignes de confiance; ne pas communiquer la configuration des systèmes à l’extérieur de l’organisation.
Votre organisation télécharge ou travaille avec des logiciels gratuits;
Vous n’avez pas de protection antivirus sur vos navigateurs, vos postes de travail ou certains de vos serveurs;
Vous n’avez pas les dernières versions à jour des systèmes d’exploitation parce que certaines de vos applications ne supportent pas les dernières versions;
Vous n’avez pas de plan de continuité d’activité;
La perte de vos données vous causerait des dégâts significatifs au point que vous pourriez être tenté de payer si cela arrivait;
Vous n’auditez pas régulièrement la sécurité de vos systèmes;
Vous pensez que le problème est uniquement un problème informatique;
Le secteur public est le secteur le plus ciblé, car souvent celui où les infrastructures informatiques sont le plus obsolètes, mais il n’est pas le seul.
Comment prévenir le risque ?
· En effectuant des sauvegardes, vérifiez-en l’intégrité et conservez ces sauvegardes hors site pendant plusieurs années. Malheureusement certaines attaques sont « ancrées » de longue date et restent silencieuses pendant plusieurs années avant d’être activées. Disposer de sauvegardes « contaminées » ne vous aidera pas beaucoup. Ayez un plan de sauvegarde adapté à votre projet d’affaires.
· Ayez des systèmes d’exploitation à jour, on ne le répètera jamais assez. C’est le premier point d’entrée : l’utilisation d’une faille connue non « patchée ». Inquiétez-vous auprès de votre VP infrastructure des versions de vos systèmes. Les entreprises qui ont les systèmes les plus anciens sont les plus vulnérables.
· Ayez un antivirus à jour sur vos systèmes, là aussi c’est la base. Pourtant lors de nos audits, nous rencontrons encore beaucoup de systèmes qui n’en ont toujours pas. Les antivirus peuvent effectivement perturber le fonctionnement d’applications, mais il existe des solutions de contournement lorsque l’on veut bien se pencher sur le problème.
· Effectuez une analyse d’impact pour connaître quels seraient vos services les plus touchés. Plus généralement effectuez une analyse des risques et tranchez les risques acceptables et de ceux qui ne le sont pas. Qu’est-ce qui vous dérangerait le plus ? Une indisponibilité ou une perte de données ? Si c’est la perte de données, est-ce par ce qu’elles sont confidentielles ou parce qu’elles seraient difficiles à récupérer si vous n’aviez pas de sauvegarde ?
· Si vos données sont confidentielles, mettez en place un programme de gouvernance des données, pour connaître la meilleure façon d’en contrôler l’accès et arbitrer la nécessité de faire ou non du chiffrement.
· Identifiez vos risques liés aux tiers qui hébergent vos systèmes et vos données. Demandez-leur de vous prouver qu’ils sont sécurisés.
· Élaborez un plan de continuité d’activité prévu pour ce type de scénario, afin de disposer de procédures entièrement manuelles. Préparer votre plan de gestion de crise, lorsque tout va bien.
· Faites des exercices de simulation de crises en grandeur nature. Mobilisez vos équipes pendant 2 h, 24 h ou 48 h selon le temps dont vous disposez pour simuler un incident réel.
Comment faire si vous êtes atteints ?
Déconnecter immédiatement les systèmes pour contenir la propagation.
Changez vos mots de passe, en particulier les mots de passe administrateurs.
Avertissez immédiatement le CIO qui contactera les directions d’affaires concernées.
Activez le plan de gestion de crise si vous en avez un.
Dans la plupart des cas, il faudra remonter entièrement le système atteint à partir d’une sauvegarde saine.
Contactez les autorités (Centre anti-fraude du canada, ANSSI et commissariat de police en France..)
Cet incident, s’il n’est pas dévoilé par la presse, peut être soumis à déclaration obligatoire. Vérifiez auprès de votre juriste et préparez votre communication de crise.
Pradel Conseil peut vous assister dans votre gestion du risque. Contactez-nous.
Comments