Il est très important de mettre en place des réflexes, des mécanismes, des outils pour se prémunir des ransomwares. Le préjudice va bien au-delà de la perte des données ou du paiement d’une rançon puisque les organisations victimes doivent faire face à de nombreuses autres conséquences : arrêt de la production, chute du chiffre d’affaires, risques juridiques (par exemple liés au RGPD dans le cas où des données personnelles ne sont plus accessibles), altération de la réputation, perte de confiance des clients, etc.

Voici quelques conseils pratico-pratiques pour réduire les risques :

  • Sauvegardez vos données avec la règle du 3-2-1 (au moins 3 copies des données, sur au moins 2 supports différents, dont 1 hors site)
  • Vérifiez soigneusement les documents joints: affichez les extensions des fichiers, n’ouvrez pas de fichier exécutable sans antivirus actif et évitez au maximum d’ouvrir les PJ
  • Saine paranoïa : partez du principe que toute source inconnue peut vouloir vous pirater, n’ouvrez pas de PJ avant de vous être assuré que l’émetteur est fiable
  • Vérifier les en-têtes de mail, les liens URL
  • Maintenez vos systèmes à jour, notamment les outils de sécurité (antivirus)
  • Utilisez un antivirus réputé (BitDefender, Kaspersky, Norton360, ESET… )
  • Potentiellement souscrivez à une assurance cyber (assistance juridique et couverture financière)
  • Ne branchez pas d’appareils privés sur le réseau de l’entreprise
  • Ne jamais brancher de clé USB dont on ne connait pas la provenance / le contenu (comme par exemple la clé usb trouvée à la machine à café dont on regarde le contenu pour savoir à qui elle appartient)
  • Utilisez des mots de passes forts
  • Ne renseignez pas de données d’authentification sur des sites en HTTP
  • Sensibilisez vos collaborateurs avec des outils « officiels » de phishing (Lucy Security, MailinBlack Coach, etc.)

Et surtout en cas de doute, ne transférez pas le mail suspect !

Pour les plus « chevronnés » d’entre vous, voici quelques astuces complémentaires :

  • Cloisonnez les machines sur le réseau, en particulier les machines administrateur
  • Limitez les droits admin au maximum
  • Mettez des règles pour naviguer sur internet
  • Ne travaillez pas avec une machine admin (=pas d’exécution de ransomware)
  • Vérifiez les clés USB et autres périphériques sur des stations blanches (isolées du réseau)
  • Utilisez l’authentification par certificat ou par clé lorsque c’est possible (sites web, serveurs).

 

S’il est trop tard…

 

Oh Man Reaction GIF by Bounce

  • Isolez les machines infectées et coupez internet !
  • Récupérez des preuves de l’attaque (copie physique de la machine)
  • Trouvez conseil et assistance technique auprès de l’ANSSI, la CNIL ou d’entreprises de Forensic
  • Communiquez au juste niveau
  • Déposez plainte auprès des services spécialisés (police et gendarmerie nationale)
  • Restaurez les systèmes depuis des sources saines.

 

Article proposé par Arnaud Worobel (Directeur Systèmes d’Information et Sécurité – YES) et Benoît Palisse (Alternant en cybersécurité – YES)