Multiplication des attaques par rançongiciel : comment limiter les risques ?

Multiplication des attaques par rançongiciel : comment limiter les risques ?

Les attaques par rançongiciels sont de plus en plus nombreuses ces derniers mois, la Commission Nationale de l’Informatique et des Libertés (CNIL) rappelle quelques points de vigilance

Les attaques au moyen de « rançongiciels » se sont multipliées, elles ont notamment visé des collectivités locales et des entreprises, tous secteurs d’activité confondus, mais également des établissements de santé.

Afin de les accompagner au mieux dans leurs démarches d’amélioration de la sécurité, la CNIL partage ses recommandations qui s’appuient sur les bonnes pratiques présentées par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Qu’est-ce qu’un rançongiciel ?

Un rançongiciel (ransomware en anglais) est un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Les rançongiciels figurent au catalogue des outils auxquels ont recours les cybercriminels motivés par l’appât du gain. Lors d’une attaque par rançongiciel, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière réversible. En pratique, la plupart des rançongiciels chiffrent, par des mécanismes cryptographiques, les données de l’ordinateur ou du système, rendant leur consultation ou leur utilisation impossibles. L’attaquant adresse alors un message non chiffré à la victime où il lui propose, contre le paiement d’une rançon, de lui fournir le moyen de déchiffrer ses données.

Comment réagir en cas d’attaque par rançongiciel ?

Voici quelques réflexes à avoir en cas d’attaque de ce type :

  • éteindre l’ensemble des machines, notamment celles qui pourraient être touchées par l’attaque ;
  • prévenir immédiatement son service informatique ou prestataire informatique et le cas échéant son délégué à la protection des données ;
  • éviter de payer la rançon, car cela ne garantira pas que l’ensemble des données seront restituées et n’immunisera pas contre de nouvelles attaques ;
  • conserver les preuves (logs, copies physiques des postes ou serveurs touchés, fichiers chiffrés, etc.) ;
  • déposer une plainte auprès des services de police ou de gendarmerie (si vous ne connaissez pas l’auteur des faits, vous pouvez rédiger une pré-plainte en ligne) avant la réinstallation des systèmes touchés afin de conserver les preuves techniques ;
  • notifier la violation de données personnelles à la CNIL s’il y a un risque pour la vie privée des personnes, que l’incident soit d’origine accidentelle ou illicite (pour en savoir plus sur la violation de données personnelles et si vous devez la notifier à la CNIL consultez la fiche pratique du service protection des données).

Comment assurer la sécurité des données pour limiter les risques d’attaque par rançongiciel ?

Le responsable de traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté.

Les bonnes pratiques de la CNIL :

  • Disposer de sauvegardes « hors ligne » de données, à jour et testées, afin de permettre la restauration du système d’information depuis des sources saines, et conserver ces données dans un lieu différent, distant de l’environnement de production.
  • Segmenter le système d’information selon des zones présentant chacune un niveau de sécurité homogène. Plus précisément, la mise en place d’un filtre entre le poste de l’utilisateur et les serveurs de l’organisme peut limiter la diffusion de l’attaque.
  • Sensibiliser le personnel aux risques de sécurité et aux bonnes pratiques à suivre. En effet, la CNIL a constaté que ces attaques par rançongiciel résultaient très souvent du téléchargement d’un fichier malveillant reçu par hameçonnage, adressé sur une messagerie autre que celle de l’établissement, mais dont le message aurait été ouvert depuis un poste de travail interne à l’établissement.
  • Mettre à jour les principaux outils utilisés : système d’exploitation, antivirus, lecteur PDF, navigateur, etc. et, si possible, désactiver les macros des solutions de bureautique qui permettent d’e­ffectuer des tâches de manière automatisée. Cette règle permet d’éviter la propagation des rançongiciels via les vulnérabilités des applications.
  • Créer un compte « utilisateur », qui sera l’unique compte accessible une fois l’ordinateur configuré. Cette règle ralentira l’attaquant dans ses actions malveillantes et évitera la compromission de comptes « administrateur » aux privilèges étendus sur le système.
  • Mettre en œuvre un mécanisme de détection de l’altération massive des fichiers (en particulier par chiffrement) ou restreindre les programmes autorisés à être exécutés afin d’empêcher le chiffrement de serveurs de fichiers ou de bases de données par un rançongiciel.
  • Limiter les droits d’écriture sur les serveurs de fichiers afin de réduire le volume de données susceptibles d’être chiffrées par un rançongiciel.

Pour aller plus loin :

 



Aller au contenu principal