Que faire pour que votre entreprise ne soit pas encore victime d’un ransomware ?

Que faire pour que votre entreprise ne soit pas encore victime d’un ransomware ?

Au cours des dernières années, les cybercriminels s’en sont pris aux petites entreprises, aux grandes usines, aux villes et même à certains pays en lançant des attaques de ransomwares. Ces attaques entraînent généralement de grosses pertes financières et nuisent à la réputation des victimes. C’est pourquoi certains s’efforcent énormément pour supprimer les conséquences. Mais n’oublions pas un autre point important : comment éviter que l’incident ne se reproduise ?

Pourquoi êtes-vous plus susceptible d’être encore victime d’un ransomware ?

Il était une fois, des auteurs de ransomwares qui avaient essayé d’attaquer des entreprises en envoyant des chevaux de Troie par spam. Les groupes modernes travaillent depuis longtemps sur le principe du Ransomware-as-a-Service (RaaS) :

ils fournissent un accès à l’infrastructure et le code du malware en échange d’un pourcentage du montant de la rançon. De façon générale, ce « business de chiffrement » se transforme rapidement en une industrie à part entière où chaque participant est spécialisé dans un domaine.  On trouve notamment des groupes criminels qui cherchent (ou créent) puis vendent des accès principaux aux réseaux des entreprises ; ce sont des courtiers d’accès initial.

Si certains médias ou forums de cybercriminels disent que votre entreprise a été victime d’un ransomware, cela va automatiquement attirer l’attention d’autres escrocs, surtout si vous avez accepté de payer la rançon. Cela signifie non seulement que votre infrastructure est vulnérable mais qu’en plus vous avez négocié avec les cybercriminels. Pour les escrocs actuels, cela montre qu’il serait intéressant de s’en prendre à nouveau à votre entreprise. Les résultats de l’étude « How business executives perceive ransomware threats » réalisée par nos collègues montrent qu’ils n’ont pas tort : 88 % des dirigeants d’entreprises victimes d’un ransomware disent être prêts à payer si l’attaque se répète.

Comment réduire les risques d’une nouvelle attaque de ransomware ?

Vous devriez vous poser cette question, à savoir comment éviter que cela ne se reproduise, lors de l’enquête et de l’élimination des conséquences. Vous devriez même commencer à y réfléchir lorsque vous vous demandez si vous allez payer la rançon. À court terme, le paiement de la rançon peut sembler être une solution viable pour résoudre le problème. Pourtant, vous devez prendre en compte plusieurs aspects avant de faire le virement :

  1. Le paiement de la rançon ne garantit pas que vos données sont en sécurité. Elles sont déjà entre de mauvaises mains.
  2. Même si les cybercriminels ne publient rien immédiatement, rien ne vous assure que les données n’ont pas été secrètement vendues ou utilisées par les cybercriminels pour perpétrer d’autres attaques.
  3. En payant les escrocs, vous financez leurs affaires et cela leur permet inévitablement d’étendre et d’augmenter les attaques.
  4. En acceptant de régler le montant, vous montrez ouvertement qu’on peut vous attaquer à nouveau.

C’est pourquoi nous vous conseillons fortement de ne pas payer. D’autre part, voici quelques conseils si vous ne voulez pas que votre entreprise soit encore victime d’un ransomware :

  • Déterminez exactement comment on vous a attaqué. Cela va vous permettre d’éviter que la même attaque ne se reproduise et va vous aider à établir les prochaines étapes. Si vous n’avez pas les ressources nécessaires pour mener cette enquête, faites appel à des experts tiers.
  • Après avoir vérifié qu’il n’y a plus d’intrus au sein de votre infrastructure, prenez le temps de contrôler les versions des systèmes critiques (système d’exploitation, outils d’accès à distance et solutions de sécurité), installez les mises à jour et envisagez d’en remplacer quelques-uns en choisissant des systèmes plus fiables.
  • Réalisez une analyse minutieuse de votre infrastructure à la recherche de vulnérabilités. Si une attaque a réussi, il est fort probable que les cybercriminels recherchent une autre méthode pour entrer.
  • Si des outils d’accès à distance et des mots de passe divulgués ont été utilisés lors de l’attaque, modifiez tous les mots de passe du système.
  • Vérifiez que tous les appareils professionnels connectés à Internet, y compris les serveurs et les smartphones, sont protégés par des solutions de sécurité fiables.