Stratégie anti-ransomware

Conseils pratiques pour les entreprises qui souhaitent se protéger des ransomwares.

Stratégie anti-ransomware

Les attaques par ransomware (également parfois appelés des rançongiciels) font rarement la une des journaux. Pourtant, ces logiciels malveillants prenant en otage des fichiers ou des ordinateurs font chaque jour de nouvelles victimes. Aujourd’hui plus que jamais, il est donc plus important que les entreprises se dotent d’une protection multi-niveaux efficace contre cette menace.

Fermez les points d’entrée des attaquants

La plupart des attaques par ransomware répondent à un schéma assez classique : soit un employé se laisse prendre au piège et ouvre la pièce jointe d’un courriel, soit les hackers réussissent à accéder à distance aux serveurs de l’entreprise (suite à des fuites de mots de passe, en cassant les informations d’identification ou en les achetant à des revendeurs d’accès initial). Il leur arrive aussi d’exploiter les vulnérabilités des logiciels côté serveur. La bonne nouvelle, dans ce cas, c’est que vous pouvez remédier à la plupart de ces problèmes grâce aux actions suivantes :

  • Former les employés à la sécurité de l’information et à l’hygiène numérique. Apprendre à distinguer un mail d’hameçonnage d’un courriel légitime et à sécuriser les mots de passe facilitera considérablement la tâche des départements d’infosec ;
  • Mettre en place une politique stricte en matière de mots de passe, en interdisant les mots de passe faibles et dupliqués et en exigeant l’utilisation d’un gestionnaire de mots de passe ;
  • N’utiliser les outils de connexion à distance (tels que les RDP) sur des appareils publics qu’en cas de nécessité absolue et, si besoin, en configurant l’accès à distance uniquement par un canal VPN sécurisé ;
  • Donner la priorité à l’installation des mises à jour sur tous les appareils connectés, avant même les correctifs pour les logiciels indispensables (systèmes d’exploitation, navigateurs, suites bureautiques, clients VPN, applications serveur) et les corrections des vulnérabilités qui permettent l’exécution de code à distance (RCE) et l’élévation de privilèges.

Formez votre équipe chargée de la sécurité informatique

Les outils et technologies de protection de votre équipe de sécurité informatique doivent être en mesure de faire face aux nouvelles menaces. En outre, les experts eux-mêmes sont tenus d’avoir accès à des informations actualisées concernant l’évolution des cybermenaces. Pour cela, nous vous conseillons de :

  • Utiliser des informations actualisées sur les cybermenaces, de manière à tenir vos experts au courant des dernières tactiques, techniques et procédures cybercriminelles ;
  • Mettre scrupuleusement à jour vos solutions de sécurité pour une protection complète contre les méthodes les plus couramment associées à la diffusion de ransomwares (chevaux de Troie d’accès à distance (RAT), exploitations des failles, usage d’un botnet) ;
  • Privilégier des outils qui non seulement détectent les logiciels malveillants, mais suivent également les activités suspectes dans l’infrastructure de l’entreprise, tels que les (Extended Detection and Response (EDR)) ;
  • Envisager, en cas de ressources internes limitées, d’engager des consultants professionnels extérieurs (ou d’utiliser des solutions de Managed Detection and Response (MDR) ) ;
  • Surveiller de près le trafic sortant pour détecter les connexions non autorisées provenant de l’extérieur de l’entreprise ;
  • Surveiller de près l’utilisation des langages scriptés et des outils de mouvement latéral dans le réseau de l’entreprise ;
  • Se tenir au courant de l’actualité des ransomwares et veiller à la mise à niveau constante de vos outils de protection.

Élaborez une stratégie en cas de réussite d’une attaque par ransomware.

Bien qu’il soit possible de s’appuyer sur des technologies pour détecter et contrer les ransomwares, il est toujours préférable d’avoir un plan en place au cas où elles échoueraient. Préparez-vous à différents scénarios. Par exemple, un infiltré malveillant, surtout s’il dispose de droits d’administrateur, peut désactiver votre système de sécurité. Il est important d’éviter d’être pris au dépourvu. Pour éviter les temps d’arrêt dus aux cyber-incidents :

  • Sauvegardez régulièrement vos données, surtout si elles sont essentielles pour l’entreprise ;
  • Assurez-vous d’y avoir accès rapidement en cas d’urgence.
Conseils