Vos données ont été chiffrées

Un ransomware attaque votre entreprise : comment atténuer les conséquences.

Vous avez lu tous nos articles pour savoir comment protéger votre réseau de toutes les menaces qui existent dans le monde. Parfois, en dépit de toute les précautions prises, une infection arrive à se faufiler. C’est à ce moment-là que vous devez garder votre sang-froid et prendre rapidement des mesures décisives. Votre réponse vous permet de savoir si l’incident va être un véritable casse-tête pour l’entreprise ou si ce sera tout à votre honneur.

Lorsque vous avancez dans le processus de récupération, n’oubliez pas de rendre compte de chaque action pour garantir la transparence de l’opération, tant auprès de vos employés que des acteurs internationaux. Essayez de conserver toutes les preuves que vous trouvez du ransomware pour qu’il vous soit plus facile de localiser tout autre outil malveillant qui pourrait s’en prendre à votre système plus tard. Cela signifie que vous devez conserver les historiques et toutes traces du malware qui pourraient s’avérer utiles pendant l’enquête.

Première partie : localiser et isoler

Vous devez d’abord déterminer l’envergure de l’attaque. Le malware s’est-il répandu dans tout le réseau ? Affecte-t-il plusieurs installations ?

Commencez par rechercher les ordinateurs et les segments de réseau infectés au sein de l’infrastructure de votre entreprise, puis isolez-les immédiatement du reste du réseau pour limiter la contamination.

Si l’entreprise n’a pas beaucoup d’ordinateurs, commencez par l’historique de l’antivirus, de l’EDR et du pare-feu. D’autre part, si les exécutions sont très limitées, passez d’une machine à l’autre et vérifiez-les une par une.

S’il y a beaucoup d’ordinateurs, vous devez analyser les événements et l’historique du système de SIEM. Cette action n’élimine pas toutes les démarches à suivre mais c’est un bon début pour avoir une vision d’ensemble.

Après avoir isolé les terminaux infectés du réseau, créez des images disques et, si possible, laissez-les de côté jusqu’à ce que l’enquête soit finie. Si l’entreprise ne peut pas assumer les dépenses engendrées par l’arrêt des ordinateurs, faites tout de même des images et conservez le vidage de la mémoire pour l’enquête.

Deuxième partie : analyser et agir

Après avoir analysé le périmètre, vous avez désormais une liste des terminaux dont tous les fichiers du disque dur ont été chiffrés et des images des disques. Tous sont déconnectés du réseau et ne sont plus une menace. Vous pourriez lancer le processus de récupération mais il conviendrait d’abord de vérifier la sécurité du reste du réseau.

Il est temps d’analyser le ransomware, de découvrir comment il a pu entrer et de savoir quels groupes l’utilisent habituellement. En résumé, la chasse à la menace a commencé. Un ransomware n’apparaît pas par magie ; il est installé par un injecteur (dropper), un cheval de Troie d’accès à distance (RAT), un chargeur de cheval de Troie (Trojan loader) ou n’importe quel programme de ce genre. Vous devez mettre la main sur ce quelque chose.

Pour ce faire, réalisez une enquête en interne. Plongez-vous dans les historiques pour savoir quel ordinateur a été le premier touché et pourquoi il n’a pas arrêté l’attaque.

À partir des résultats obtenus, supprimez le malware insidieux et avancé puis, si possible, redémarrez les opérations de votre entreprise. Ensuite, demandez-vous comment vous auriez pu empêcher l’attaque : Qu’est-ce qui manquait en termes de logiciel de sécurité ? Corrigez les failles.

Alertez vos employés au sujet de ce qu’il vient de se passer, expliquez-leur comment détecter et éviter les pièges, et rassurez-les en leur disant qu’ils seront bientôt formés.

Enfin, d’ici là, installez les mises à jour et les correctifs en temps et en heure. La gestion des mises à jour et des patchs est une priorité absolue pour les administrateurs informatiques. Un malware arrive souvent à se faufiler grâce aux vulnérabilités pourtant corrigées par le développeur, mais dont le patch n’a pas été installé.

Troisième partie : nettoyer et restaurer

À cette étape, vous avez géré la menace qui se trouvait dans le réseau et vous avez bouché le trou par lequel elle était entrée. Vous devez désormais vous concentrer sur les ordinateurs qui sont hors service. S’ils ne sont plus nécessaires à l’enquête, formattez le disque dur et récupérez les données à partir de la sauvegarde seine la plus récente.

En revanche, si vous n’avez pas de sauvegarde, vous devez déchiffrer le contenu du disque dur. Commencez par consulter le site No Ransom de Kasperky puisqu’il pourrait y avoir un outil de déchiffrement pour le ransomware dont vous avez été victime. Si ce n’est pas le cas, contactez votre fournisseur de cybersécurité au cas où il pourrait vous aider. Dans tous les cas, ne supprimez pas les fichiers chiffrés. De nouveaux outils de déchiffrement apparaissent de temps à autre et il pourrait y en avoir un pour vous. Ce ne serait pas la première fois.

Peu importe les détails, une chose est évidente : ne payez pas. Vous financeriez l’activité criminelle et les chances d’obtenir vos données déchiffrées sont faibles. En plus de bloquer vos données, les cybercriminels à l’origine du ransomware les ont peut-être volées pour vous faire chanter. Enfin, si vous payez ces escrocs cupides, ils vont certainement en demander plus. Dans certains cas, quelques mois après avoir payé la rançon, les intrus sont revenus pour demander plus d’argent et ont menacé de tout publier si l’entreprise refusait.

En général, partez du principe que les données volées sont désormais publiques et préparez-vous à ce qu’elles soient divulguées. Vous devrez parler de l’incident tôt ou tard : avec vos employés, les actionnaires, les autorités et, très certainement, les journalistes. Il est important et apprécié que vous fassiez preuve de transparence et d’honnêteté.

Quatrième partie : prendre des mesures préventives

Un incident informatique important est toujours synonyme de beaucoup d’ennuis, et la prévention est le meilleur remède. Anticipez les éventuels problèmes :

  • Installez une protection de confiance sur tous les terminaux du réseau (y compris les smartphones).
  • Segmentez le réseau et équipez-le de pare-feu bien configurés. Encore mieux, utilisez un pare-feu de nouvelle génération ou un produit similaire qui reçoit automatiquement des renseignements sur les nouvelles menaces.
  • Voyez plus loin que les antivirus et choisissez des outils qui chassent les menaces.
  • Déployez un système de SIEM (pour les grandes entreprises) pour être immédiatement averti.
  • Formez vos employés en cybersécurité en proposant régulièrement des sessions interactives.
Conseils