Attaque mondiale par ransomware : la préparation est essentielle

Les entreprises sont en ébullition depuis vendredi soir, lorsque la nouvelle s'est répandue qu'une attaque par ransomware nommée WannaCry compromettait les organisations à un rythme alarmant. En moins de 48 heures, elle a compromis plus de 130 000 organisations dans plus de 150 pays à travers le monde. Les premiers rapports d'enquête suggèrent que ce malware particulier faisait partie des outils détenus par l'Agence nationale de sécurité (NSA) utilisés pour exploiter les vulnérabilités du système Windows qui ont été divulguées par WikiLeaks, pour lesquelles Microsoft avait publié un correctif il y a plus de deux mois. Les experts s'attendent à ce que d'autres attaques se produisent en raison d'infections résiduelles du système, de virus copiés ou de la publication de logiciels malveillants supplémentaires résultant des fuites de la NSA. La récente attaque aurait pu être évitée grâce à une mise à jour que Microsoft avait précédemment mise à la disposition des utilisateurs de Windows.

Malgré les avertissements et les rappels de mise à jour, les entreprises négligent souvent d'installer les mises à jour disponibles nécessaires pour protéger leurs systèmes et leurs données contre les nouvelles menaces. Les pirates informatiques le savent et ont donc lancé la première d'une série d'attaques qui devraient être nombreuses, à partir des outils désormais rendus publics de la NSA. Cet événement récent rappelle une fois de plus l'importance cruciale de mettre à jour les logiciels et les systèmes de sécurité en temps opportun. Compte tenu de la gravité de ce piratage, Microsoft a également publié des correctifs d'urgence pour les anciennes versions de Windows qui ne sont plus prises en charge. Il est essentiel que toutes les organisations utilisant Windows s'assurent que tous les correctifs applicables ont été installés. Le correctif d'origine et les correctifs d'urgence sont disponibles à l'adresse suivante : http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.

De nombreux serveurs et postes de travail Windows restent vulnérables et les entreprises doivent continuer à appliquer les derniers correctifs de sécurité. Cependant, d'autres compromissions sont à prévoir avec le début de la semaine de travail.

Les ransomwares restent une menace légitime et viable

Même si certains experts en sécurité avaient prédit que les attaques par ransomware allaient diminuer cette année, cela n'est pas le cas et la fuite de la NSA suggère que d'autres attaques sont à prévoir. Les entités telles que les multinationales, les hôpitaux ou les entreprises énergétiques constituent des cibles attrayantes pour les ransomwares en raison de leur capacité à infecter plusieurs ordinateurs sur un même réseau et à crypter des données précieuses. De plus, la mise à jour des logiciels système et des programmes de sécurité peut s'avérer plus complexe et coûteuse pour ces entités en raison de leur taille, ce qui les expose à des attaques importantes basées sur la vulnérabilité de leurs systèmes.

Les ransomwares sont des logiciels malveillants qui infiltrent les systèmes informatiques ou les réseaux et cryptent les données jusqu'à ce que la victime paie une rançon, souvent exigée en bitcoins intraçables. En 2016, le montant moyen des rançons exigées est passé de 294 à 1 077 dollars.^{1 La plupart} des ransomwares se propagent généralement lorsqu'un utilisateur clique sur une pièce jointe malveillante dans un e-mail ou sur un lien hypertexte. Deux des menaces de ransomware les plus importantes en 2016 (« Locky » et « Cerber ») se sont propagées via des campagnes d'e-mails massives. Cependant, dans cette dernière attaque, le ransomware a mieux réussi grâce à l'auto-propagation, c'est-à-dire en s'introduisant dans les entreprises et en recherchant et infectant automatiquement d'autres machines vulnérables.

Mesures préventives pour atténuer le risque d'une attaque par ransomware

Les entreprises négligent souvent le risque lié aux ransomwares jusqu'à ce qu'elles soient victimes d'une attaque. Cependant, en adoptant une stratégie proactive plutôt que réactive et en investissant dans quelques mesures défensives clés, les entreprises peuvent réduire considérablement la menace des ransomwares. Une attaque de cette ampleur devrait servir de signal d'alarme aux entreprises quant à l'importance d'utiliser des logiciels pris en charge et de les maintenir à jour. Il est essentiel de rester à jour dans l'application des correctifs, en particulier pour les produits Microsoft, compte tenu de leur déploiement généralisé dans les entreprises. Il est particulièrement important d'appliquer tous les correctifs liés aux vulnérabilités connues. Les organisations qui avaient appliqué les correctifs critiques de Microsoft Windows en mars n'étaient pas vulnérables à WannaCry. Cependant, les fuites de la NSA ont révélé un nombre alarmant d'autres vulnérabilités dans les produits Microsoft et d'autres produits. Plusieurs d'entre elles, comme WannaCry, ont été divulguées par des pirates informatiques, augmentant ainsi le risque que ces vulnérabilités soient exploitées, tout comme WannaCry.

Outre une bonne « cyberhygiène », qui comprend les correctifs et les mises à jour du système, la formation et la sensibilisation des employés aux attaques de phishing devraient être obligatoires, car les ransomwares arrivent souvent par le biais d'une campagne de phishing. Pour compléter cette formation, nous avons élaboré un document destiné à aider le personnel à intérioriser les bonnes pratiques en matière de sécurité, tant au travail qu'à la maison : une liste de contrôle individuelle pour la sécurité de l'information.

La création proactive de copies multiples, sécurisées et physiquement séparées de tous les serveurs, applications et données est l'une des mesures préventives les plus efficaces qui s'avéreront vitales en cas d'attaque. Les données doivent être régulièrement sauvegardées et sécurisées afin que les sauvegardes ne soient pas connectées aux ordinateurs et aux réseaux qu'elles prennent en charge.

Pour les entreprises qui ne disposent pas encore d'un plan d'intervention en cas d'incident qui a été vérifié, testé et déployé, le moment est venu d'en tester et d'en déployer un.

Réagir à une attaque par ransomware

Bien qu'il existe un certain nombre de mesures préventives qu'une entreprise peut prendre pour atténuer le risque d'une attaque par ransomware, il n'existe pas de sécurité parfaite ou inviolable. Tout type d'entreprise, qu'elle soit basée aux États-Unis ou à l'étranger, est exposée à ce risque et potentiellement vulnérable à une attaque. Aucune entreprise n'est totalement à l'abri. Si une organisation se trouve dans la situation malheureuse d'être confrontée à une attaque par ransomware, il existe un certain nombre de bonnes pratiques et de mesures d'intervention qui peuvent et doivent être mises en œuvre rapidement. Les mesures prises dans les premières minutes et les premières heures suivant l'attaque sont essentielles et peuvent réduire considérablement l'impact global sur l'organisation, ainsi que sa capacité à récupérer ses systèmes et ses données.

——————————————–

¹ RAPPORT SUR LES MENACES À LA SÉCURITÉ INTERNET 2017, vol. 22 (2017), disponible en téléchargement à l'adressehttps://www.symantec.com/security-center/threat-report