Se prémunir contre les attaques ransomwares

A l’heure où les attaques Cyber se multiplient ; et ou le débat fait rage pour savoir le nombre d’entreprises Françaises qui ont payé la rançon ; 1 entreprise sur 5 (19%) a été victime d’une attaque Ransomware (source Cesin). Les vecteurs d’attaque sont principalement le phishing (80%) et l’exploitation des failles (52%). Les impacts concernent avant tout le vol de données (30%) et le déni de service (29%). Le coût d’une attaque et de la reconstruction du SI est évaluée en moyenne à 8,6 millions d’euros, dans le cas de Saint-Gobain par exemple, c’est 80 millions d’euros. Se prémunir en anticipant, c’est aussi réduire drastiquement cette facture. La question n’étant plus Cela va-t-il vous arriver mais plutôt à quel moment cela va-t-il vous arriver, il est indispensable de s’y préparer.

Comment s'en prémunir ?

S’en prémunir, c’est anticiper plutôt que de subir à posteriori. C’est s’y préparer plutôt que de payer la rançon. L’approche Synetis repose ainsi sur ces principes et sur un ensemble de moyens et de mesures de sécurité complémentaires. On ne peut privilégier ni le tout technique ni le tout fonctionnel mais une réponse équilibrée.
schema_Process_protection_ransomware

Prévenir

Un exercice de phishing permet de préparer les utilisateurs à adopter les bons réflexes. L’exercice peut être réalisé en amont ou en aval de la sensibilisation utilisateurs. En amont, il a le mérite de servir d’exemple pour les sessions de sensibilisation. En aval, il intervient plutôt en contrôle de la vérification que la session de sensibilisation a porté ses fruits.

Détécter

Les activités de détection s’organisent autour de l’acquisition d’une solution antivirale de dernière génération de type EDR (Endpoint Detection and Response) associée à une politique et procédure antivirale. Les bonnes pratiques de patch management doivent bien sûrs être conservées et les solutions déployées maintenues en conditions opérationnelles et à jour. L’Active Directory est un point clé en particulier pour lequel les comptes dormants doivent être identifiés et réduits/supprimés ainsi que les vulnérabilités patchées. La solution Alsid par exemple permet de s’en assurer.

Remédier

Malgré ces dispositifs, l’attaque Ransomware reste probable. Afin de remédier à l’attaque, il faut disposer d’une cartographie systèmes et réseaux à jour. Il faut aussi disposer de sauvegardes fiables et les avoir testés. Disposer d’une stratégie et d’une procédure de sauvegarde, tout comme l’avoir testé relève donc des bonnes pratiques incontournables. Remédier, c’est aussi se préparer à la crise. De nombreuses entreprises subissent encore les crises Cyber faute de préparation et d’anticipation. Pour ce faire, vous devez disposer d’un corpus documentaire composé d’une politique de gestion d’incident Cyber, d’escalade et de crise assortie d’une procédure et de fiches réflexes spécifiques aux scénarii. Dans notre cas présent, disposer d’une fiche réflexe selon le scénario Ransomware à mettre à disposition de la cellule de crise décisionnelle et opérationnelle. Celles-ci doivent bien évidemment être testées lors d’un exercice de crise à blanc.

Maintenir

Sans doute un peu moins prioritaire mais à considérer au fur et à mesure que l’entreprise a coché les exigences précédentes le plan de Continuité et de reprise d’activité (PCA-PRA) est à développer en commençant par l’interview du/des métier(s) afin de déterminer les exigences de continuité et de reprise au travers d’un BIA (Business Impact Analysis) qui vise à déterminer les RTO/RPO des applications.

Journaliser

Journaliser, c’est se donner la capacité de loguer l’attaque et de retrouver trace de l’attaquant à des fins de Forensic. Des solutions de gestion de logs et de surveillance de type SIEM assorties à une procédure de gestion de logs seront donc intégrées et développées.

Améliorer

Enfin, un pentest permettra de s’assurer que les dispositifs mis en œuvre répondent correctement au risque d’attaque et permettra d’identifier de nouvelles mesures de remédiation et d’amélioration.

Conclusion

A l’heure où les entreprises souscrivent de plus en plus à une assurance Cyber ; et ou celles-ci exigent certaines garanties suite à une évaluation de cybersécurité diligentée au travers d’un questionnaire ou d’une notation de type rating, il est plus que jamais primordial de renforcer sa cybersécurité et de se préparer à une attaque. Synetis, au travers de son offre PME-PMI, Ransomware MVP, est en mesure de vous accompagner dans cette démarche.

À propos de l’auteur :
Sylvain L, responsable de la Practice Conseil SSI (20 professionnels) et certifié CISM, accompagne depuis plus de vingt ans les PME et les grands comptes du CAC40 à la protection de la sécurité de l’Information.

  • Post published:1 juillet 2021
  • Post author:

SylvainL

Responsable de la Practice Conseil SSI (20 professionnels) et certifié CISM, accompagne depuis plus de vingt ans les PME et les grands comptes du CAC40 à la protection de la sécurité de l’Information.