Ransomware WannaCry : 7 astuces pour éviter de se faire avoir
Le 12 mai 2017, la cyberattaque opérée via le ransomware WannaCry a pris une ampleur mondiale et fait plus de 200 000 victimes, dont un grand nombre d'entreprises. Qu'est-ce qu'un ransomware ? Comment éviter que ce type d'attaque ne frappe votre système d'information ? Éclairages.
WannaCry, Wanna Decrypt0r, WannaCrypt... Voici quelques uns des noms d'usage de ce logiciel malveillant ou ransomware (logiciel exigeant une rançon pour la restitution de vos données après leur chiffrement) dont l'attaque sans précédent de vendredi 12 mai 2017 a touché 150 pays et fait plus de 200 000 victimes.
En particulier pour les entreprises car, comme le précise le professeur David Stupples, expert en cybersécurité et cybercriminalité à la City, Université de Londres : "C'est là qu'il y a de l'argent. L'attaque est ciblée vers les grosses institutions, à l'instar de la NHS (National Health Service), agence de santé publique au Royaume-Uni car les criminels savent que les informations saisies sont vitales". De grandes entreprises françaises telles que Renault ont été contraintes de cesser leurs activités, de nombreux hôpitaux anglais ont été perturbés, tout comme le système bancaire russe ou bien encore FedEx. La contamination par ce "ver" s'est poursuivie lundi 15 mai, notamment en Chine, avec des centaines de milliers de machines touchées.
L'attaque a été possible grâce à l'exploitation d'une faille Windows. Les versions antérieures à Windows 10 - dont majoritairement des ordinateurs équipés du système Windows XP, encore très présent en entreprise - présentent des failles de sécurité. La propagation du "ver" a été fulgurante sur les postes équipés Windows XP, dont la firme américaine a annoncé depuis 2014 qu'il cesserait tout support et mises à jour. Le système d'exploitation est ainsi devenu obsolète et particulièrement vulnérable aux attaques pour ceux qui l'utilisent encore.
"En général, les ransomware sont contrés par des antivirus, la vigilance des usagers et la sensibilisation des équipes. Mais ce n'est pas toujours suffisant", indique Antoine Valette, directeur marketing chez Kroll Ontrack. Pour le professeur David Stupples, "le minimum vital n'a pas été fait du côté des entreprises et administrations. Le résultat est donc catastrophique".
Face à la propagation de cette menace, des précautions d'usage s'imposent. Voici sept bonnes pratiques.
1. Ne jamais payer la rançon
Premier constat : si les entreprises continuent de payer la rançon pour récupérer leurs données, les ransomware continueront de se propager. "De l'argent facile" pour Antoine Valette qui décrit l'existence d'un "marché du ransomware où l'on peut acheter le sien en ligne et le personnaliser. Leur usage s'est démocratisé. C'est une véritable industrie".
La société américaine Kroll Ontrack a identifié 225 souches potentielles de ransomware dont 80 peuvent être déchiffrés. Coût de la récupération pour un disque dur pour la filiale française de ce prestataire : 449 euros hors taxes par disque dur touché. Face à un coût de 300 dollars à payer en bitcoin (e-monnaie) par poste touché, certaines entreprises cèdent et payent la rançon au cybercriminel.
Une erreur à ne pas commettre car, comme le précise Antoine Valette, "ces entreprises n'ont aucune garantie de récupérer leurs données par la suite". Et peuvent y perdent plusieurs centaines voire plusieurs milliers d'euros.
2. Créer un plan de sauvegarde
Pour prévenir puis guérir, une seule solution : sauvegarder régulièrement vos données. "Pour les entreprises, la migration vers un nouveau système d'exploitation peut prendre du temps et doit donc être pensée quelques mois à l'avance pour être coordonnée comme il se doit", précise le professeur David Stupples (City, Université de Londres). Il ajoute que les données doivent être sauvegardées à la fois en ligne et hors ligne, sur des supports amovibles.
À ce sujet, Antoine Valette (Kroll Ontrack) met en garde : "Stockées sur des disques durs, les informations sensibles peuvent être emportées et copiées hors de l'entreprise". Il faut donc anticiper ces risques et prendre des mesures qui parfois, peuvent paraître paranoïaques mais s'avèrent dérisoires face à l'ampleur d'attaques qui peuvent détruire l'intégralité des informations conservées en un rien de temps.
3. Tester régulièrement les sauvegardes
Pour éliminer les doutes, et être certain qu'en cas de nécessité de restauration l'opération soit sûre, il faut régulièrement tester les sauvegardes et s'assurer qu'elles soient à jour.
4. Mettre en place une stratégie en cas d'attaque
Une fois l'attaque advenue, une procédure doit être envisagée de l'équipe technique vers les collaborateurs et vice-versa. Les salariés doivent informer l'équipe technique en premier lieu. Le réseau de l'entreprise doit être coupé en cas de soupçon, pour éviter la propagation. Un système d'alerte peut être mis en place.
Côté technique, l'accès au réseau et au système d'information peut être segmenté par service et par utilisateur afin de limiter les risques.
5. Sensibiliser et former ses équipes
"Chaque utilisateur connecté au réseau de l'entreprise doit être formé ou, au minimum, conscientisé", soutient le Professeur Stupples. Une attaque peut démarrer d'un acte banal comme l'ouverture d'un e-mail frauduleux, l'ouverture d'une pièce jointe ou d'un clic sur un mauvais lien. "Tout ceci peut être évité en habituant ses collaborateurs à la prudence via une courte réunion et grâce à une formation plus en détail pour les experts techniques", indique l'expert en cybersécurité.
Les nouvelles pratiques en entreprise ont accru les risques. Nombreux sont les collaborateurs qui ouvrent leurs comptes personnels (réseaux sociaux, boîte mail) en étant connectés au réseau de leur entreprise, voire sur leur propre poste. "Il suffit que les employés passent d'une fenêtre professionnelle à une autre - personnelle - depuis leur navigateur et cliquent sur un lien publicitaire ou sur un article masquant un fichier malveillant pour se retrouver contaminés", explique le professeur Stupples. Pour éviter cela, il préconise le BYOD, soit l'emploi de son ordinateur personnel ou de sa tablette pour la consultation des informations personnelles, en dehors du réseau de l'entreprise et aux moments de pause.
Parmi les méthodes criminelles qui ont fait leurs preuves en entreprise figure le social engineering. Les cybercriminels récoltent des informations sur le p-dg de la société et reproduisent des e-mails vraisemblables, envoyés "de sa part" aux collaborateurs. Par exemple, un courrier électronique transmis à la comptabilité, incitant au versement rapide d'une somme sur un compte lorsque le p-dg est en déplacement. Le tout a l'air si crédible que les services ne se posent pas de question. Ce genre de "hold-up numérique" risquant de s'intensifier, avertir les équipes de l'étendue des méthodes existantes peut permettre d'éviter de tomber dans le panneau.
A lire aussi
- Fraude au président : les PME aussi sont concernées !
- Comment se prémunir des escroqueries aux faux ordres de virement
6. Être prêt à lancer une restauration
Pour envisager la relance du système, il faut redémarrer le réseau de l'entreprise, être certain d'avoir au préalable repéré les données qui pourraient manquer et procéder à la restauration. Cette opération étant cruciale pour s'assurer du bon fonctionnement du système d'information, elle doit être planifiée en amont.
7. Avoir un système d'exploitation récent et à jour
L'injonction peut paraître commerciale, mais disposer d'un système d'exploitation récent et à jour, comprenant les derniers correctifs est un impératif en entreprise. Dans le cas de Windows XP, l'abandon du support par Windows aurait dû être le signal d'alarme de nombreuses PME pour opter pour une version plus récente ou, à défaut, changer de système d'exploitation.
Sur le même thème
Voir tous les articles Risques