Comment empêcher les rançongiciels

La sauvegarde des données, la mise à jour régulière des logiciels et l'utilisation d'une approche de sécurité « Zero Trust » sont autant de moyens d'empêcher les infections par rançongiciel de mettre un réseau hors service.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Identifier les principales stratégies pour stopper les rançongiciels
  • Comprendre comment prévenir une éventuelle attaque par rançongiciel.
  • Expliquer les modèles de sécurité réseau les plus efficaces pour bloquer les infections par rançongiciel.

Copier le lien de l'article

Comment empêcher les rançongiciels

Le rançongiciel constitue une menace toujours plus grande, mais de bonnes pratiques de sécurité, comme des mises à jour régulières des logiciels, des sauvegardes fréquentes des données et une formation à la sécurité des courriels des utilisateurs, peuvent réduire les chances qu'elle affecte une organisation.

Un rançongiciel est un type de logiciel malveillant, ou malware, qui verrouille les fichiers et les données et demande une rançon. Pour ce faire, il chiffre les fichiers et les données, et l'attaquant conserve la clé de chiffrement. Les rançongiciels peuvent s'introduire dans un réseau de différentes manières : courriers électroniques malveillants, exploitation de vulnérabilités ou encore propagation d'autres infections par des logiciels malveillants.

Il n'existe pas de méthode infaillible à 100 % pour empêcher les rançongiciels de pénétrer dans un réseau, mais les mesures ci-dessous peuvent réduire considérablement le risque d'attaque.

Mettez régulièrement à jour les logiciels

Un moyen courant pour les rançongiciels de pénétrer et de se propager dans un réseau consiste à exploiter les vulnérabilités des logiciels obsolètes. Une « vulnérabilité » est une faille logicielle que quelqu'un peut utiliser à des fins malveillantes. Lorsque des vulnérabilités sont découvertes, les éditeurs de logiciels publient régulièrement des correctifs sous la forme de mises à jour. Ne pas mettre à jour régulièrement les systèmes d'exploitation et les applications, c'est comme laisser la porte d'entrée d'une maison non verrouillée et permettre aux cambrioleurs d'entrer directement.

Par exemple, en mai 2017, le rançongiciel WannaCry a utilisé de façon célèbre la vulnérabilité « EternalBlue » pour se propager sur plus de 200 000 ordinateurs, alors que Microsoft avait auparavant publié un correctif pour cette vulnérabilité.

Les attaques de rançongiciel exploitent également les vulnérabilités pour se propager au sein d'un réseau une fois qu'elles y sont déjà présentes. Par exemple, le rançongiciel Maze recherche les vulnérabilités à exploiter une fois qu'il est déjà sur un réseau, puis utilise ces vulnérabilités pour infecter autant de machines que possible.

Pour prévenir les rançongiciels, ainsi que de nombreux autres types d'attaques, mettez vos logiciels à jour aussi souvent que possible. Cela permettra de corriger les vulnérabilités et de verrouiller à nouveau la porte d'entrée afin que les criminels (ou les attaquants de rançongiciel) ne puissent pas entrer.

Utiliser l'authentification à deux facteurs (2FA)

De nombreuses attaques de rançongiciel commencent par une campagne de phishing : ils obtiennent les informations d'identification de l'utilisateur (nom d'utilisateur et mot de passe), puis utilisent ces informations d'identification pour entrer et se déplacer dans un réseau. Dans d'autres cas, les attaquants de rançongiciel tentent d'utiliser des informations d'identification connues par défaut jusqu'à ce qu'ils trouvent un serveur ou un réseau qui utilise ces informations d'identification et obtiennent ainsi un accès. (Les attaques de type Maze ont utilisé cette technique).

L'authentification à deux facteurs (2FA) est une approche plus sûre de l'authentification des utilisateurs. Elle consiste à vérifier un facteur supplémentaire, tel qu'un jeton matériel que seul l'utilisateur authentique possède. Ainsi, même si un attaquant parvient à voler une combinaison de nom d'utilisateur et de mot de passe, il ne peut pas accéder au réseau.

Assurer la sécurité du courrier électronique interne

Les attaques par rançongiciel utilisent diverses méthodes pour compromettre les appareils et les réseaux, mais le courrier électronique reste l'une des plus utilisées. De nombreuses attaques de rançongiciel commencent par une attaque de phishing, une attaque de spear phishing ou un cheval de Troie caché dans une pièce jointe malveillante.

La sécurité du courrier électronique comporte deux aspects essentiels :

  1. Filtrage des courriels et des pièces jointes provenant de sources non fiables.
  2. Former les utilisateurs pour qu'ils évitent de cliquer sur des liens et de télécharger ou d'ouvrir des pièces jointes provenant d'e-mails potentiellement dangereux.

Mettre en œuvre la sécurité des terminaux

La sécurité des points finaux est le processus de protection des appareils comme les ordinateurs portables, les ordinateurs de bureau, les tablettes et les smartphones contre les attaques. La sécurité des points finaux implique les éléments suivants :

  • Les logiciels anti-malware peuvent détecter les rançongiciels sur les appareils, puis mettre en quarantaine les appareils infectés pour empêcher la propagation des malwares. En outre, certaines attaques de rançongiciel se propagent par le biais d'infections de logiciels malveillants préexistantes - par exemple, le rançongiciel Ryuk pénètre souvent dans les réseaux par le biais d'appareils déjà infectés par le logiciel malveillant TrickBot. Les anti-malwares peuvent aider à éliminer ces infections avant qu'elles ne conduisent à des rançongiciels. (Cependant, l'anti-malware n'est pas d'un grand secours une fois que le rançongiciel est activé et a déjà chiffré des fichiers et des données).
  • Le contrôle des applications permet d'empêcher les utilisateurs d'installer des applications factices ou compromises par les attaquants, qui contiennent des rançongiciels.
  • Le chiffrement des disques durs ne permet pas d'arrêter les rançongiciels, mais il constitue néanmoins un élément important de la sécurité des points finaux, car il empêche les parties non autorisées de voler des données.

En savoir plus sur endpoint security.

Sauvegarde des fichiers et des données

La sauvegarde régulière des fichiers et des données est une bonne pratique bien connue pour se préparer à une éventuelle attaque par rançongiciels. Dans de nombreux cas, une entreprise peut restaurer ses données à partir d'une sauvegarde au lieu de payer la rançon pour les déchiffrer ou de reconstruire toute son infrastructure informatique à partir de zéro.

Même si la sauvegarde des données n'empêche pas les rançongiciels, elle peut aider une organisation à se remettre plus rapidement d'une attaque par rançongiciels. Cependant, la sauvegarde peut également être infectée, à moins qu'elle ne soit séparée du reste du réseau.

Utiliser un modèle Zero Trust

De nombreuses organisations considèrent leurs réseaux comme un château entouré de douves. Les mesures défensives qui protègent le périmètre du réseau, comme les pare-feux et les systèmes de prévention des intrusions (IPS), empêchent les attaquants d'entrer, tout comme les douves empêchaient les envahisseurs de pénétrer dans un château au Moyen Âge.

Cependant, les organisations qui adoptent cette approche de sécurité château et douves sont très vulnérables aux attaques de rançongiciels. En effet, les attaquants parviennent régulièrement à percer la douve par diverses méthodes et, une fois à l'intérieur, ils ont pratiquement le champ libre pour infecter et chiffrer l'ensemble du réseau.

Une meilleure approche de la sécurité du réseau consiste à supposer qu'il existe des menaces à l'intérieur et à l'extérieur du « château ». Cette philosophie est appelée Zero Trust.

Les modèles de sécurité Zero Trust maintiennent des contrôles d'accès stricts et ne font confiance à aucune personne ou machine par défaut, même aux utilisateurs et aux appareils situés dans le périmètre du réseau. Comme Zero Trust surveille en permanence et réauthentifie régulièrement les utilisateurs et les appareils, il peut empêcher les infections par rançongiciel de se propager en révoquant l'accès au réseau et aux applications dès qu'une infection est détectée. Zero Trust suit également le principe du moindre privilège pour le contrôle d'accès, ce qui rend difficile pour les rançongiciels d'élever leurs privilèges et de prendre le contrôle d'un réseau.

Cloudflare One est une plateforme de réseau Zero Trust network-as-a-service (NaaS). Elle combine des services de sécurité et de mise en réseau pour connecter en toute sécurité des utilisateurs, des bureaux et des datacenters distants (un modèle connu sous le nom de SASE, ou secure access service edge).

Vous voulez en savoir plus sur les rançongiciels ? Plongez dans le sujet avec ces articles :

Service commercial