Comment prévenir les attaques par rançongiciel

Comment prévenir les attaques par rançongiciel

Le rançongiciel constitue une menace toujours plus grande, mais de bonnes pratiques de sécurité, comme des mises à jour régulières des logiciels, des sauvegardes fréquentes des données et une formation à la sécurité des courriels des utilisateurs, peuvent réduire les chances qu'elle affecte une organisation.

Un rançongiciel est un type de logiciel malveillant, ou malware, qui verrouille les fichiers et les données et demande une rançon. Pour ce faire, il chiffre les fichiers et les données, et l'attaquant conserve la clé de chiffrement. Les rançongiciels peuvent s'introduire dans un réseau de différentes manières : courriers électroniques malveillants, exploitation de vulnérabilités ou encore propagation d'autres infections par des logiciels malveillants.

Il n'existe pas de méthode infaillible à 100 % pour empêcher les rançongiciels de pénétrer dans un réseau, mais les mesures ci-dessous peuvent réduire considérablement le risque d'attaque.

Pratiques recommandées en matière de prévention des rançongiciels

Certes les attaques par rançongiciel soient omniprésentes, mais il existe des méthodes efficaces pour prévenir les attaques par rançongiciel et protéger les données sensibles. Voici six méthodes que les entreprises peuvent appliquer pour prévenir le rançongiciel.

1. Mettre à jour le logiciel régulièrement

Un moyen courant pour les rançongiciels de pénétrer et de se propager dans un réseau consiste à exploiter les vulnérabilités des logiciels obsolètes. Une « vulnérabilité » est une faille logicielle que quelqu'un peut utiliser à des fins malveillantes. Lorsque des vulnérabilités sont découvertes, les éditeurs de logiciels publient régulièrement des correctifs sous la forme de mises à jour. Ne pas mettre à jour régulièrement les systèmes d'exploitation et les applications, c'est comme laisser la porte d'entrée d'une maison non verrouillée et permettre aux cambrioleurs d'entrer directement.

Par exemple, en mai 2017, le rançongiciel WannaCry a utilisé de façon célèbre la vulnérabilité « EternalBlue » pour se propager sur plus de 200 000 ordinateurs, alors que Microsoft avait auparavant publié un correctif pour cette vulnérabilité.

Les attaques de rançongiciel exploitent également les vulnérabilités pour se propager au sein d'un réseau une fois qu'elles y sont déjà présentes. Par exemple, le rançongiciel Maze recherche les vulnérabilités à exploiter une fois qu'il est déjà sur un réseau, puis utilise ces vulnérabilités pour infecter autant de machines que possible.

Pour prévenir les rançongiciels, ainsi que de nombreux autres types d'attaques, les entreprises peuvent mettre leurs logiciels à jour aussi souvent que possible. Cela permettra de corriger les vulnérabilités et de verrouiller à nouveau la porte d'entrée afin que les criminels (ou les attaquants par rançongiciel) ne puissent pas entrer.

2. Utiliser l'authentification à deux facteurs (2FA)

De nombreuses attaques de rançongiciel commencent par une campagne de phishing : ils obtiennent les informations d'identification de l'utilisateur (nom d'utilisateur et mot de passe), puis utilisent ces informations d'identification pour entrer et se déplacer dans un réseau. Dans d'autres cas, les attaquants de rançongiciel tentent d'utiliser des informations d'identification connues par défaut jusqu'à ce qu'ils trouvent un serveur ou un réseau qui utilise ces informations d'identification et obtiennent ainsi un accès. (Les attaques de type Maze ont utilisé cette technique).

L'authentification à deux facteurs (2FA) est une approche plus sûre de l'authentification des utilisateurs. Elle consiste à vérifier un facteur supplémentaire, tel qu'un jeton matériel que seul l'utilisateur authentique possède. Ainsi, même si un attaquant parvient à voler une combinaison de nom d'utilisateur et de mot de passe, il ne peut pas accéder au réseau.

3. Sécuriser le courrier électronique interne

La sécurité du courrier électronique est un outil essentiel de prévention des rançongiciels. Les attaques par rançongiciel s'appuient sur diverses vecteurs pour compromettre les appareils et les réseaux, mais le courrier électronique reste l'une des plus utilisées. De nombreuses attaques de rançongiciel commencent par une attaque de phishing, une attaque de phishing ciblé ou un cheval de Troie caché dans une pièce jointe malveillante.

Recherchez des fournisseurs de solutions de sécurité pour le courrier électronique qui tiennent compte des aspects essentiels suivants :

• Recherche d'infrastructures d'acteurs malveillants et de campagnes de phishing « dans la nature », associée à des techniques de détection heuristique et reposant sur l'apprentissage automatique pour filtrer les e-mails et les pièces jointes provenant de sources non fiables.
• Système automatisé et géré de triage et de résolution du phishing.
• Protection contre l'ensemble des types de compromission des adresses e-mail professionnelles définis par Gartner.

4. Mettre en place la sécurité des points de terminaison

La sécurité des point de terminaison constitue une autre mesure de prévention du rançongiciel. La sécurité des points de terminaison correspond au processus de mise en protection des appareils tels que les ordinateurs portables, les ordinateurs de bureau, les tablettes et les smartphones contre les attaques. La sécurité des points de terminaison implique les éléments suivants :

• Les logiciels anti-malware peuvent détecter les rançongiciels sur les appareils, puis mettre en quarantaine les appareils infectés pour empêcher la propagation des malwares. En outre, certaines attaques de rançongiciel se propagent par le biais d'infections de logiciels malveillants préexistantes - par exemple, le rançongiciel Ryuk pénètre souvent dans les réseaux par le biais d'appareils déjà infectés par le logiciel malveillant TrickBot. Les anti-malwares peuvent aider à éliminer ces infections avant qu'elles ne conduisent à des rançongiciels. (Cependant, l'anti-malware n'est pas d'un grand secours une fois que le rançongiciel est activé et a déjà chiffré des fichiers et des données).
• Le contrôle des applications permet d'empêcher les utilisateurs d'installer des applications factices ou compromises par les attaquants, qui contiennent des rançongiciels.
• Le chiffrement des disques durs ne permet pas d'arrêter les rançongiciels, mais il constitue néanmoins un élément important de la sécurité des points finaux, car il empêche les parties non autorisées de voler des données.

En savoir plus sur endpoint security.

5. Sauvegarder les fichiers et les données

La sauvegarde régulière des fichiers et des données est une bonne pratique bien connue pour se préparer à une éventuelle attaque d'entreprise par rançongiciel. Dans de nombreux cas, une entreprise peut restaurer ses données à partir d'une sauvegarde au lieu de payer la rançon pour les déchiffrer ou de reconstruire toute son infrastructure informatique à partir de zéro.

Même si la sauvegarde des données n'empêche pas les rançongiciels, elle peut aider une organisation à se remettre plus rapidement d'une attaque par rançongiciels. Cependant, la sauvegarde peut également être infectée, à moins qu'elle ne soit séparée du reste du réseau.

6. Utiliser un modèle Zero Trust

De nombreuses organisations considèrent leurs réseaux comme un château entouré de douves. Les mesures défensives qui protègent le périmètre du réseau, comme les pare-feux et les systèmes de prévention des intrusions (IPS), empêchent les attaquants d'entrer, tout comme les douves empêchaient les envahisseurs de pénétrer dans un château au Moyen Âge.

Cependant, les organisations qui adoptent cette approche de sécurité château et douves sont très vulnérables aux attaques de rançongiciels. En effet, les attaquants parviennent régulièrement à percer la douve par diverses méthodes et, une fois à l'intérieur, ils ont pratiquement le champ libre pour infecter et chiffrer l'ensemble du réseau.

Il peut plus judicieux d'envisager la sécurité du réseau en partant du principe qu'il existe des menaces à l'intérieur et à l'extérieur du « château ». Cette philosophie est appelée Zero Trust.

Les modèles de sécurité Zero Trust appliquent des contrôles d'accès stricts et ne font par défaut confiance à aucune personne ou machine, même aux utilisateurs et aux appareils situés dans le périmètre du réseau. La solution Zero Trust assurant une surveillance constante et des réauthentifications régulières des utilisateurs et les appareils, elle peut empêcher les attaques par rançongiciel de se propager en révoquant l'accès au réseau et aux applications dès qu'une infection est détectée. Zero Trust suit également le principe du moindre privilège pour le contrôle d'accès, il est ainsi difficile pour les rançongiciels d'élever leurs privilèges et de prendre le contrôle d'un réseau.

Cloudflare One est une plateforme de réseau en tant que service (NaaS) Zero Trust. Elle combine des services de sécurité et de mise en réseau pour connecter en toute sécurité des utilisateurs, des bureaux et des datacenters distants (un modèle connu sous le nom de SASE, ou secure access service edge).

Vous voulez en savoir plus sur les rançongiciels ? Plongez dans le sujet avec ces articles :

• Qu’est-ce qu’un rançongiciel ?
• Qu'est-ce que le rançongiciel Maze ?
• Qu'est-ce que l'attaque par rançongiciel WannaCry ?
• Qu'est-ce que le rançongiciel Ryuk ?