La sauvegarde des données, la mise à jour régulière des logiciels et l'utilisation d'une approche de sécurité « Zero Trust » sont autant de moyens d'empêcher les infections par rançongiciel de mettre un réseau hors service.
Cet article s'articule autour des points suivants :
Copier le lien de l'article
Le rançongiciel constitue une menace toujours plus grande, mais de bonnes pratiques de sécurité, comme des mises à jour régulières des logiciels, des sauvegardes fréquentes des données et une formation à la sécurité des courriels des utilisateurs, peuvent réduire les chances qu'elle affecte une organisation.
Un rançongiciel est un type de logiciel malveillant, ou malware, qui verrouille les fichiers et les données et demande une rançon. Pour ce faire, il chiffre les fichiers et les données, et l'attaquant conserve la clé de chiffrement. Les rançongiciels peuvent s'introduire dans un réseau de différentes manières : courriers électroniques malveillants, exploitation de vulnérabilités ou encore propagation d'autres infections par des logiciels malveillants.
Il n'existe pas de méthode infaillible à 100 % pour empêcher les rançongiciels de pénétrer dans un réseau, mais les mesures ci-dessous peuvent réduire considérablement le risque d'attaque.
Un moyen courant pour les rançongiciels de pénétrer et de se propager dans un réseau consiste à exploiter les vulnérabilités des logiciels obsolètes. Une « vulnérabilité » est une faille logicielle que quelqu'un peut utiliser à des fins malveillantes. Lorsque des vulnérabilités sont découvertes, les éditeurs de logiciels publient régulièrement des correctifs sous la forme de mises à jour. Ne pas mettre à jour régulièrement les systèmes d'exploitation et les applications, c'est comme laisser la porte d'entrée d'une maison non verrouillée et permettre aux cambrioleurs d'entrer directement.
Par exemple, en mai 2017, le rançongiciel WannaCry a utilisé de façon célèbre la vulnérabilité « EternalBlue » pour se propager sur plus de 200 000 ordinateurs, alors que Microsoft avait auparavant publié un correctif pour cette vulnérabilité.
Les attaques de rançongiciel exploitent également les vulnérabilités pour se propager au sein d'un réseau une fois qu'elles y sont déjà présentes. Par exemple, le rançongiciel Maze recherche les vulnérabilités à exploiter une fois qu'il est déjà sur un réseau, puis utilise ces vulnérabilités pour infecter autant de machines que possible.
Pour prévenir les rançongiciels, ainsi que de nombreux autres types d'attaques, mettez vos logiciels à jour aussi souvent que possible. Cela permettra de corriger les vulnérabilités et de verrouiller à nouveau la porte d'entrée afin que les criminels (ou les attaquants de rançongiciel) ne puissent pas entrer.
De nombreuses attaques de rançongiciel commencent par une campagne de phishing : ils obtiennent les informations d'identification de l'utilisateur (nom d'utilisateur et mot de passe), puis utilisent ces informations d'identification pour entrer et se déplacer dans un réseau. Dans d'autres cas, les attaquants de rançongiciel tentent d'utiliser des informations d'identification connues par défaut jusqu'à ce qu'ils trouvent un serveur ou un réseau qui utilise ces informations d'identification et obtiennent ainsi un accès. (Les attaques de type Maze ont utilisé cette technique).
L'authentification à deux facteurs (2FA) est une approche plus sûre de l'authentification des utilisateurs. Elle consiste à vérifier un facteur supplémentaire, tel qu'un jeton matériel que seul l'utilisateur authentique possède. Ainsi, même si un attaquant parvient à voler une combinaison de nom d'utilisateur et de mot de passe, il ne peut pas accéder au réseau.
Les attaques par rançongiciel utilisent diverses méthodes pour compromettre les appareils et les réseaux, mais le courrier électronique reste l'une des plus utilisées. De nombreuses attaques de rançongiciel commencent par une attaque de phishing, une attaque de spear phishing ou un cheval de Troie caché dans une pièce jointe malveillante.
La sécurité du courrier électronique comporte deux aspects essentiels :
La sécurité des points finaux est le processus de protection des appareils comme les ordinateurs portables, les ordinateurs de bureau, les tablettes et les smartphones contre les attaques. La sécurité des points finaux implique les éléments suivants :
En savoir plus sur endpoint security.
La sauvegarde régulière des fichiers et des données est une bonne pratique bien connue pour se préparer à une éventuelle attaque par rançongiciels. Dans de nombreux cas, une entreprise peut restaurer ses données à partir d'une sauvegarde au lieu de payer la rançon pour les déchiffrer ou de reconstruire toute son infrastructure informatique à partir de zéro.
Même si la sauvegarde des données n'empêche pas les rançongiciels, elle peut aider une organisation à se remettre plus rapidement d'une attaque par rançongiciels. Cependant, la sauvegarde peut également être infectée, à moins qu'elle ne soit séparée du reste du réseau.
De nombreuses organisations considèrent leurs réseaux comme un château entouré de douves. Les mesures défensives qui protègent le périmètre du réseau, comme les pare-feux et les systèmes de prévention des intrusions (IPS), empêchent les attaquants d'entrer, tout comme les douves empêchaient les envahisseurs de pénétrer dans un château au Moyen Âge.
Cependant, les organisations qui adoptent cette approche de sécurité château et douves sont très vulnérables aux attaques de rançongiciels. En effet, les attaquants parviennent régulièrement à percer la douve par diverses méthodes et, une fois à l'intérieur, ils ont pratiquement le champ libre pour infecter et chiffrer l'ensemble du réseau.
Une meilleure approche de la sécurité du réseau consiste à supposer qu'il existe des menaces à l'intérieur et à l'extérieur du « château ». Cette philosophie est appelée Zero Trust.
Les modèles de sécurité Zero Trust maintiennent des contrôles d'accès stricts et ne font confiance à aucune personne ou machine par défaut, même aux utilisateurs et aux appareils situés dans le périmètre du réseau. Comme Zero Trust surveille en permanence et réauthentifie régulièrement les utilisateurs et les appareils, il peut empêcher les infections par rançongiciel de se propager en révoquant l'accès au réseau et aux applications dès qu'une infection est détectée. Zero Trust suit également le principe du moindre privilège pour le contrôle d'accès, ce qui rend difficile pour les rançongiciels d'élever leurs privilèges et de prendre le contrôle d'un réseau.
Cloudflare One est une plateforme de réseau Zero Trust network-as-a-service (NaaS). Elle combine des services de sécurité et de mise en réseau pour connecter en toute sécurité des utilisateurs, des bureaux et des datacenters distants (un modèle connu sous le nom de SASE, ou secure access service edge).
Vous voulez en savoir plus sur les rançongiciels ? Plongez dans le sujet avec ces articles :
Service commercial
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité
Navigation dans le centre d’apprentissage