La sauvegarde des données, la mise à jour régulière des logiciels et l'utilisation d'une approche de sécurité « Zero Trust » sont autant de moyens d'empêcher les infections par rançongiciel de mettre un réseau hors service.
Cet article s'articule autour des points suivants :
Contenu associé
Rançongiciel
Rançongiciel Ryuk
Rançongiciel Maze
Rançongiciel WannaCry
Sécurité des points de terminaison
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le rançongiciel constitue une menace toujours plus grande, mais de bonnes pratiques de sécurité, comme des mises à jour régulières des logiciels, des sauvegardes fréquentes des données et une formation à la sécurité des courriels des utilisateurs, peuvent réduire les chances qu'elle affecte une organisation.
Un rançongiciel est un type de logiciel malveillant, ou malware, qui verrouille les fichiers et les données et demande une rançon. Pour ce faire, il chiffre les fichiers et les données, et l'attaquant conserve la clé de chiffrement. Les rançongiciels peuvent s'introduire dans un réseau de différentes manières : courriers électroniques malveillants, exploitation de vulnérabilités ou encore propagation d'autres infections par des logiciels malveillants.
Il n'existe pas de méthode infaillible à 100 % pour empêcher les rançongiciels de pénétrer dans un réseau, mais les mesures ci-dessous peuvent réduire considérablement le risque d'attaque.
Un moyen courant pour les rançongiciels de pénétrer et de se propager dans un réseau consiste à exploiter les vulnérabilités des logiciels obsolètes. Une « vulnérabilité » est une faille logicielle que quelqu'un peut utiliser à des fins malveillantes. Lorsque des vulnérabilités sont découvertes, les éditeurs de logiciels publient régulièrement des correctifs sous la forme de mises à jour. Ne pas mettre à jour régulièrement les systèmes d'exploitation et les applications, c'est comme laisser la porte d'entrée d'une maison non verrouillée et permettre aux cambrioleurs d'entrer directement.
Par exemple, en mai 2017, le rançongiciel WannaCry a utilisé de façon célèbre la vulnérabilité « EternalBlue » pour se propager sur plus de 200 000 ordinateurs, alors que Microsoft avait auparavant publié un correctif pour cette vulnérabilité.
Les attaques de rançongiciel exploitent également les vulnérabilités pour se propager au sein d'un réseau une fois qu'elles y sont déjà présentes. Par exemple, le rançongiciel Maze recherche les vulnérabilités à exploiter une fois qu'il est déjà sur un réseau, puis utilise ces vulnérabilités pour infecter autant de machines que possible.
Pour prévenir les rançongiciels, ainsi que de nombreux autres types d'attaques, les entreprises peuvent mettre leurs logiciels à jour aussi souvent que possible. Cela permettra de corriger les vulnérabilités et de verrouiller à nouveau la porte d'entrée afin que les criminels (ou les attaquants par rançongiciel) ne puissent pas entrer.
De nombreuses attaques de rançongiciel commencent par une campagne de phishing : ils obtiennent les informations d'identification de l'utilisateur (nom d'utilisateur et mot de passe), puis utilisent ces informations d'identification pour entrer et se déplacer dans un réseau. Dans d'autres cas, les attaquants de rançongiciel tentent d'utiliser des informations d'identification connues par défaut jusqu'à ce qu'ils trouvent un serveur ou un réseau qui utilise ces informations d'identification et obtiennent ainsi un accès. (Les attaques de type Maze ont utilisé cette technique).
L'authentification à deux facteurs (2FA) est une approche plus sûre de l'authentification des utilisateurs. Elle consiste à vérifier un facteur supplémentaire, tel qu'un jeton matériel que seul l'utilisateur authentique possède. Ainsi, même si un attaquant parvient à voler une combinaison de nom d'utilisateur et de mot de passe, il ne peut pas accéder au réseau.
La sécurité du courrier électronique est un outil essentiel de prévention des rançongiciels. Les attaques par rançongiciel s'appuient sur diverses vecteurs pour compromettre les appareils et les réseaux, mais le courrier électronique reste l'une des plus utilisées. De nombreuses attaques de rançongiciel commencent par une attaque de phishing, une attaque de phishing ciblé ou un cheval de Troie caché dans une pièce jointe malveillante.
Recherchez des fournisseurs de solutions de sécurité pour le courrier électronique qui tiennent compte des aspects essentiels suivants :
La sécurité des point de terminaison constitue une autre mesure de prévention du rançongiciel. La sécurité des points de terminaison correspond au processus de mise en protection des appareils tels que les ordinateurs portables, les ordinateurs de bureau, les tablettes et les smartphones contre les attaques. La sécurité des points de terminaison implique les éléments suivants :
En savoir plus sur endpoint security.
La sauvegarde régulière des fichiers et des données est une bonne pratique bien connue pour se préparer à une éventuelle attaque d'entreprise par rançongiciel. Dans de nombreux cas, une entreprise peut restaurer ses données à partir d'une sauvegarde au lieu de payer la rançon pour les déchiffrer ou de reconstruire toute son infrastructure informatique à partir de zéro.
Même si la sauvegarde des données n'empêche pas les rançongiciels, elle peut aider une organisation à se remettre plus rapidement d'une attaque par rançongiciels. Cependant, la sauvegarde peut également être infectée, à moins qu'elle ne soit séparée du reste du réseau.
De nombreuses organisations considèrent leurs réseaux comme un château entouré de douves. Les mesures défensives qui protègent le périmètre du réseau, comme les pare-feux et les systèmes de prévention des intrusions (IPS), empêchent les attaquants d'entrer, tout comme les douves empêchaient les envahisseurs de pénétrer dans un château au Moyen Âge.
Cependant, les organisations qui adoptent cette approche de sécurité château et douves sont très vulnérables aux attaques de rançongiciels. En effet, les attaquants parviennent régulièrement à percer la douve par diverses méthodes et, une fois à l'intérieur, ils ont pratiquement le champ libre pour infecter et chiffrer l'ensemble du réseau.
Il peut plus judicieux d'envisager la sécurité du réseau en partant du principe qu'il existe des menaces à l'intérieur et à l'extérieur du « château ». Cette philosophie est appelée Zero Trust.
Les modèles de sécurité Zero Trust appliquent des contrôles d'accès stricts et ne font par défaut confiance à aucune personne ou machine, même aux utilisateurs et aux appareils situés dans le périmètre du réseau. La solution Zero Trust assurant une surveillance constante et des réauthentifications régulières des utilisateurs et les appareils, elle peut empêcher les attaques par rançongiciel de se propager en révoquant l'accès au réseau et aux applications dès qu'une infection est détectée. Zero Trust suit également le principe du moindre privilège pour le contrôle d'accès, il est ainsi difficile pour les rançongiciels d'élever leurs privilèges et de prendre le contrôle d'un réseau.
Cloudflare One est une plateforme de réseau en tant que service (NaaS) Zero Trust. Elle combine des services de sécurité et de mise en réseau pour connecter en toute sécurité des utilisateurs, des bureaux et des datacenters distants (un modèle connu sous le nom de SASE, ou secure access service edge).
Vous voulez en savoir plus sur les rançongiciels ? Plongez dans le sujet avec ces articles :