Nous suivre Industrie Techno

Cybersécurité : Les trois conseils techniques de l’Anssi pour se défendre contre un ransomware

Cybersécurité : Les trois conseils techniques de l’Anssi pour se défendre contre un ransomware

Face à la recrudescence des attaques par ransongiciels (ransomwares), l’Agence française de la cybersécurité publie son premier guide pour s’en prémunir et agir en cas d’attaques. Industrie & Technologies a sélectionné pour vous les trois mesures opérationnelles recommandées par l’agence quand on est victime d'une telle cyberattaque.

La tendance de 2019 s’est largement confirmée en 2020 : les cyberattaques par rançongiciels (ransomwares), ces logiciels malveillants chargés de chiffrer les données d’un organisme pour lui extorquer de l’argent, deviennent le fléau numéro un des cyberattaques en France. « Elles connaissent une augmentation sans précédent », et un niveau de sophistication de plus en plus élevé, affirme l’Agence de sécurité des systèmes d’information (Anssi), l’autorité de référence en matière de cybersécurité dans l’Hexagone dans son premier guide pour sensibiliser les entreprises et les collectivités, publié le 4 septembre avec la Direction des Affaires criminelles et des grâces (DACG) du ministère de la Justice.

Au total, l’agence a identifié près de 104 attaques de ce type cette année, soit deux fois plus que l’année précédente (54 attaques). Et encore, ces chiffres « ne s'appuie[nt] que sur les faits portés à la connaissance de l'Anssi et traités par elle », précise le document. Dans la seconde partie de ce document, l’Anssi fournit les clés de ce qu’il faut faire en cas d’attaque de ransomware. Pour étayer son propos, l’agence y fait intervenir les responsables de trois organisations françaises qui ont récemment été victimes d’une telle attaque : le groupe M6, le CHU de Rouen et Fleury Michon.

En plus des bonnes pratiques organisationnelles - déposer une main courante détaillée le plus rapidement possible puis porter plainte, déployer une cellule de crise et communiquer sur l’attaque, elle détaille surtout les mesures opérationnelles à prendre - témoignage des victimes à l’appui.

1. Eteindre ce qui peut l’être et conserver les données chiffrées

La première action à faire impérativement : « Déconnecter au plus tôt vos supports de sauvegardes après vous être assurés qu’ils ne sont pas infectés et isoler les équipements infectés du système d’information en les déconnectant du réseau » afin de neutraliser le lien entre l’attaquant et son logiciel.

Une fois les programmes malveillants identifiés, l’Anssi recommande de « rechercher dans les journaux du système d’information les éventuelles caractéristiques de ceux-ci (exemple : URL utilisées pour communiquer avec l’infrastructure de l’attaquant, nom de fichier, condensat, objet du courrier électronique, etc.) » car « ces éléments pourront être utilisés sur les passerelles applicatives ou sur les équipements de filtrage réseau pour éviter de nouvelles infections » – comme créer une nouvelle règle sur le pare-feu de la victime pour bloquer l’accès à une URL donnée.

« Malgré le chiffrement des données par le rançongiciel, il est possible qu’une solution de chiffrement soit découverte et rendue publique ultérieurement », poursuit le document. C’est pourquoi la victime devrait conserver les données chiffrées. « Le projet No More Ransom, d’Europol, du National High Tech Crime Unit de la police néerlandaise et de l’éditeur McAfee recense les moyens de déchiffrement applicables à un grand nombre de rançongiciels. »

« L’une des premières actions mises en oeuvre a été de couper les accès au réseau Internet et au réseau interne puis d’isoler tous les composants non impactés, à commencer par les sauvegardes, les bases de données ainsi que les baies de stockages », témoigne, Cédric Hamelin, responsable adjoint à la sécurité du système d’information du CHU de Rouen.

2. Ne pas payer la rançon

La rançon est souvent l’objet de nombreuses tribulations au sein de la communauté cyber. Sur ce point, le conseil de l’Anssi est sans appel : il ne faut jamais la payer.

L’agence avance trois raisons principales. Tout d’abord, son paiement ne garantit pas le déchiffrement de la part de l’attaquant. Ensuite, même si l’attaquant livre la clé de déchiffrement, celle-ci n’assure pas toujours le rétablissement de la totalité des fichiers. Enfin, et surtout, payer la rançon « n’empêchera pas votre n’empêchera pas votre entité d’être à nouveau la cible de cybercriminels ».

3. Restaurer les systèmes depuis des sources saines

Et quand il est temps de revenir à la vie normale ? Alors, « il est préférable de réinstaller le système sur un support connu et de restaurer les données depuis les sauvegardes effectuées, de préférence, antérieures à la date de compromission du système », détaille l’Anssi.

Pour restaurer ses données, il est primordial de suivre les règles suivantes :

  • La vulnérabilité initialement utilisée par l’attaquant doit être corrigée afin d’éviter une nouvelle infection (exemple : mise à jour logicielle, modification de la politique de filtrage réseau).
  • Si les recherches ont permis d’identifier le rançongiciel, vérifier l’absence des modifications réalisées par le programme malveillant afin de se maintenir après le redémarrage d’une machine précédemment infectée (exemple : valeurs de registre et fichiers malveillants).
  • Changer les mots de passe.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Dépistage, vaccin, meltblown… les articles les plus lus de la semaine

Dépistage, vaccin, meltblown… les articles les plus lus de la semaine

En cette journée de nouvelles mesures gouvernementales pour essayer de lutter contre la résurgence du virus, vous avez été[…]

11/09/2020 | SantéCybersécurité
Pour bien commencer la semaine, le point sur l’immunité face au Covid-19

Pour bien commencer la semaine, le point sur l’immunité face au Covid-19

Cybersécurité : un outil capable de détecter les vulnérabilités au cœur du code des robots industriels

Cybersécurité : un outil capable de détecter les vulnérabilités au cœur du code des robots industriels

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

Plus d'articles