Un ransomware est un programme malveillant qui chiffre les fichiers pour empêcher les utilisateurs d’accéder aux systèmes informatiques ou de les utiliser. Généralement accompagnée d’une demande de rançon, une attaque par ransomware paralyse les ordinateurs, les serveurs et les fichiers infectés. Les attaques sont courantes : le rapport de Veeam sur les tendances des ransomwares dans le monde en 2023 a révélé qu’au cours des 12 mois précédents, 85 % des entreprises ont subi au moins une cyberattaque. Alors que 80 % des entreprises ont payé la rançon, seules 75 % ont retrouvé l’accès à leurs données et n’ont récupéré en moyenne que 66 % d’entre elles. Dans 75 % des cas, les hackers avaient ciblé spécifiquement les cibles de sauvegarde.
De leur côté, 16 % des entreprises attaquées ont restauré leurs données sans payer la rançon. Ces entreprises disposaient de sauvegardes saines, inaltérables et fiables ainsi que d’une stratégie de réponse intégrée aux ransomwares qui ont fonctionné comme prévu. Ce qu’il faut retenir, c’est qu’il est possible de restaurer après une attaque par ransomware si vous disposez d’un plan solide pour gérer les attaques par ransomware.
Composants clés d’un plan d’intervention pour contrer les ransomwares
Étant donné que les attaques sont si fréquentes, il est essentiel de savoir comment restaurer rapidement après une attaque par ransomware. Votre plan de restauration anti-ransomware doit inclure des systèmes renforcés, des mesures de prévention rigoureuses, des mesures de détection et de réponse aux ransomwares, des mesures de récupération et de restauration, ainsi que des plans visant à informer les autorités compétentes et les parties concernées. Effectuez toujours une analyse a posteriori pour prévenir de futures attaques.
Étape 1 : Mesures préventives
Vous pouvez prendre plusieurs mesures pour prévenir et limiter les attaques de ransomware. Il s’agit notamment de la formation des collaborateurs, de l’évaluation des risques, du renforcement des solutions matérielles et logicielles, de la segmentation du réseau et de la sauvegarde sécurisée des données :
Sensibilisez vos collaborateurs : vos employés sont votre première ligne de défense contre les attaques de logiciels malveillants. Vous devez donc les former à reconnaître les attaques et les éduquer sur les menaces de ransomware et sur la façon de détecter les signes de compromission des systèmes.
Effectuer des évaluations des risques : faites appel à des équipes d’experts pour effectuer des évaluations des risques et identifier les points faibles de votre défense contre les logiciels malveillants et les ransomwares.
Renforcez les paramètres des ports et des terminaux : désactivez les ports RDP inutilisés et limitez les ports RDP et autres ports de protocole d’accès à distance aux hôtes de confiance. De même, renforcez les terminaux grâce à des paramètres de configuration sécurisés.
Segmentez les réseaux et appliquez des contrôles d’accès : segmentez les réseaux à l’aide de VPN et d’outils matériels. Séparez les parties du réseau orientées vers le client des parties internes du réseau. Adoptez le principe de confiance zéro lors de l’octroi de l’accès.
Implémentez toutes les mises à jour et tous les correctifs logiciels : limitez les risques d’intrusion en mettant en place méticuleusement des mises à jour et des correctifs de sécurité.
Adoptez des stratégies de sauvegarde sécurisée et de redondance des données : planifiez soigneusement votre stratégie de sauvegarde, car elle représente votre dernière ligne de défense. Sauvegardez fréquemment pour disposer de copies inaltérables qui ne peuvent pas être modifiées. Conservez au moins un jeu de sauvegardes entièrement déconnecté. Vérifiez régulièrement l’intégrité de vos sauvegardes.
Étape 2 : Détection et réponse
Il est crucial de réagir rapidement à tout incident causé par un ransomware. Avec les outils de supervision appropriés, il est souvent possible de perturber une attaque alors qu’elle est en cours. Pour ce faire, vous devez disposer d’une assistance 24/7 et d’outils de détection des ransomwares en ligne. De cette façon, vous atténuez les dommages et pouvez nettoyer vos systèmes plus rapidement, comme suit :
Déterminez les systèmes impactés : déterminez quels systèmes sont affectés et isolez-les immédiatement du reste du réseau. Si l’attaque a impacté plusieurs systèmes et qu’il n’est pas possible d’en vérifier l’ampleur dans un premier temps, mettez le réseau hors ligne. Si vous ne pouvez pas facilement mettre les systèmes hors ligne, limitez l’étendue de l’infection en débranchant les câbles Ethernet et en désactivant le Wi-Fi.
Mettez hors tension l’équipement : s’il n’est pas possible de déconnecter les appareils du réseau, éteignez l’équipement concerné. Notez que cette étape peut supprimer les preuves contenues dans la mémoire volatile.
Triage des systèmes affectés : identifiez les systèmes critiques pour l’organisation et répertoriez-les par ordre d’importance en fonction des priorités de l’organisation.
Examinez les logs : examinez les journaux système pour identifier les signes avant-coureurs tels que les logiciels malveillants injecteurs, les attaques antérieures et les réseaux compromis.
Déterminer ce qui s’est passé : établissez la séquence des événements qui ont mené à l’attaque et la manière dont l’acteur a réussi à pénétrer dans votre réseau.
Identifiez la menace : identifiez le ransomware, sa variante et tout autre logiciel malveillant présent sur le système.
Étape 3 : Communication et rapports
Signalez l’incident et communiquez de manière transparente ce qui s’est passé aux parties concernées. Des communications rapides aideront à atténuer les conséquences à long terme telles que la perte de crédibilité et les dommages-intérêts punitifs. Les mesures à prendre sont les suivantes :
Communiquez en interne : informez immédiatement tous les employés et les fonctions concernés et informez-les des mesures prises pour contenir l’incident. Publiez des mises à jour régulières.
Informez les autorités compétentes : signalez l’incident aux forces de l’ordre locales ou nationales, conformément aux réglementations locales. Assurez-vous de respecter toutes les obligations légales concernant les réglementations spécifiques en matière de confidentialité et de protection des données.
Communiquez à l’extérieur : informez les clients et les partenaires commerciaux de l’incident et divulguez les informations appropriées concernant l’étendue des dommages. Notez qu’il est courant que les criminels menacent de divulguer des informations confidentielles pour contraindre les victimes à payer la rançon.
Faites preuve de transparence : S’il est naturel pour les entreprises de vouloir dissimuler des informations préjudiciables, les informations sur les cyberattaques se répandent inévitablement. La transparence minimise les atteintes à la réputation, aide les enquêteurs et offre aux parties concernées la possibilité de prendre des mesures pour protéger les données sensibles.
Étape 4 : Stratégies d’endiguement
Avant de prendre des mesures pour éradiquer les ransomwares de votre système, capturez les images système et le contenu de la mémoire volatile de tous les appareils infectés. Ces informations sont utiles lors des investigations forensiques pour déterminer ce qui s’est passé et comment vos systèmes ont été compromis. Il est vital de préserver les informations volatiles stockées dans la mémoire système, les journaux de sécurité et les tampons de journaux de pare-feu.
Consultez les autorités fédérales, le Multi-State Information Sharing and Analysis Center (MS-ISAC, Centre américain d’analyses et de partage des informations inter-états) et votre fournisseur de sécurité pour déterminer si les chercheurs ont développé des outils de déchiffrement ou identifié des failles de chiffrement que vous pouvez utiliser pour déchiffrer vos données. Ces ressources peuvent également fournir des informations complémentaires sur les étapes à suivre pour identifier les systèmes touchés et désactiver les fichiers binaires des ransomware. Les autres étapes comprennent :
Identification des systèmes impliqués
Désactivation des VPN, des terminaux basés sur le cloud et publics
Désactivation du chiffrement des données côté serveur
Identification des mécanismes de persistance internes et externes
Étape 5 : Stratégies d’éradication
L’objectif principal de votre stratégie d’éradication est l’élimination de toute trace de ransomware et de logiciel malveillant de vos systèmes (distinct des données). Bien qu’il soit parfois possible d’assainir vos systèmes, il est généralement plus simple et beaucoup plus sûr de les effacer et de les reconstruire à partir de zéro à l’aide de modèles et d’images propres. Les étapes sont les suivantes :
Effacer ou assainir tous les systèmes infectés
Reconstruire les systèmes de l’entreprise, en commençant par les systèmes critiques
Réinitialiser tous les mots de passe
Traiter et bloquer les vulnérabilités, les sites Web et les logiciels malveillants identifiés
Émettre une déclaration de l’autorité informatique désignée pour confirmer que l’incident est terminé une fois que vous avez éradiqué toute trace du ransomware et reconstruit les systèmes
Étape 6 : Récupération et restauration
À ce stade, vous pouvez maintenant restaurer vos données et vous remettre au travail. C’est aussi à ce moment-là que vous bénéficierez de la clairvoyance qui vous a conduit à utiliser des solutions innovantes pour restaurer rapidement après des attaques par ransomware. Veeam propose plusieurs solutions, notamment le réplica de sauvegarde pour créer une machine virtuelle que vous pouvez mettre en route rapidement. Les étapes de la récupération et de la restauration sont les suivantes :
Utilisez des sauvegardes sécurisées pour restaurer les systèmes
Assurez-vous que vos sauvegardes sont saines, afin de ne pas réinfecter vos systèmes sains pendant la restauration
Mettez en œuvre les leçons tirées de l’attaque pour renforcer les mesures de sécurité
Déployez des solutions de supervision continue des ransomwares
Effectuez une évaluation post-incident
Meilleures pratiques de réponse aux incidents liés aux ransomwares
L’incidence des attaques par ransomware est telle que vous devez les mettre dans la même catégorie que les autres plans de gestion de la continuité de l’activité. Il s’agit notamment de stratégies de gestion des incidents majeurs, des catastrophes naturelles et de reprise après incident.
Le point de départ d’un plan de réponse aux incidents liés aux ransomwares est un plan de restauration soigneusement élaboré et documenté. Habituellement, ce plan comprend tous les intervenants, un énoncé clair des objectifs de restauration et des stratégies de communication. Il identifie les parties responsables et définit clairement les actions à entreprendre en cas d’attaque par ransomware.
Les points à prendre en compte sont les suivants :
Équipe d’intervention : Identifiez tous les membres de l’équipe d’intervention, leurs responsabilités et leurs fonctions. Désignez un responsable chargé de coordonner les activités.
Inventaire: Dressez une liste complète de tous les actifs physiques et cloud et des logiciels, ainsi que des schémas de leur interconnexion, y compris leurs fonctionnalités spéciales telles que les VPN, les clouds privés virtuels, les WAN et les API.
Fonctions critiques : Répertoriez et classez les fonctions métier stratégiques, les applications, les jeux de données et les sauvegardes.
Liste des personnes à contacter en cas d’urgence : Incluez tous les collaborateurs, prestataires, fournisseurs et clients susceptibles d’être touchés par un ransomware.
Formation: Formez les membres de l’équipe à leurs rôles et responsabilités et simulez un incident à l’aide d’un Kit de prévention des ransomwares pour vous assurer que chacun d’entre eux connaît et se sent à l’aise dans son rôle.
Plan d’action anti-ransomware : Préparez un plan d’action détaillé de réponse au ransomware.
Leçons apprises : Documentez les leçons apprises lors des simulations d’entraînement et des attaques réelles.
Formaliser et adopter ces meilleures pratiques de protection contre les ransomwares permettra à votre entreprise de réagir rapidement et efficacement en cas d’attaque et de s’assurer des sauvegardes saines pour restaurer et reconnecter les services.
Lancez-vous avec Veeam
S’il est toujours possible de recréer des structures IT, une entreprise ne peut survivre à une attaque par ransomware si elle n’a pas accès à des données saines. La solution de sauvegarde en ligne de Veeam résout ce problème. Veeam propose une solution unique qui vous donne un contrôle total de votre restauration grâce à l’inaltérabilité multicouche, à une supervision et à une automatisation complètes. Veeam fonctionne avec des solutions courantes dans le cloud ainsi qu’avec des solutions sur site pour Windows, Linux et Mac.
Appelez notre service commercial pour en savoir plus sur nos solutions de restauration des données après une attaque par ransomware ou téléchargez notre livre blanc dédié Concevoir une stratégie de restauration des données cyber-résiliente pour obtenir plus de conseils sur la manière d’assurer la cyber-résilience.