1. Accueil
  2. Actualités
  3. Les 5 conseils majeurs en cas d'attaque par Ransomware

Les 5 conseils majeurs en cas d'attaque par Ransomware

15 Sep
15Sep

Vous êtes une entreprise du secteur priver ou du publique et vous avez la fâcheuse surprise de constater que votre systèmes informatique ai été détourné par des criminels. On vous demande une rançon afin de récupérer le contrôle de vos systèmes. 

Que faire ? Il s’agit malheureusement d’une question que de plus en plus de personnes se posent du fait de l’augmentation des attaques par « ransomware » depuis 2017. 

Les demandes de rançons se veulent menaçantes et ont pour but de vous effrayer afin que vous décidiez de payer les criminels aussi vite que possible. mais il est important de ne pas paniquer.

Au moment où vous recevez la rançon, le pire est probablement déjà arrivé. Cependant, vous pouvez suivre certaines étapes afin d’éviter que la situation ne se dégrade et de pouvoir, éventuellement, reprendre vos activités.

  1. Déconnecter les PC du réseaux (débranchez les câbles réseau, désactivez les connexions wifi).
  2. Mettez les ordinateurs en veille (prolongée) – ne surtout pas les éteindre – afin de conserver une image de la mémoire sur le disque dur, puis débranchez le câble d’alimentation(pour contrer les allumages programmés). 
  3. Vous pouvez contacter le dispositif d’assistance aux victimes d’actes de cyber malveillance de l'ANSII cybermalveillance.gouv.fr 
  4. faites appel a une entreprise experte en remédiation (Cybersécurité), qui vous aidera à mener des investigations et rétablir votre système d'information. 
  5. Il est également utile de porter plainte afin de pouvoir bénéficier des aides des services de police ou gendarmerie.

Les 4 types de logiciels Rançon "Ransomware"

  • Le ransomware diskcoder « bloqueur de disque » crypte le disque entier et empêche l'utilisateur d'accéder au système d'exploitation.
  • Le « verrouilleur d'écran » bloque l'accès à l'écran de l'appareil.
  • Le ransomware « crypteur » (cryptoransomware) crypte les données stockées sur le disque de la victime.
  • Le bloqueur PIN cible les appareils Android et modifie leurs codes d'accès pour verrouiller l’accès à leurs utilisateurs.

Afin de faciliter les actions de votre partenaire, il est conseillé d'anticiper la situation :

  • Protégez votre parc PC et serveur par une solution de protection antivirale/Anti ransomware appelé EDR/XDR
  • Appliquez régulièrement les mises à jour & patch de vos systèmes d'exploitation (Windows, Linux) ainsi que les mises à jour constructeur sur vos équipements réseau (Mode, routeur, Firewall, NAS, etc.).
  • Effectuez des sauvegardes régulières sur Disques/bandes et hors ligne vers le Cloud (AWS, ou autres).
    • Prenez soin de vos sauvegardes : par exemple, n’utilisez pas vos bandes de sauvegarde alors que l’ordinateur de gestion pourrait être corrompu.
    • De préférence crypter les sauvegardes et en cas de stockage sur NAS éviter d'utiliser le Protocol Samba, mais privilégier le NFS. Le constructeur Synology utilise par exemple le Protocol Btrfs (B-tree file system, prononcé ButterFS) qui est une solution haute capacité qui utilise le système de fichiers Btrfs et permet aux utilisateurs de créer des volumes allant jusqu'à 1 Po. 
      • Ces volumes importants (Peta Volume, par exemple) peuvent être utilisés comme serveurs de fichiers ou comme archivage de données. 
      • Btrfs a été conçu pour surmonter les obstacles souvent rencontrés dans les systèmes de stockage d'entreprise, tels que la tolérance aux pannes, la gestion et la protection des données.  
  • Dans le cas de serveurs et/ou machines virtuelles, créez un instantané (snapshot) et mettez en pause la VM et conservez les logs de l’hyperviseur.
  • Protéger votre système de messagerie en utilisant des logiciels de protection d'email capable de bloquer les attaques de type Phishing, Malware, SPAM, SCAM
  • afin de protéger vos comptes utilisateurs activez la protection de connexion de type MFA (Multi factor Authentification) sur les comptes les plus critiques (Compte Administrateur, Compte bancaire, compte de messagerie, VPN, etc.)
  • Collectez les logs pouvant être utiles pour l’investigation (authentification, VPN, EDR, antivirus, pare-feu, Web, etc.).
  • Avant d'intervenir sur une machine en urgence, créez systématiquement une sauvegarde ou un instantané des serveurs compromis. L’enquêteur va, au fur et à mesure de ses investigations, préciser la timeline du chemin d’attaque.
  • Facilitez la tâche à votre partenaire en retraçant l’historique des événements pour qu’il puisse limiter ses investigations dans une fenêtre de temps.

Le risque ZERO n'existe pas mais le fait d'avoir une "hygiène cyber" pour votre entreprise, vous permettra de déjouer/retarder plus facilement les cyber attaques.

 

Cybersecurité Hacking Gouverance Ransomware
Commentaires
* L'e-mail ne sera pas publié sur le site web.