Se maintenir informé, analyser l’impact métier d’une perte de données ou encore mesurer l’état de préparation interne et externe, découvrez 10 recommandations pour rester en alerte !
Comment lutter contre les rançongiciels en 10 points ?
Eric Antibi, directeur technique chez Palo Alto Networks France nous livre ses 10 recommandations.
Restez informés sur les dernières évolutions de de la menace cyber
L’écosystème autour des rançongiciels évolue en permanence , les acteurs malveillants recourent à de nouvelles techniques toujours plus sophistiquées pour prendre en otage les opérations des entreprises.
Il est donc fondamental de toujours maintenir informés votre équipe de sécurité, mais aussi les dirigeants de votre entreprise de l’état actuel des menaces liées aux rançongiciels et surtout de leur impact potentiel sur votre activité.
Cela doit être complété par la liste de mesures que votre organisation peut prendre pour empêcher les attaques (programme de formation interne pour tous les collaborateurs, mise en place d’une stratégie Zero Trust sans exception), sécurisation du travail hybride).
Analysez l’impact métier d’une perte de données critiques
Selon l’étude Ponemon Institute/IBM, en France, le coût de la violation de données est de 4,34 millions de dollars en 2022 (contre 4,57 millions de dollars en 2021). Toutes les 4 heures, le nom d’une nouvelle victime de rançongiciel apparaît sur le “dark web” . Unit 42 a constaté que, lors d’une attaque de type rançongiciel, le temps d’infiltration médian – c’est-à-dire le temps que les acteurs malveillants passent dans l’environnement ciblé avant d’être détectés – était de 28 jours.
Pour comprendre l’impact d’une attaque par rançongiciel, vous devez d’abord obtenir une visibilité complète de vos ressources et déterminer où se trouvent les données critiques, les moyens d’y accéder, et la façon dont elles sont utilisées dans votre entreprise. Effectuez un exercice de cartographie des données, en restreignant l’accès aux informations confidentielles aux seuls utilisateurs ayant réellement besoin de les connaître. Réalisez ensuite une analyse de l’impact métier des risques découlant d’une impossibilité d’accéder à ces données.
Évaluez l’état de préparation interne et externe
Le risque d’une attaque grave par rançongiciel augmente si la stratégie de sécurité n’a pas fait l’objet d’une évaluation cohérente. Vous devez donc anticiper, en évaluant les principaux risques potentiels, lesquels sont déterminés par la combinaison d’intervenants humains, de processus, de technologies et de capacités de gouvernance qui est propre à votre entreprise.
N’oubliez pas non plus d’identifier les risques liés à des tiers, les attaques de la Supply Chain comme SolarWinds ont récemment démontré que les fournisseurs faisaient pleinement partie de l’exposition aux risques cyber .. Une fois ces données établies, vous pouvez définir une feuille de route d’atténuation hiérarchisée détaillant les critères permettant d’atteindre les objectifs de sécurité de votre organisation, en les alignant sur ses objectifs métier stratégiques.
Révisez et testez votre plan de réponse aux incidents
Testez et mettez régulièrement à jour votre plan de réponse aux incidents, en utilisant les renseignements les plus récents liés aux rançongiciels pour réaliser des exercices théoriques et des simulations de test. Les tests de pénétration dits Pentest permettent de mesurer l’efficacité de votre réponse à une attaque par rançongiciel. Ils évaluent vos défenses, identifient les lacunes et estiment votre capacité à contrer les tactiques, les techniques et les procédures utilisées par les groupes de rançongiciels courants.
Faites participer vos principaux responsables aux tests pour obtenir leur adhésion. En anticipant les sujets difficiles, vous gagnerez un temps précieux et vous vous concentrerez sur ce qui compte le plus en cas d’attaque par rançongiciel : la préservation des opérations essentielles et le retour à un état normal. Vous mesurerez ainsi votre agilité et résilience et vous pourrez ainsi prévenir bon nombre d’attaques plutôt que de devoir rétablir vos opérations , après coup, ce qui est toujours plus laborieux, chronophage et coûteux.
Mettez en œuvre une approche Zero Trust sans exception
Déployée correctement, une approche stratégique de la cybersécurité basée sur le modèle Zero Trust sans exception, ou confiance zéro, simplifie et unifie la gestion des risques en appliquant un scénario d’utilisation unique à tous les utilisateurs, appareils, sources de connexion ou méthodes d’accès.
Le modèle Zero Trust sans exception élimine les risques liés aux rançongiciels, car il écarte toute possibilité de confiance implicite et valide en permanence chaque étape de l’interaction digitale, c’est à dire de tout utilisateur essayant d’accéder à tout type de données (ou application) et depuis n’importe où.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental
Identifiez vos ressources exposées et bloquez les attaques par rançongiciel les plus courantes
Adoptez un système d’enregistrement permettant de suivre chaque ressource, système et service que vous possédez et qui se trouvent sur l’Internet public. Il s’agit notamment d’effectuer le suivi de tous les principaux fournisseurs de services cloud et de l’espace loué dynamiquement aux fournisseurs de services Internet, à l’aide d’une indexation complète et en englobant les ports et les protocoles courants qui sont souvent mal configurés.
Par exemple, l’exposition de son système d’information via le protocole Remote Desktop Protocol (RDP)- souvent en raison de la généralisation du télétravail, est à l’origine de la majorité des infections par rançongiciel, les attaquants pouvant facilement le détecter.
Anticipez et arrêtez les menaces connues et inconnues
Votre objectif est de déjouer les menaces inconnues en les détectant en amont et de mettre en place de nouvelles protections en prenant de vitesse les attaquants. Pour prévenir les menaces connues, vous devez empêcher les exploits, les logiciels malveillants et le trafic des outils de commande & contrôle (C&C) de pénétrer dans votre réseau. Leur blocage augmente suffisamment le coût d’exécution d’une attaque de rançongiciel pour dissuader les attaquants.
Identifier et bloquer les menaces inconnues n’est plus une option car désormais la grande majorité des attaques sophistiquées utilisent de nouveaux exploits de type « zero-day» et de nouvelles variantes de rançongiciels.
Automatisez chaque fois que possible
Lorsque vous êtes alertés d’une suspicion d’ attaque par rançongiciel, des heures d’intervention manuelle sont nécessaires pour tenter de rassembler des sources d’information disparates à partir de multiples outils et de multiples sources d’informations. Par conséquent, il devient nécessaire de mettre en œuvre des outils permettant de déclencher une remédiation automatisée des attaques par rançongiciel en déroulant des scénarii de réponse et de reprise prédéfinis. Les solutions d’orchestration, d’automatisation et de réponse aux incidents de sécurité informatique (SOAR) automatisent l’ensemble du processus, permettant aux équipes d’intervention de stopper rapidement les rançongiciels, de minimiser les pertes de données et de limiter ainsi l’impact financier.
La gestion du renseignement sur les menaces (threat intelligence) doit être une pièce maîtresse de votre stratégie de sécurité. L’étroite intégration de la gestion de la threat intelligence à des capacités SOAR — avec gestion unifiée des cas (case management), automatisation et collaboration en temps réel — vous permettra d’exploiter pleinement vos flux de renseignements sur les menaces.
Sécurisez les charges de travail cloud
Pour sécuriser les charges de travail cloud contre les rançongiciels, assurez-vous que toute l’infrastructure cloud, Kubernetes et les images de conteneurs sont configurés de manière sécurisée et que des mesures ont été prises pour minimiser les vulnérabilités, y compris toute fonction de sécurité qui aurait été désactivée par défaut.
Vérifiez les modules et les bibliothèques open source pour détecter les vulnérabilités qui peuvent être corrigées. Identifiez et supprimez les droits de gestion des identités et des accès (IAM) trop permissifs ou inutilisés.
Réduisez le temps de réponse en concluant des contrats d’intervention d’experts externes
Il est essentiel d’agir très vite lorsqu’une violation potentielle a été identifiée. En mettant en place un contrat de réponse aux incidents, vous pouvez faire appel à des experts prêts à intervenir et à épauler votre équipe chaque fois que vous en avez besoin.