Articles d’Opinionlecture: 3 minutes

Logiciels malveillants : comment organiser « l’après » ransomware »?

Scott McKinnon
Sovereign Cloud
cloud computing. The data transfer and storage concept consists of a white polygonal interconnected structure within it. Dark blue background with small padlocks scattered on the background.

Dans une salle d’arcade, chaque joueur a sa tactique de prédilection, convaincu qu'il est le seul à savoir comment jouer correctement. Bien que cette image puisse sembler très éloignée du monde des entreprises, il s’agit néanmoins d’une bonne illustration des problématiques auxquelles sont confrontées les équipes de cybersécurité.

En effet, après une attaque, les professionnels de la sécurité sont souvent divisés sur la manière de faire face à la menace de ransomware qui pèse sur leur organisation. Chaque équipe ou membre de l'équipe est convaincu de savoir comment répondre à la menace de la bonne façon. Contrairement à l'énergie et au bruit chaotique qui sont les bienvenus dans une salle d'arcade, dans ce scénario, ils ne font qu'engendrer des conflits : les "meilleures pratiques" sont reléguées au second plan, après la résolution des différends internes, et les tentatives de reprises échouent.

Pour remédier à cela, voici quatre étapes clés pour aider les équipes de sécurité à réagir avec rapidité et agilité à une cyberattaque.

Etape 1 : ne jamais sous-estimer le temps dédié à la planification

Les plans de reprise après une attaque de ransomware manquent souvent de procédures claires, de planification approfondie et d'une évaluation des systèmes réellement critiques pour l'entreprise. Une attaque de ransomware se produit toutes les onze secondes. Les organisations qui partent du principe qu'une violation aura lieu sont généralement les mieux préparées à cette éventualité. Par conséquent, il est essentiel de créer un plan de reprise solide après incident pour anticiper les futures attaques. Concevoir ces plans en gardant à l'esprit le scénario le plus pessimiste peut faire une réelle différence. Cela permet d'anticiper les principaux défis qui retarderont le rétablissement de l’entreprise lorsque le ransomware aura pris le contrôle de la situation. Ayant déjà évalué le risque, les équipes seront en mesure de rebondir beaucoup plus rapidement.

Bien que chaque membre de l'équipe de sécurité ait un rôle à jouer, à la suite d'une violation, le territoire de responsabilité de chacun peut devenir flou et entraîner une mauvaise communication. Lors de l'élaboration d'un nouveau plan, on ne saurait trop insister sur l'importance d'attribuer clairement les responsabilités aux équipes et aux individus pour les former efficacement et gagner de précieuses minutes lors de la détection de l’attaque et de l'intervention.

Etape 2 : investir dans l'automatisation pour ne pas payer la rançon

Lorsqu'elles font face à une demande de rançon, les entreprises ont souvent tendance à penser que la solution la plus facile est de procéder au paiement pour reprendre leur activité habituelle au plus vite. Cependant, le paiement d'une rançon peut s'avérer plus néfaste que bénéfique sur le long terme.  Par exemple, l'année dernière, 92 % des entreprises qui ont payé une rançon n'ont pas retrouvé l'accès complet à leurs données. De plus, les entreprises qui paient une rançon risquent d'être à nouveau prises pour cible à l'avenir.

Les organisations devraient donc plutôt investir dans des technologies de récupération automatisée qui utilisent des flux de travail étape par étape et qui réduisent également le risque d’erreur humaine et de prises de décision hâtives. Une fois qu'un composant du réseau est compromis, le ransomware cherche à se propager et les flux de travail automatisés lèvent le pare-feu pour isoler les réseaux et empêcher les mouvements latéraux.

Etape 3 : évaluer l'intégrité des données pour reprendre le contrôle

Les ransomwares chiffrent les données dans un coffre-fort que seul le pirate informatique peut déverrouiller. Dans certains cas, le ransomware a été implanté par des acteurs malveillants et s'est caché à la vue de  tous pendant des semaines, voire des mois, se propageant aux sauvegardes de données qui finissent par devenir inutiles. C'est pourquoi les organisations doivent passer au peigne fin les sauvegardes après une attaque afin de sécuriser  les fichiers non compromis et d'empêcher toute réinfection. En combinant les approches traditionnelles avec la détection automatisée moderne, on obtient une stratégie solide qui couvre toutes les bases de la sécurisation des réseaux.

Etape 4 : réfléchir aux enseignements tirés

Le travail d'équipe est le fondement de la reprise après une attaque de ransomware. L'une des principales caractéristiques d'une équipe performante est sa capacité à analyser de manière critique et à élaborer des stratégies créatives afin de tirer les leçons des erreurs commises et de se préparer à la réussite future de l'entreprise.

Une fois la brèche neutralisée, il est essentiel de partager les enseignements tirés. Il s'agit de réunir les équipes pour s'assurer que le plan de reprise convienne à tous avec un ordre du jour convenu afin de garantir l'efficacité de l'analyse et d'améliorer les procédures de cybersécurité. Dans le cas où une compromission affecterait des informations personnelles, il est essentiel - en vertu du RGPD - que les organisations fassent un rapport et informent toutes les personnes ciblées dans les 72 heures suivant la violation.

Les pirates informatiques semblent toujours avoir une longueur d'avance, et le déploiement de ransomwares est devenu l’arme clé de leur arsenal. Il est facile pour les entreprises d'être désorientées par de telles attaques. Cependant, si la planification de la reprise est intégrée dès le départ dans les opérations de l’entreprise, avec des investissements dans les dernières technologies de détection et de réponse et dans les meilleures pratiques de sécurité, les équipes seront mieux placées pour faire face aux menaces.