Ransomware (cryptolockage)

Accueil - Entreprises - Ransomware (cryptolockage)

Un virus verrouille les données présentes sur votre réseau d’entreprise et les hackers vous font chanter pour vous les restituer.

S’inscrire à la newsletter

En quoi consistent ces attaques ?

Ces attaques visent à chiffrer les données présentes dans un système informatique ainsi que sur les lecteurs réseaux reliés à l’ordinateur. Cette action de chiffrement rend les données tout simplement inaccessibles pour l’utilisateur·rice habituel·le. Ce genre d’attaque peut entrainer des pertes de données très importantes pour une entreprise et un préjudice financier en cas de paiement de la rançon exigée.

Mode opératoire des hackers

Les hackers commencent le plus souvent par opérer des tests de pénétration sur la sécurité informatique du réseau ciblé. Leur but est d’identifier des failles dans lesquelles s’engouffrer. Celles-ci peuvent être de divers ordres. Ainsi, elles peuvent être dans la structure même du réseau comme dans les logiciels utilisés, par exemple dépassés ou non tenus à jour. Les hackers n’hésitent pas non plus à exploiter des failles humaines. Pour ce faire, il leur est possible de recourir au phishing et à l’ingénierie sociale pour accéder à un réseau.

Une fois un point d’entrée découvert, les pirates installent un virus qui se déploie sur l’ensemble du réseau de l’entreprise et encrypte les données qu’il rencontre. Les données ne sont pas perdues mais chiffrées de telle sorte qu’on ne peut les récupérer qu’avec une clé de décryptage. Ces virus peuvent aussi dans la foulée récupérer certaines données sensibles et en fournir une copie aux hackers.

C’est alors que le chantage opère. Les hackers prennent contact avec la victime, souvent via une machine infectée, et proposent de lui donner la clé en échange d’une rançon. Les hackers peuvent aussi menacer de divulguer ou diffuser les données en question. Même si la victime paie, elle n’a, pour finir, aucune garantie de récupérer la clé de décryptage ni de ne pas voir ses données fuiter.

Mesures conseillées pour protéger son entreprise

Le Centre national pour la cybersécurité conseille à toutes les entreprises de mettre en place le plus vite possible les mesures suivantes pour diminuer les risques liés à de tels logiciels malveillants :

  • Veillez à faire des sauvegardes régulières de vos données sur un support externe. Après la sauvegarde, déconnectez ce dernier, pour éviter une infection en cas d’opération malveillante. Procédez selon un plan de rotation (sauvegardes quotidiennes, hebdomadaires, mensuelles, minimum de deux générations).
  • En cas d’utilisation d’un moyen de sauvegarde en nuage, assurez-vous qu’il propose au moins deux générations, de manière analogue à une sauvegarde classique. L’accès à ces sauvegardes doit donc être très protégé, par exemple avec un deuxième facteur d’authentification.
  • Gardez à jour votre système d’exploitation et toutes les applications. Lorsque cela est possible, privilégiez les mises à jour automatiques.
  • Protégez toutes les ressources accessibles depuis internet (par ex. serveur de terminal, RAS, accès VPN, etc.) avec un deuxième facteur d’authentification.
  • Bloquez la réception des courriels qui contiennent des fichiers dangereux sur votre messagerie, en outre les fichiers Office qui contiennent des macros.
  • Si vous constatez une attaque, déconnectez les machines infectées de votre réseau d’entreprise et d’internet. Contactez tout de suite votre service informatique ou prestataire pour qu’il prenne les mesures adéquates.

Que faire si on est victime ?

  • Ne payez pas la rançon exigée. En cédant à cette demande de paiement, vous participez au financement d’activités criminelles. De plus, il n’existe aucune certitude que la clé de décryptage vous sera fournie ou que les données volées ne seront pas détruites.
  • Si cela est possible, restaurez les données encryptées à partir de vos sauvegardes.
  • Collectez les traces numériques afin de déposer une plainte auprès de la police.
  • Cherchez à identifier la faille ou la vulnérabilité qui a permis ce piratage. Ensuite, prenez des mesures en conséquence pour que cela ne se reproduise plus.
  • Il est conseillé aux victimes d’annoncer tout incident de ce type auprès du Centre national pour la cybersécurité (NCSC) et de déposer plainte auprès de la police locale.

Pour résumer…

Pour aller plus loin…

Site du Centre national pour la cybersécurité (NCSC)

Site du Gouvernement français sur la cybermalveillance

Site du projet “No More Ransom”

Sujets en lien