Qu'est-ce que LiDAR et comment fonctionnera-t-il sur l'iPhone?
29 octobre 2020
Comment installer le meilleur navigateur pour Android TV (alternative Puffin)
29 octobre 2020
0

Shutterstock / Anucha Cheechang

Les ransomwares sont dévastateurs, coûteux et en augmentation. Protégez-vous contre les infections avec notre guide, mais prévoyez aussi le pire. Assurez-vous de pouvoir récupérer proprement et rapidement si un ransomware frappe.

Ransomware à la hausse

Les attaques de ransomwares augmentent en fréquence à un rythme effrayant. Selon le Rapport semestriel Bitdefender 2020, Le nombre de rapports mondiaux sur les ransomwares a augmenté de 715% en glissement annuel. Classés par le nombre d'attaques, les États-Unis sortent en première place. Le Royaume-Uni occupe la deuxième place.

Une attaque de ransomware crypte vos fichiers et vos données afin que vous ne puissiez pas fonctionner en tant qu'entreprise. Pour ramener vos systèmes à leur état de fonctionnement normal, vos serveurs et votre ordinateur doivent être effacés et restaurés à partir des sauvegardes, ou l'utilisation de la clé de déchiffrement pour déverrouiller vos fichiers et données. Pour obtenir la clé de déchiffrement, vous devez payer la rançon.

Les ransomwares ont des impacts considérables qui perturbent les opérations commerciales et peuvent entraîner une perte permanente de données. Les causes du ransomware:

  • Temps d'arrêt de l'entreprise.
  • Perte de productivité.
  • Perte de revenus.
  • Perte de réputation.
  • La perte, la destruction ou la divulgation publique d'informations sensibles à l'entreprise.

Si vous payez la rançon, vous avez ce coût supplémentaire, et vous risquez d'avoir des infections résiduelles de logiciels malveillants et des perturbations après l'attaque

Vous pensez peut-être que cela ne vous arrivera pas. Vous pouvez rationaliser cette croyance en vous disant que vous êtes trop petit et que les acteurs de la menace ont des cibles plus grandes et meilleures à atteindre. Pourquoi s'embêteraient-ils avec une entreprise comme la vôtre? Malheureusement, ce n’est pas ainsi que cela fonctionne.

Toutes les personnes est une cible. Loin et au-dessus de toute autre méthode de livraison, le courrier électronique reste le principal mécanisme de livraison des ransomwares. le attaques de phishing qui délivrent des e-mails malveillants sont envoyés par un logiciel qui utilise des listes de diffusion contenant des millions d'entrées.

Toutes les adresses e-mail de toutes les violations de données qui se sont produites au cours des dix dernières années sont disponibles sur le Dark Web. le Ai-je été Pwned site Web en répertorie plus de 10 milliards. De nouvelles adresses e-mail sont collectées chaque jour et ajoutées à ces listes de diffusion. Ce sont les adresses e-mail qui reçoivent les e-mails de phishing. Les acteurs de la menace ne se soucient pas de savoir à qui ils appartiennent, ni ne s'en soucient.

Très peu d'attaques de ransomwares sont ciblées de manière sélective. Toutes les autres attaques, 99% d'entre elles, ne traquent pas leurs victimes et font une reconnaissance approfondie. Les méchants ne sont pas des tireurs d’élite. Ce sont des mitrailleurs qui ne se donnent même pas la peine de viser. Ils diffusent des e-mails bon gré mal gré, puis s'assoient pour voir qui ils ont réussi à toucher.

EN RELATION: Comment vérifier si les e-mails du personnel sont en violation de données

Rançon ou restauration?

Les cybercriminels – les acteurs de la menace – facturent une rançon pour fournir la clé. La rançon est payée dans une crypto-monnaie, généralement en Bitcoin, bien que d'autres crypto-monnaies puissent être stipulées par les acteurs de la menace. Au moment de la rédaction, selon CoinMarketCap il existe plus de 7500 crypto-monnaies actives.

Même si la configuration du commerce de Bitcoin est relativement simple, la mise en place de portefeuilles électroniques et de tout le reste peut prendre des jours. Et pendant toute cette période, vous êtes incapable de fonctionner comme une entreprise ou, du moins, de fonctionner efficacement.

Et même si vous payez la rançon, rien ne garantit que vous récupérerez vos données. Le côté décryptage des ransomwares est souvent mal écrit et il se peut que cela ne fonctionne tout simplement pas pour vous. Même s'il décrypte vos fichiers, vous êtes probablement toujours infecté par des logiciels malveillants tels que des rootkits, des chevaux de Troie d'accès à distance et des enregistreurs de frappe.

Ainsi, cela peut prendre des jours pour être en mesure de payer la rançon – encore plus s'ils demandent un paiement dans une crypto-monnaie qui ne peut être achetée qu'en utilisant un autre crypto-monnaie – et votre système ne sera pas propre et digne de confiance après avoir été décrypté. Il est clairement préférable de mordre la balle et de restaurer vos systèmes à partir de sauvegardes. Après tout, à la fois dans le Royaume-Uni et dans le États Unis il nous est déconseillé de payer la rançon.

Restaurez à partir de sauvegardes, alors. Mais pas si vite. Cela n'est possible que si vous avez mis en place une procédure de sauvegarde robuste, si la procédure a été respectée et que vos sauvegardes ont été testées sur des essais à vide et des incidents simulés.

En plus de cela, les acteurs de la menace derrière les ransomwares les plus sophistiqués ont des moyens de s'assurer que vos sauvegardes sont également infectées. Dès que vous nettoyez et restaurez vos serveurs et ordinateurs, vous êtes déjà infecté.

Même ainsi, les sauvegardes sont toujours la réponse. Mais vous devez planifier et sauvegarder vos sauvegardes de manière à les protéger et à garantir leur intégrité lorsque vous en avez besoin.

Mieux vaut prévenir que guérir

Shutterstock / Ribkhan

Personne ne veut des accidents du travail: des blessés, beaucoup de paperasse, d'éventuelles réclamations en responsabilité civile. Mais vous avez toujours une trousse de secours sur place. Oui, mieux vaut prévenir que guérir, mais vous devez quand même supposer que tôt ou tard vous aurez besoin de cette trousse de premiers soins et de secouristes qualifiés.

Il en va de même pour la cybersécurité. Personne ne veut être touché par un ransomware et vous faites ce que vous pouvez pour l'empêcher. Mais vous devez avoir en place un plan de réponse aux incidents vers lequel vous pouvez vous tourner lorsque des logiciels malveillants surviennent. Vous avez besoin d'une équipe de personnes qui connaissent le plan, qui l'ont répété et qui suivront réellement le plan.

Il est trop facile pour le plan d’être abandonné dans le feu de l'action. Cela ne peut pas arriver – toutes vos réponses à l'incident doivent être méthodiques et coordonnées. Cela ne peut être réalisé qu'en suivant votre plan de réponse aux incidents.

Nous avons tous une assurance automobile et nous espérons tous que nous n’avons pas besoin de l’utiliser. Un plan de réponse aux incidents est comme ça. Vous en avez besoin, mais vous ne voulez pas être dans une situation où il doit être déployé. Garder votre véhicule entretenu et autoriser uniquement des conducteurs formés au volant réduit la probabilité que vous soyez dans un accident.

Les points suivants réduiront le risque dont vous avez besoin pour déployer votre plan de réponse aux incidents.

Formation de sensibilisation du personnel

La plupart des infections de ransomware sont dues à une personne victime d'une attaque de phishing. Vos employés sont ceux qui sont en première ligne des e-mails. Ils ouvrent et traitent les courriels et les pièces jointes toute la journée. Parfois des centaines de courriels. Il suffit d'un seul e-mail d'hameçonnage pour se faufiler sans repérer et vous êtes infecté.

De toute évidence, votre personnel doit suivre une formation de sensibilisation à la cybersécurité afin de pouvoir identifier les e-mails de phishing et autres escroqueries et menaces transmises par e-mail. Et cela doit être complété et renforcé périodiquement. Les ransomwares devraient être sur votre cybersécurité registre d'évaluation des risques, et la formation de sensibilisation du personnel devrait être l'une de vos mesures d'atténuation.

Une façon de réduire les volumes de courrier électronique consiste à essayer de réduire le courrier électronique interne. Moins il y a d'e-mails internes, plus il est facile de se concentrer et de prêter attention à l'e-mail externe. Ce sont les e-mails externes qui comportent les risques. Applications de chat professionnel telles que Équipes Microsoft et Mou sont excellents dans ce domaine.

EN RELATION: Pourquoi votre personnel est votre maillon faible en matière de cybersécurité

Test de sensibilité du personnel

La formation est excellente, mais la cerise sur le gâteau est la mise à l'épreuve. Il est facile de trouver une entreprise de sécurité ou un service en ligne qui organisera une campagne de phishing bénigne.

Les employés qui ne parviennent pas à reconnaître le faux e-mail malveillant sont des prétendants évidents pour une session de recyclage dans la formation. En plus de mesurer la susceptibilité de votre personnel à tomber dans les e-mails de phishing, c'est aussi une mesure de l'efficacité de la formation de sensibilisation de votre personnel.

Principe du moindre privilège

Assurez-vous que les processus et les utilisateurs disposent des droits d'accès minimum pour exécuter leurs fonctions définies par leur rôle. le principe du moindre privilège limite les dommages qu'un logiciel malveillant peut causer si un compte utilisateur est compromis.

Limitez l'accès aux comptes d'administrateur et assurez-vous que ces comptes ne sont jamais utilisés à d'autres fins que l'administration. Contrôlez l'accès aux partages et aux serveurs afin que les personnes n'ayant pas besoin d'accéder à des zones sensibles ne puissent pas le faire.

Filtres anti-spam

Les filtres anti-spam ne piègent pas tous les e-mails malveillants, mais ils en capturent certains, ce qui est un grand avantage. Ils détecteront et mettront en quarantaine la majorité des spams réguliers, sûrs mais ennuyeux. Cela réduira davantage le volume de courriels qui doit être traité par votre personnel. La réduction de la taille de la botte de foin permet de repérer plus facilement l'aiguille.

Protection du point final

Bien entendu, des packages antivirus et anti-malware, ou un package de protection de point final combiné, doivent être déployés, gérés de manière centralisée et configurés pour mettre à jour régulièrement les signatures. Les utilisateurs ne doivent pas pouvoir refuser ni différer les mises à jour.

Patch, patch, patch

Les systèmes d’exploitation, les micrologiciels et les applications doivent être compris dans le cycle de support du fabricant et non en fin de vie. Ils doivent être mis à jour avec des correctifs de sécurité et de correction de bogues. Si les correctifs ne sont plus disponibles, arrêtez de les utiliser.

Architecture de réseau

Pour toutes les conceptions de réseau, sauf les plus simples, segmentez vos réseaux pour isoler les ordinateurs, les services et les équipes critiques. Ils ne construisent pas de sous-marins en tant que longs tubes ouverts. Ils incorporent des cloisons avec des portes de cloison étanches afin de pouvoir sceller les sections qui ont une fuite.

Utilisez une topologie de réseau avec des régions séparées pour limiter de la même manière la propagation des logiciels malveillants. Un segment infecté est beaucoup plus facile à gérer par rapport à un réseau entier.

Stratégies de sauvegarde

Les sauvegardes sont au cœur d'un solide plan de continuité des activités. Vous devez sauvegarder vos données en utilisant un système capable de faire face à toute crise prévisible, qu'elle soit cybernétique ou non. L'ancien mantra de sauvegarde était la règle du 3-2-1.

  • Vous devriez avoir trois copies de vos données: le système en direct et deux sauvegardes.
  • Vos deux sauvegardes doivent être sur des supports différents.
  • L'une de ces sauvegardes doit être conservée hors site.

Pour être clair, le simple fait d'avoir une autre copie de vos données n'est pas une sauvegarde. C’est mieux que rien, mais les sauvegardes sont si importantes qu’elles devraient être les meilleures que vous puissiez faire quel que soit votre budget. Une véritable sauvegarde sera créée par un logiciel de sauvegarde et aura des capacités de versionnage. Le contrôle de version vous permet de restaurer un fichier à un moment donné. Ainsi, vous pouvez restaurer un fichier dans l’état dans lequel il se trouvait hier à une heure. Ou de la semaine dernière ou du mois dernier. Votre période de rétention et la capacité de votre stockage de sauvegarde dicteront jusqu'où vous pouvez remonter dans le temps et avec quelle granularité.

Les sauvegardes doivent être chiffrées.

Les sauvegardes basées sur des images prennent une image de l'ensemble du disque dur, y compris le fonctionnement. Les modifications apportées au système en direct peuvent être appliquées au goutte à goutte à l'image de sauvegarde toutes les deux minutes, de sorte que la sauvegarde est très proche d'un instantané en temps réel du système en direct. Toutes les solutions de sauvegarde de premier niveau peuvent convertir une image de sauvegarde en image de machine virtuelle. La machine virtuelle peut être lancée sur un nouveau matériel en cas de catastrophe. Cela vous permet de déployer un nouveau matériel de serveur ou de surmonter tout problème qui a entraîné l'arrêt du système actif, tandis que votre sauvegarde s'exécute comme un système direct provisoire et que votre entreprise reste opérationnelle.

Et bien sûr, il existe des solutions de sauvegarde hors site qui vous permettent d'effectuer une sauvegarde vers un emplacement retiré en toute sécurité de vos locaux. Ainsi, la règle 3-2-1 peut être réécrite en utilisant les nombres de votre choix. Ayez autant de copies de vos sauvegardes que nécessaire pour que vous vous sentiez à l'aise, réparties sur différents emplacements et stockées sur différents périphériques matériels.

Cependant, rien de tout cela ne sauvera votre bacon si les acteurs de la menace parviennent à infecter vos sauvegardes. Disons que le ransomware est configuré pour attendre 28 jours avant de se déclencher. Vous l'aurez sauvegardé plusieurs fois, sur toutes vos sauvegardes.

Pour lutter contre cela, des sauvegardes immuables peuvent être utilisées. Il s'agit de sauvegardes sur lesquelles il est impossible d'écrire une fois qu'elles ont été effectuées. Cela signifie qu'ils ne peuvent pas être infectés par un ransomware ou tout autre malware. Une solution de sauvegarde robuste utilise une approche multicouche et variée.

  • Vous pouvez implémenter des sauvegardes versionnées sur stockage en réseau (NAS) pour la récupération rapide des fichiers supprimés accidentellement.
  • Votre deuxième couche pourrait être des sauvegardes basées sur des images sur un stockage local et hors site. Vous pouvez restaurer rapidement un serveur défaillant en cas de panne totale du serveur ou de panne matérielle.
  • Si vous complétez votre régime de sauvegarde avec des sauvegardes immuables qui ne peuvent jamais être entachées de logiciels malveillants, vous disposerez d'un système de sauvegarde solide et complet.

Selon la taille et la complexité de votre réseau, cela peut rapidement devenir coûteux. Mais comparé au prix de l’échec, c’est bon marché. Ne pensez pas que cela paie pour les sauvegardes. Considérez cela comme un investissement dans la continuité des activités.

Plan de réponse aux incidents

Shutterstock / Matt Gush

Un plan de réponse aux incidents est non seulement un outil essentiel pour garantir des réponses coordonnées et efficaces aux cyberincidents, mais en fonction de vos activités commerciales, ils peuvent être obligatoires. Si vous acceptez des paiements par carte de crédit, vous devez probablement respecter les Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). La norme PCI DSS a plusieurs exigences concernant les plans de réponse aux incidents.

Un plan d'intervention typique en cas d'incident contiendra ces sections, chacune d'entre elles devant être détaillée et précise.

  • Préparation. Tous les points mentionnés ci-dessus, ainsi que toute autre défense que votre situation mérite. Le fait de répéter le plan avec des incidents de cycle à sec familiarisera votre équipe d'intervention avec le plan et identifiera les lacunes ou les problèmes, ce qui permettra d'affiner le plan. Plus votre équipe d'intervention est préparée, meilleures seront ses performances en cas de besoin.
  • Identification. Processus consistant à reconnaître qu'un incident est en cours et à identifier de quel type d'incident il s'agit. Que se passe-t-il, qui et qu'est-ce qui est touché, quelle est l'ampleur du problème, des données ont-elles été divulguées?
  • Endiguement. Contenez l'infection et empêchez-la de se propager. Mettre en quarantaine les systèmes infectés.
  • Éradication. Essuyez les systèmes infectés. Assurez-vous que le malware a été supprimé de tout machines compromises. Appliquez les correctifs ou les étapes de renforcement de la sécurité que votre organisation a adoptés.
  • Récupération. Quels systèmes sont prioritaires et doivent être remis en service en premier? Restaurez-les à partir des sauvegardes et modifiez les informations d'authentification pour tous les comptes. Restaurez à partir de sauvegardes immuables si vous en avez. Sinon, vérifiez que les sauvegardes sont exemptes de logiciels malveillants avant de les restaurer.
  • Leçons apprises. Comment l'infection s'est-elle produite et qu'est-ce qui l'aurait arrêtée? S'agit-il d'une vulnérabilité exploitée ou d'une erreur humaine? Quelles étapes combleront votre sécurité?

Signaler

N'oubliez pas de signaler les ransomwares comme un crime. Vous devrez peut-être également signaler l'incident à votre autorité régionale ou nationale de protection des données. En Europe, parce que vous avez perdu le contrôle des données pendant qu'elles étaient cryptées, une attaque par ransomware est considérée comme une violation de données Règlement général sur la protection des données même si aucune donnée n'a été effectivement volée ou perdue. Vous avez peut-être une législation qui vous régit et qui respecte ce concept, comme celle des États-Unis. Loi sur la transférabilité et la responsabilité de l'assurance maladie de 1996 (HIPAA).

Autres articles

5 juin 2024

Le Scénario Pédagogique dans le Milieu des Formateurs

En savoir plus
16 mai 2024

Les Meilleurs Buzz sur TikTok : Qu’est-ce qui Fait le Succès ?

En savoir plus
8 avril 2024

Développement des compétences émotionnelles en entreprise : l’importance des ateliers de développement d’équipe efficaces

En savoir plus
//]]>