Les rançongiciels traduisent une menace de plus en plus préoccupante, dont les conséquences peuvent être dévastatrices pour les organisations victimes : c’est le constat alarmant dressé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans une récente publication.

Rappel : l’attaque par rançongiciel (ou ransomware, en anglais) consiste en l’envoi d’un logiciel malveillant, programmé pour crypter l’ensemble des données de la victime avant de lui demander une rançon en échange du mot de passe de déchiffrement.

Pour damer le pion aux cyberpirates et aider les entreprises et les collectivités à lutter contre cette forme particulière d’attaques criminelles, l’ANSSI a récemment édité un guide de sensibilisation dédié.

Comment déjouer les attaques de rançongiciels ?

Disponible au format PDF, la publication de l’ANSSI expose un certain nombre de bonnes pratiques permettant de limiter les risques liés aux attaques par rançongiciels. Une approche à la fois pragmatique et concrète, appuyée par les témoignages de plusieurs organisations victimes (le groupe médias M6, le CHU de Rouen ainsi que l’entreprise agroalimentaire Fleury Michon).

Dans le détail, l’ANSSI conseille notamment aux entreprises d’adopter un certain nombre de mesures préventives, telles qu’une sauvegarde régulière des données, une mise à jour fréquente des applications et systèmes informatiques (y compris des logiciels antivirus), un contrôle précis des autorisations accordées aux utilisateurs (téléchargements, accès Internet…) ou encore la souscription d’une assurance contre les cyber-risques. Sans oublier, bien sûr, le travail de sensibilisation qu’il convient de mener auprès des collaborateurs pour les avertir des risques potentiels et leur permettre d’adopter les réflexes adaptés en cas d’incident.

Précision : pour limiter l’effet déstabilisateur d’une attaque par rançongiciels, l’ANSSI conseille la mise en place, en amont, d’un plan de réponse dédié. L’objectif : assurer la continuité d’activité et permettre à l’entreprise de fonctionner « en mode dégradé » jusqu’au retour à la normale.

Rançongiciels : bien réagir en cas d’incident

Pour éviter une propagation du rançongiciel sur les autres équipements informatiques de l’entité, l’ANSSI conseille de déconnecter immédiatement la machine infectée du réseau, d’isoler tous les supports de sauvegarde et de bloquer toutes les communications vers et depuis Internet pour empêcher les cyberpirates de déclencher une nouvelle vague de chiffrement.

Une fois l’attaque bloquée, il convient de passer à la phase de reconstruction, à savoir le « nettoyage » de la machine infectée et la restauration des programmes et données depuis des sources saines.

Bon à savoir : la plate-forme cybermalveillance.gouv.fr permet aux TPE-PME ne disposant pas, en interne, des ressources nécessaires, d’entrer en contact avec des prestataires de proximité, spécialisés dans la gestion d’incidents informatiques.

Dans tous les cas, l’ANSSI rappelle qu’il est fortement déconseillé de payer la rançon, notamment pour éviter d’entretenir le système frauduleux mis en place par les cyberpirates. Et de procéder, sans tarder, au dépôt de plainte auprès des services de police ou de gendarmerie.

Pour en savoir plus et consulter le guide « Attaques par rançongiciels, tous concernés », publiée par l’ANSSI, rendez-vous sur : www.ssi.gouv.fr


 
Retour