Ransomwares : La recrudescence des attaques

Depuis le début de l’année 2016 nous constatons une très nette inflation des attaques par cryptage de type ransomwares visant de petites entreprises qui ne sont souvent pas préparées à de tels scénarios de crise.

Sans qu’elles soient particulièrement nouvelles, les attaques de CryptoLockers se diversifient sans cesse avec l’apparition régulière de nouvelles souches qui progressivement ne se contentent plus de crypter les données mais aussi les fichiers systèmes en s’attaquant au MBR du disque.

L’imminence annoncée de cette aggravation des attaques est malheureusement à mettre en parallèle avec l’affaiblissement régulier des mesures de précaution adoptées par les entreprises.

Trop souvent, nous devons en effet constater que les causes d’un sinistre majeur résident exclusivement dans la croyance des dirigeant selon laquelle « un antivirus suffit »

Les conséquences sont encore plus dramatiques lorsqu’à cette illusion s’ajoute une assez vague « politique » de sauvegarde sur clé usb.

Plus que jamais, il nous parait donc essentiel de rappeler les bonnes pratiques, seules en mesure de limiter les risques à un niveau acceptable :

1. Tous les postes d’un réseau doivent faire l’objet d’un contrôle de sécurité portant notamment sur l’état du pare-feu système, la solidité du couple login/password et les droits d’utilisateur qui doivent rester limités afin de limiter les risques d’escalades de privilèges en cas d’attaque.
2. De la même manière, les postes doivent être régulièrement mis à jour et patchés dès l’édition des correctifs par les éditeurs. Cette règle vaut pour les Systèmes, Antivirus, Utilitaires et Applicatifs.
3. Les Antivirus doivent être certifiés ZERO DAY pour permettre un filtrage minimal même en cas de malwares non encore identifiés par les éditeurs.
4. La pertinence du pare-feu matériel doit être remise en cause depuis l’apparition des nouveaux malwares. Ces équipements de première génération ne sont plus en capacité de protéger la réseau et seule une solution UTM (routeur de nouvelle génération) permettra de détecter les processus anormaux synonymes d’attaque furtive.
5. La stratégie de sauvegarde doit être contrôlée en amont pour ce qui concerne l’étendue des répertoires devant être pris en compte comme en aval pour vérifier la validité des back-up.

De cette manière, une très forte proportion des risques est annulée sans toutefois atteindre la sécurité totale qui, malheureusement, n’existe jamais.

Les entreprises, pour qui la disponibilité du système d’information et des données est fondamentale, verront ainsi un avantage déterminant à se doter d’un système de copie « par image système » sur NAS.

En approchant la pertinence d’un PRA structuré, ce type de plan de secours permet de réinjecter très rapidement, même sur matériel temporaire, la globalité d’un système (système/programmes/données) et permet une reprise d’activité indolore en temps.

La prévention restant inéluctablement le meilleur moyen de s’éviter les fâcheuses conséquences d’une perte de données dont le coût reste toujours incalculable, il est donc urgent pour un grand nombre de petites structures de réviser leur stratégie de sécurité.

SYNTHESE INFORMATIQUE;