1) Effectuez régulièrement des sauvegardes complètes de vos systèmes :
Cette précaution est le moyen le plus fiable d’éviter les temps d’arrêt et les pertes de données en cas d’attaque par ransomware. Grâce à ces sauvegardes opportunes, vous pourrez revenir en arrière et récupérer les données enregistrées sur vos systèmes avant l’attaque. Vous ne perdrez que les données créées entre la dernière sauvegarde et l’attaque.
Avertissement : le paiement d’une rançon ne garantit pas la récupération de vos données. Les clés de déchiffrement ne fonctionnent pas toujours. Les cybercriminels, eux, se seront évaporés après avoir récupéré leur butin.
Malheureusement, un programme de sauvegarde rigoureux ne suffit pas :
• La restauration des systèmes à partir d’une sauvegarde est une opération lourde et fastidieuse.
Par ailleurs, si le point de reprise (jour et heure de la sauvegarde la plus récente) est trop ancien, de nombreuses données précieuses créées entre la sauvegarde et l’attaque seront perdues.
• Un grand nombre de variantes de ransomware recherchent délibérément les archives de sauvegardes et leur appliquent un chiffrement. Les cybercriminels savent que si vos sauvegardes sont compromises, vous serez obligé de payer la rançon. L’intégration entre l’agent de sauvegarde et les agents antimalware est indispensable à leur efficacité individuelle.
2) Déployez une solution antimalware comportementale capable de lutter contre les menaces jour zéro :
On doit en partie la virulence et le pouvoir destructeur des ransomwares à l’efficacité industrielle et à la création exponentielle par les cybercriminels de nouvelles variantes, pour la plupart des attaques jour zéro (c’est-àdire encore inédites). Un antivirus avec signature se révèle incapable de suivre le rythme des nouvelles menaces. Seule une solution antimalware en mesure d’identifier une attaque par ransomware par son comportement (comparé à un ensemble connu d’empreintes) sera efficace. Ces solutions s’appuient généralement sur l’intelligence artificielle et l’apprentissage automatique pour améliorer leur capacité à identifier les nouvelles variantes et à minimiser les faux positifs, à savoir considérer des processus inoffensifs comme malveillants.
Il reste deux défis potentiels à relever :
• Les agents de sauvegarde et les agents antimalware comportementaux ne collaborent pas toujours efficacement : ils utilisent les mêmes ressources, nuisent aux performances du terminal et perturbent leurs actions respectives.
• La plupart des entreprises ne disposent ni des compétences, ni des ressources requises pour gérer une solution de cyberprotection combinant ces deux technologies essentielles (sauvegarde et antimalware comportemental) pour lutter contre les ransomwares.
3) Appliquez les correctifs sans attendre :
Si les menaces jour zéro constituent une préoccupation majeure, vous devez également combler les failles de vos systèmes d’exploitation et applications. Autrement dit, vous devez surveiller les publications de vos fournisseurs et installer rapidement les derniers correctifs de sécurité et autres mises à jour dès leur disponibilité.
Il peut être judicieux de procéder à une analyse des vulnérabilités et d’utiliser des outils ou services de gestion des correctifs. Si vous omettez de corriger une vulnérabilité connue, vous risquez de subir l’attaque d’une ancienne souche de ransomware.
4) Proposez à votre personnel une formation de sensibilité à la sécurité :
La seule méthode vous permettant d’éviter le préjudice d’une attaque par ransomware est de ne pas le laisser pénétrer dans votre système. Prenons un exemple concret. Le vecteur d’attaque par ransomware le plus performant est le phishing, c’est-à-dire l’envoi d’e-mails apparemment fiables contenant des pièces jointes ou des liens qui chargent un malware sur le système ciblé lorsqu’un utilisateur peu méfiant clique dessus.
La formation de sensibilisation à la sécurité apprend aux collaborateurs à traiter leurs e-mails avec vigilance.
Les cybercriminels ne cessent de perfectionner leurs e-mails de phishing contenant des malwares pour qu’ils semblent inoffensifs. Ils recherchent sur les réseaux sociaux des informations sur votre vie privée, par exemple, puis créent un e-mail semblant émaner d’un correspondant légitime, tel qu’une association de quartier ou un groupe d’anciens élèves.
La formation contribue à réduire le risque d’un autre vecteur d’attaque courant : le téléchargement de malwares à partir de sites Web compromis. Rappelez à vos collaborateurs de ne pas utiliser leurs systèmes professionnels pour se rendre sur des sites Web douteux, notamment des sites qui vendent des logiciels de contrebande ou des versions piratées de films, séries et jeux vidéo populaires.
5) Soyez particulièrement attentif à la sécurité des identifiants de connexion sensibles :
La vague récente de compromissions de données de grande ampleur nous rappelle le risque qu’ils posent. Les cybercriminels profitent du fait que la plupart d’entre nous réutilisent le même mot de passe sur différents sites. Cette mauvaise habitude leur permet de lancer des attaques automatisées à l’aide d’identifiants volés en masse, à la recherche de sites où ceux-ci fonctionneront. Le problème devient sérieux si la compromission de mots de passe concerne des comptes ayant des droits d’administrateur.
Plus de cinq milliards d’identifiants de connexion sensibles ont été compromis, selon le tout dernier rapport Cyber Incident & Breach Trends Report publié par la Online Trust Alliance.
Suivez les bonnes pratiques de création de mots de passe (pour faire simple, plus ils sont longs, plus ils sont sûrs). Dans la mesure du possible, utilisez une authentification multi-facteurs pour protéger vos comptes les plus sensibles. Instaurez une règle interdisant la réutilisation de mots de passe sur plusieurs comptes et encouragez vos collaborateurs à utiliser des applications de gestion des mots de passe pour les aider à créer des mots de passe uniques et forts pour chacun de leurs comptes.