Etapes pour la réduction des risques

Maintenez à jour les systèmes d'exploitation et les applications des dispositifs.

  • Appliquez les derniers correctifs de sécurité et assurez-vous que les logiciels essentiels sont à jour, y compris sur les terminaux mobiles.
  • Activez si possible l'option de mise à jour automatique. En disposant des dernières mises à jour, les appareils seront non seulement plus sûrs, mais aussi plus performants.
  • Déterminez si des produits antivirus et anti-malware sont nécessaires et tenez-les à jour.
  • Effectuez régulièrement des analyses pour vous assurer que vos systèmes d'exploitation fonctionnent efficacement.
  • Envisagez l'utilisation d'un système centralisé de gestion des correctifs et utilisez une stratégie d'évaluation basée sur les risques pour déterminer quels systèmes doivent faire partie du programme de gestion des correctifs.
  • Sauvegardez régulièrement vos systèmes, en ligne et hors ligne. Des sauvegardes des dernières versions constituent le moyen le plus efficace de se remettre d'une attaque par rançongiciel.
  • Veillez à créer des sauvegardes hors ligne qui sont conservées dans un endroit différent (idéalement hors site), de votre réseau et de vos systèmes, et/ou dans un service de cloud computing conçu à cet effet. N'oubliez pas que les rançongiciels ciblent activement les sauvegardes pour augmenter la probabilité que les victimes paient pour récupérer leurs données.

Identifiez vos ressources et compartimentez-les.

Les données sensibles doivent être traitées différemment des données ordinaires.

  • Stockez les données sensibles dans des emplacements compartimentés.
  • Mettez en œuvre et assurez une ségrégation efficace du réseau, afin de limiter la capacité des adversaires à passer d'un segment du réseau à un autre.
  • Assurez le cloisonnement des zones présentant des caractéristiques et des profils de sécurité différents, en isolant et en limitant l'accès aux segments les plus exposés aux menaces.

Accès sécurisé aux protocoles de bureau à distance (RDP)

Limitez l’accès aux ressources sur les réseaux, notamment en restreignant les RDP. Après une évaluation des risques adéquate, si le protocole RDP est jugé absolument nécessaire pour votre organisation, urveillez les sources d'origine et exigez une authentification multifactorielle.

Surveillez l’exfiltration des données.

De nombreuses campagnes de rançongiciels sont accompagnées de la menace de divulguer des données pour inciter les entreprises à payer la rançon. Plus l'exfiltration des données est détectée tôt, plus les préjudices sont limités. La surveillance de l'exfiltration des données permet de savoir exactement quelles données risquent d'être exposées.

Il n'y a aucune garantie que le pirate ne publiera pas les données ou ne réutilisera pas les mêmes données pour un autre type de chantage. Envisagez les deux scénarios possibles, que la rançon soit payée ou non.

Testez vos systèmes.

Réalisez régulièrement des tests d’intrusion dans la sécurité de votre réseau et effectuez des tests dans le processus de restauration des informations sensibles pour vous assurer qu'il fonctionne comme prévu.

Réduisez la probabilité que des contenus malveillants atteignent vos réseaux.

  • Desactivez les environnements et macros de script.
  • Configurez vos systèmes pour inspecter activement le contenu, en n'autorisant que certains types de fichiers et en bloquant les sites web, les applications, les protocoles, etc. connus pour être malveillants.
  • Au niveau du réseau, envisagez de filtrer le trafic réseau, en mettant en œuvre des politiques pour surveiller, filtrer et bloquer le trafic illégal ou malveillant pour l'empêcher d'atteindre vos réseaux.
  • Appliquez les règles de liste noire/blanche sur la base de flux de renseignements sur les menaces en direct afin d'empêcher les utilisateurs d'accéder à des sites Web malveillants, à des adresses IP malveillantes, à des URL de hameçonnage, à des proxys anonymes, au réseau Tor et à d'autres services d'anonymisation, etc.

Utilisez des mots de passe renforcés et changez-les régulièrement.

  • Les chiffres, les symboles et les combinaisons de majuscules et de minuscules vous aideront à créer des mots de passe plus sûrs.
  • Formez et encouragez vos employés à utiliser des mots de passe forts, tant dans leur vie professionnelle que privée, et encouragez l'utilisation d'un gestionnaire de mots de passe.

Utilisez une authentification forte.

Exigez une authentification multifactorielle pour accéder aux comptes sur les réseaux sensibles afin de minimiser le risque d'accès par le biais d'informations d'identification volées ou piratées.

Gérez l'utilisation des comptes à statut.

  • Limitez la capacité de vos employés à installer et à exécuter des applications logicielles sur les appareils du réseau de l'entreprise.
  • Assurez-vous que les comptes d'utilisateurs et de systèmes sont limités grâce à des politiques d'utilisation des comptes, au contrôle des comptes d'utilisateurs et à la gestion des accès des utilisateurs privilégiés.
  • Organisez les droits d'accès sur la base des principes du moindre privilège, du principe du besoin de savoir et de la séparation des tâches. La compromission potentielle d'un compte d'utilisateur privilégié entraînerait une exposition beaucoup plus importante que celle d'un simple compte d'utilisateur.

Sécurisez votre équipement de télétravail.

  • Appliquez des mesures telles que le chiffrement du disque dur, les délais d'inactivité, les écrans de confidentialité, l'authentification forte, l’inacapacité Bluetooth et le contrôle et le chiffrement des supports amovibles (par exemple, les clés USB).
  • Mettez en place un processus pour désactiver à distance l'accès à un appareil qui a été perdu ou volé.

N'installez que des applications provenant de sources fiables.

Les entreprises ne doivent autoriser l'installation d'applications provenant de sources officielles que sur les appareils mobiles qui se connectent au réseau de l'entreprise. Vous pouvez également envisager de créer un magasin d'applications d'entreprise par lequel les utilisateurs finaux peuvent accéder aux applications approuvées par l'entreprise, les télécharger et les installer. Consultez votre fournisseur de sécurité pour obtenir des conseils ou construisez votre propre système en interne.

Méfiez-vous de l'accès aux données de l'entreprise par le biais de réseaux Wi-Fi publics.

En général, les réseaux Wi-Fi publics ne sont pas sécurisés. Si un employé accède aux données de l'entreprise en utilisant une connexion Wi-Fi gratuite dans un aéroport ou un café, ces données peuvent être exposées à des utilisateurs malveillants. Il est conseillé aux entreprises de développer des politiques d'utilisation efficaces à cet égard.

Offrez à votre personnel une formation et une sensibilisation à la cybersécurité.

  • Informez vos employés de la politique de l'entreprise en matière de sécurité en ligne. Prenez le temps de les sensibiliser aux cybermenaces, en particulier à l’hameçonnage et à l'ingénierie sociale, ainsi qu'aux mesures à prendre en cas d'activité suspecte.
  • Envisagez de mettre en œuvre un programme de formation des utilisateurs comprenant des attaques simulées pour le "spear phishing" (hameçonnage ciblé ») afin de décourager les employés de visiter des sites Web malveillants ou d'ouvrir des pièces jointes malveillantes.
  • Offrez à votre personnel un moyen simple de signaler les courriels d'hameçonnage et récompensez-le lorsqu'il le fait. Une simple fenêtre de remerciement ou un système de points inciterait les employés à se méfier et à signaler ce qui leur semble suspect.

Etudiez l'assurance responsabilité civile concernant le cyber.

Pensez à trouver une compagnie d’assurances qui propose une couverture en cas de cyber-attaque.

Activez les pare-feu locaux.

Activez les pare-feu locaux pour vous protéger contre les accès non autorisés.

Désactivez Windows PowerShell.

Désactivez Windows PowerShell s'il n'est pas utilisé. Certaines variantes de ransomware utilisent PowerShell pour s'exécuter.

Infecté... Que fait-on ?

  1. 1) Déconnectez immédiatement le(s) appareil(s) infecté(s) de toutes les connexions réseau, qu'elles soient filaires, sans fil ou basées sur un téléphone portable, sans toutefois les éteindre.
  2. 2) Dans les cas très graves, désactiver votre Wi-Fi, désactiver les connexions au réseau central (dont les interrupteurs), et se déconnecter d’internet pourraient se révéler nécessaire.
  3. 3) Réinitialisez les informations d'identification, y compris les mots de passe (en particulier pour les comptes d'administrateur et autres comptes système), mais vérifiez que vous ne vous interdisez pas l'accès aux systèmes nécessaires à la récupération.
  4. 4) Signalez les incidents à votre police nationale ou à toute autre autorité compétente.
  5. 5) Conservez tout élément de preuve, en coordination avec les autorités compétentes qui enquêtent sur l'attaque : créez une image technique des systèmes affectés (ou une capture instantanée du système), créez un vidage de la mémoire vive des systèmes affectés, et conservez tout flux net ou autres journaux de trafic réseau.
  6. 6) Consultez le site www.nomoreransom.org pour vérifier si votre société a été infectée par l'une des variantes de ransomware pour lesquelles nous disposons de systèmes de déchiffrement gratuits. Si ce n'est pas le cas, passez aux étapes de récupération.
  7. 7) Nettoyez en toute sécurité les appareils infectés et réinstallez le système d'exploitation.
  8. 8) Avant de restaurer à partir d'une sauvegarde, vérifiez qu'elle est exempte de tout logiciel malveillant. Vous ne devez restaurer que si vous êtes certain que la sauvegarde et le périphérique auquel vous la connectez sont propres.
  9. 9) Connectez les appareils à un réseau propre pour télécharger, installer et mettre à jour le système d'exploitation et tous les autres logiciels.
  10. 10) Installez, mettez à jour et exécutez un logiciel antivirus.
  11. 11) Reconnectez-vous à votre réseau.
  12. 12) Surveillez le trafic réseau et lancez des analyses antivirus pour vérifier si une infection subsiste.