Facebook EmaiInACirclel
Cloud – big data

Comment être certain de payer la rançon sur ses données?

PentaGuy
PentaGuy
Blogger

Dans ma série de contenus sur le « ratage en 5 points », je vous propose cette fois-ci une déclinaison sur le ransomware. Si vous n’avez pas été touché par ce type d’extorsion, il s’agit d’un virus qui s’introduisant sur le poste de travail (par un site ou une pièce jointe dans un courriel) va crypter l’ensemble des fichiers données accessibles (sur le poste et sur les disques réseau). A l’ouverture, un message est affiché pour indiquer la procédure à suivre pour effectuer le paiement pour obtenir en échange la clé de décryptage.

Oublier de vérifier ses sauvegardes régulièrement

Même s’il s’agit d’une attaque industrialisée (vous n’êtes pas directement visé), l’intrusion va chercher à tous les volumes réseaux auxquels il peut accéder.
Pour éviter les très mauvaises surprises, il faut donc vérifier régulièrement le bon fonctionnement des sauvegardes par une restauration. En complément, il est indispensable de protéger les sauvegardes. Une sauvegarde sur disque réseau (même amovible) est facile à gérer mais si les volumes de partage sont accessibles, on imagine bien la conséquence du cryptage des fichiers de sauvegarde.

Ne pas sensibiliser ses usagers

Les usagers sont à la source de 80% des failles du système d’information. Les intrusions des ransomware passent essentiellement par l’ouverture d’une pièce attachée dans un courriel. Si les usagers ne sont pas sensibilisés pour bien réagir à la réception de ces courriels, l’utilisation de clé USB, … c’est prendre beaucoup de risque.

Donner les accès à tout le monde

Sur des audits d’infrastructure, on voit régulièrement que de nombreux partages réseaux sont accessibles à trop d’usagers. Si le code malicieux les identifient, c’est l’ensemble de ces partages qui se retrouveront cryptés. Il est donc fortement conseillé d’avoir une gestion fine de l’attribution des droits d’accès (dont écriture) aux disques partagés.

Pas de SIEM

A partir du moment où l’on veut assurer une surveillance de son infrastructure et de sa sécurité pour assurer une traçabilité et une capacité de réaction rapide, un SIEM devient incontournable. Il s’agit de mettre en oeuvre une collecte des événements du système d’information pour une analyse en temps réel afin de détecter et agir sur les tentatives d’intrusion. Les outils de protection protège sur les signaux forts et directs. Le SIEM va combiner les niveaux d’analyse et détecter des signaux faibles.

Se sentir protégé

Le pire des comportements est l’ignorance. Avec l’industrialisation des attaques (par des robots), personne n’est à l’abri d’une attaque. L’entreprise n’est pas la cible mais la faiblesse de ses protections en font une cible privilégiée. Le délai moyen d’une détection d’intrusion est d’environ 200 jours. Il faut continuer de dormir la nuit, mais il faut prendre très rapidement les mesures pour se sentir protégé.

Pentalog et le Cluster EDEN proposent une démarche pour augmenter le niveau de maturité dans la gestion de sa sécurité :

  1. Sensibilisation du dirigeant : Prise de conscience que la cybersécurité est à considérer comme un risque économique.
  2. Diagnostic : Premier niveau d’analyse de l’existant pour disposer d’un plan d’action à court terme
  3. Formation : Amélioration des connaissances des collaborateurs sur les pratiques de cybersécurité
  4. Sécurisation : Mise en oeuvre des équipements et services requis au niveau de sécurité adapté à l’activité de l’entreprise – Ni laxiste, ni paranoïaque
  5. Diagnostic assurantiel : Etude de la couverture de risque cyber de l’entreprise. Il faut externaliser le risque résiduel du système d’information.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *