Découvrez ce que vous devez faire lorsque votre entreprise subit une attaque par ransomware.
Avec un plus grand nombre de personnes travaillant à distance à cause de la pandémie mondiale, les attaques par rançongiciel ont augmenté de 715% d’une année à l’autre. De plus, le FBI affirme que les rançongiciels sont l’une des menaces à la croissance la plus rapide. Cette augmentation des attaques est alimentée par de nombreux facteurs, notamment l’augmentation spectaculaire des paiements par rançongiciel et des acteurs malveillants qui deviennent plus ciblés, plus intelligents et sophistiqués.
Qu’est-ce que le rançongiciel?
Le rançongiciel est une forme de logiciel malveillant qui chiffre les fichiers d’une entreprise, selon Chief Security Magazine (CSO). L’attaquant exige alors une rançon pour rétablir l’accès aux données après paiement. Les utilisateurs reçoivent des instructions pour payer des frais afin d’obtenir la clé de déchiffrement et les coûts peuvent être élevés. Une enquête auprès d’organisations touchées par des attaques de rançongiciel a révélé que le coût moyen d’une attaque par rançongiciel s’élève à des millions de dollars.
Quelle est l’ampleur d’une menace pour un ransomware?
Les attaques par rançongiciel ont un impact significatif sur les processus d’affaires d’une entreprise. Ces incidents laissent les organisations sans les données nécessaires pour fonctionner. Ces attaques mettent généralement hors service les applications et services critiques d’une entreprise, l’empêchant de servir ses clients. Mettez-le en contexte, les entreprises sont victimes d’une attaque de rançongiciel toutes les 14 secondes. Si votre entreprise n’a pas subi d’attaque, ce n’est qu’une question de temps selon un ancien chef des forces de l’ordre.
« Car ce n’est plus une question de 'si', mais de 'quand' et de 'à quelle fréquence'. Je suis convaincu qu’il existe deux types d’entreprises : celles qui ont été piratées et celles qui le seront. Et même eux convergent en une seule catégorie : des entreprises qui ont été piratées et qui le seront à nouveau. »
— Robert Muller, ancien directeur du FBI
Comment se déroule une attaque de rançongiciel typique?
Après avoir pénétré dans un réseau, les attaquants attendent avant d’attaquer. Ils cherchent pendant au moins trois jours pour identifier les joyaux de la couronne d’une organisation, tels que des applications critiques comme SAP, Oracle E-Business Suite et JD Edwards. Ces acteurs malveillants peuvent se déplacer dans votre environnement informatique pour découvrir et chiffrer des applications importantes afin d’exiger des rançons plus élevées et d’augmenter leurs profits.
Les acteurs malveillants attaquent souvent en dehors des heures normales de bureau, comme tard le soir les fins de semaine (c’est-à-dire 2 h du matin le dimanche). Les pirates lancent leur attaque à ce moment-là parce qu’ils savent que les délais de réponse et la remédiation de l’entreprise seront plus lents.
Quelles sont les 10 étapes à suivre après une attaque de rançongiciel?
Il y a 10 étapes critiques à suivre immédiatement après une attaque de rançongiciel. Plongeons dans chacune de ces étapes.
Étape #1 | Confirmez l’attaque par ransomware
Il est important de confirmer si l’événement était réellement une attaque. Beaucoup d’incidents résultent d’incidents d’hameçonnage ou de logiciels malveillants, mais pas spécifiquement de rançongiciels. Si c’est un rançongiciel, vous devriez vérifier si les fichiers sont chiffrés ou verrouillés.
Étape #2 | Constituez votre équipe d’intervention en cas d’incident
Cette équipe d’intervention en cas d’incident devrait être composée de membres de votre équipe de direction ou de direction, de personnel informatique, de marketing, d’agences de relations publiques et d’équipes juridiques. Et bien sûr, vous devriez faire appel aux professionnels des rançongiciels. Tout le monde est-il au courant de l’attaque par rançongiciel? Sont-ils prêts à s’attaquer aux efforts de réponse? Le temps presse, donc il est important d’avoir la liste des membres de l’équipe établie à l’avance.
Étape #3 | Analysez l’attaque
L’étape suivante consiste à évaluer l’incident et à déterminer quelles applications, réseaux et systèmes ont été affectés. À quel point le logiciel malveillant se propage-t-il activement? Il est important d’identifier les entités associées afin de déterminer si un paiement par rançongiciel est possible. Parfois, les forces de l’ordre comme le FBI interviennent et vous êtes empêché de payer le rançongiciel.
Étape #4 | Contenir l’incident
Une fois l’attaque analysée, l’étape suivante consiste à contenir l’incident en déconnectant les systèmes infectés du réseau afin de s’assurer que l’attaque ne se propage pas à d’autres ordinateurs et appareils. Assurez-vous que les sauvegardes sont sécurisées et exemptes de logiciels malveillants. Regardez les preuves comme les fichiers journaux, les images système et la clé de chiffrement récupérable.
Il est important de documenter des preuves pour l’assurance et le gouvernement. Vous devriez vérifier fréquemment vos preuves pour vous assurer qu’elles sont toujours présentes, surtout si l’attaque est toujours active. Les pirates pourraient tenter de couvrir leurs traces. Tu devrais vérifier si les hackers sont présents dans ton environnement. S’ils ont bougé un moment sans que tu t’en rendes compte, ils pourraient encore faire ça.
De plus, vous devriez documenter la rapidité avec laquelle l’incident a été détecté afin d’avoir ces informations pour vos parties prenantes clés, l’assurance et les forces de l’ordre.
Étape #5 | Effectuez une enquête complète
Ensuite, vous devez identifier quelle variété de rançongiciel est utilisée. Il y a beaucoup de variantes de ransomware à surveiller comme STOP (DJVU), Dharma, Phobos, Globelmposter, REevil et GandCrab. Déterminez les risques potentiels et les options de récupération. Quelle est la puissance du chiffrement des rançongiciels? Vous pourriez envisager l’initiative No More Ransomware . Il s’agit d’un partenariat entre les forces de l’ordre et les entreprises de sécurité informatique. Cela aide les victimes de rançongiciels à récupérer des fichiers lorsque c’est plausible.
Étape #6 | Contactez les forces de l’ordre
Après avoir mené votre enquête interne, vous devriez signaler l’attaque par rançongiciel aux forces de l’ordre telles que le FBI, le Multi-State Information Sharing and Analysis Center et le Internet Crime Compliant Center. Vous devriez impliquer les forces de l’ordre si l’affaire est un incident à fort impact ou une violation de données. Des experts en application de la loi peuvent vous guider sur les prochaines étapes, selon l’organisation criminelle impliquée dans l’attaque. Vous devriez aussi engager une entreprise tierce comme Syntax qui peut aider avec les services de réponse aux rançongiciels. En partenariat avec CrowdStrike, Syntax a développé une stratégie et un processus de réponse aux attaques contre les rançongiciels.
Étape #7 | Éliminer les logiciels malveillants et récupérer
Maintenant, vous devez effacer les systèmes infectés et restaurer les données perdues de vos sauvegardes. Il est important de changer tous les comptes, surtout les mots de passe de votre réseau et de vos systèmes. Retirez les appareils des systèmes du réseau, puis changez de nouveau les mots de passe une fois que le logiciel malveillant est complètement éliminé.
Étape #8 | Effectuer des activités post-incident
Respectez les exigences réglementaires et de notification de violation. Vérifier la restauration des sauvegardes pour s’assurer que toutes les applications, données et systèmes sont comptabilisés. Identifier l’exposition des données des clients et préparer des notifications légales exigeantes telles que le Règlement général sur la protection des données (RGPD), la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et d’autres lois.
Étape #9 | Organisez une réunion de leçons apprises
Découvrez et analysez pourquoi le rançongiciel a eu lieu. Assurez-vous que vos vulnérabilités ne soient pas compromises à l’avenir. Effectuer une formation supplémentaire à la sensibilisation à la sécurité et établir ou réviser les politiques de sécurité. De plus, créez ou affinez votre plan d’incident de rançongiciel. Vous devrez peut-être en élaborer un ou revoir votre plan actuel. Mettez aussi à jour le plan en fonction des principales leçons apprises.
Étape #10 | Mettre en place un centre d’opérations de sécurité (SOC)
Configurez un SOC en interne pour de futurs incidents de sécurité ou collaborez avec un fournisseur de services gérés qui a un SOC qui peut vous aider 24 heures sur 24. Par exemple, tous les SyntaxLes services de sécurité sont gérés et surveillés par notre équipe 24 heures sur 24, 7 jours sur 7. Nos clients trouvent cela crucial, car il est difficile d’acquérir et de retenir des professionnels de la sécurité talentueux dans l’environnement concurrentiel d’aujourd’hui. En utilisant notre SOC, vous pouvez transférer la charge lourde de l’analyse de sécurité pour votre environnement informatique vers Syntax. Nous fournissons à nos clients une suite d’outils de sécurité de pointe pour que votre personnel informatique puisse se concentrer sur la gestion de votre entreprise.
Investissez dans une solution de détection et de réponse des terminaux (EDR)
Pour protéger votre entreprise contre les rançongiciels, vous devriez acheter une solution EDR qui offre des algorithmes avancés pour détecter et contenir les rançongiciels par le comportement des acteurs malveillants. Le rançongiciel est un processus de chiffrement de fichiers que de nombreuses solutions antivirus populaires comme McAfee et Symantec permettent et que les solutions EDR sont conçues pour arrêter. Il y a beaucoup de travail avec l’EDR, donc vous devriez envisager d’engager un fournisseur tiers qui peut gérer la solution dans un modèle EDR géré.
Tout rassembler
Les cybercriminels peuvent gagner des milliers, voire des millions de dollars grâce à une seule attaque contre une entreprise. Avec les pirates de plus en plus sophistiqués et ciblés, il est important de protéger votre entreprise contre une attaque par ransomware.
Pour en savoir plus sur la façon dont nous pouvons vous aider à mieux protéger votre entreprise, regardez notre webinaire sur demande sur les rançongiciels, téléchargez notre guide ultime sur la sécurité informatique ou visitez notre page de ressources. Vous pouvez aussi nous contacter dès aujourd’hui pour découvrir comment nous pouvons protéger votre entreprise contre les rançongiciels 24 heures sur 24 grâce à nos Solutions et Services de Sécurité.