Les ransomwares, aussi appelés rançongiciels ou logiciels de rançon, rendent inutilisables les documents qui se trouvent sur l’ordinateur infecté. Voici sept recommandations pour protéger votre PME et limiter les pertes de données en cas d’attaque.
Ils portent des noms tels que Lockbit, Babuk, Play ou ALPHV/Blackcat; quand ils apparaissent, plus rien ne va. Lorsque l’un de ces agents de ransomware se déchaîne sur le réseau de l’entreprise, il crypte toutes les données, et les débloque (éventuellement) moyennant le paiement d’une rançon – d’où les termes de «rançongiciel» ou de «chevaux de Troie de cryptage». Les attaques sont généralisées et automatisées, et les bandes qui pratiquent le ransomware sont bien organisées et professionnelles. Ces attaques représentent un risque important pour la sécurité des entreprises, car elles peuvent toucher tout le monde sans discernement.
Des documents d’abord volés, puis cryptés
L’Office fédéral de la cybersécurité (OFCS), anciennement Centre national pour la cybersécurité (NCSC), a reçu en 2023 une centaine de signalements d’attaques par ransomware, un chiffre un peu plus bas que l’année précédente. Certains d’entre eux ont fait beaucoup de bruit. Mais cette stagnation des signalements est trompeuse: d’une part, de nombreux cas ne sont probablement pas recensés, d’autre part, un nouvel acteur peut surgir à tout moment et déclencher une vague de ransomware.
Par ailleurs, les attaques sont devenues plus dangereuses et ne se limitent plus au cryptage des données. En guise de moyen de pression supplémentaire, les documents de l’entreprise sont d’abord volés, avec la menace ultérieure de publier les données sur le Darknet si la victime refuse de payer. Dans son rapport annuel 2023, l’OFCS souligne que cela a été le cas dans la quasi-totalité des attaques de ransomware signalées. Les «Leak Sites» des bandes de ransomware contiennent donc régulièrement des données confidentielles volées à des entreprises et organisations suisses.
La publication de données professionnelles confidentielles peut entraîner des atteintes à la réputation, des interruptions d’exploitation et des conséquences financières et juridiques. Les PME ont donc tout intérêt à protéger leur système informatique de manière qu’une éventuelle attaque n’entraîne aucune perte de données, ou seulement une perte supportable, et que les dommages soient limités. La meilleure protection associe mesures techniques et organisationnelles à une sensibilisation des collaborateurs aux e-mails de phishing et aux cyberattaques.
Sept recommandations pour se protéger des ransomwares
Ces mesures vous permettent de limiter les risques et les pertes de données en cas d’attaque par ransomware:
1. Procédez régulièrement à des mises à jour des systèmes d’exploitation et des applications
La plupart des ransomwares exploitent des failles de sécurité connues. Misez donc sur les mises à jour automatiques, voire manuelles, pour combler le plus rapidement possible de telles lacunes dans Windows et les applications. Les navigateurs Web, les applications Office et le système Windows lui-même sont particulièrement vulnérables, car ils représentent des points d’attaque appréciés. Et si vous utilisez encore Windows 7, qui n’est plus mis à jour, profitez de la menace des ransomwares pour passer le plus rapidement possible à Windows 10 (ou 11).
2. Utilisez un logiciel antivirus et la protection de Windows contre les ransomwares («accès contrôlé aux dossiers»)
Microsoft Defender ou le logiciel antivirus d’un autre fournisseur peut protéger votre système au moins contre les logiciels malveillants connus. Là encore, il est important que le logiciel antivirus et les définitions des virus soient toujours mis à jour. Les mises à jour automatiques sont ici obligatoires.
À partir de la version 10, Windows propose en outre l’«accès contrôlé aux dossiers» dans les paramètres «Sécurité Windows». Il s’agit d’une protection supplémentaire qui empêche les logiciels malveillants tels que les ransomwares d’accéder à certains répertoires. Si vous activez cette protection, vous devez cependant vous attendre à quelques «faux positifs» au début, car des applications légitimes sont souvent elles aussi empêchées d’accéder aux dossiers protégés. Dans ce cas, vous pouvez autoriser manuellement (avec des droits d’administrateur) l’accès ultérieur.
3. Utilisez un firewall dans votre PME
Différents fabricants proposent des firewalls destinés aux PME, par exemple Managed Security de Swisscom, qui peuvent être utilisés même sans connaissances techniques approfondies. Le firewall relie le réseau local (Ethernet et WLAN) à Internet, protège contre les accès étrangers et peut, entre autres, bloquer des adresses Internet connues pour être des points de propagation des virus. Il est également judicieux de disposer d’un firewall qui analyse le trafic réseau à la recherche de logiciels malveillants et qui peut ainsi détecter les ransomwares.
4. Utilisez un stockage cloud sûr avec versionnage
Un système de stockage dans le cloud conserve différentes versions d’un document (ce qu’on appelle le versionnage ou la prise d’instantanés à intervalles réguliers) et vous permet de réagir rapidement en cas de cryptage par ransomware en revenant à la dernière version enregistrée des fichiers avant l’attaque. Dans l’idéal, vous ne perdez ainsi que quelques minutes de votre travail. Les logiciels SharePoint et OneDrive (for Business) de Microsoft 365 for Business, par exemple, incluent le versionnage.
Si de nombreux collaborateurs et collaboratrices travaillent à domicile, le firewall de l’entreprise ne sert pas à grand-chose. Veillez à ce que les documents professionnels ne soient pas stockés localement sur l’ordinateur, mais dans le cloud. Vous augmenterez ainsi considérablement vos chances de les récupérer après une attaque de ransomware. Vous simplifierez en outre la collaboration et l’échange de documents au sein de votre entreprise.
5. Protégez les accès à distance (VPN, Webmail, etc.) à l’aide d’une authentification à deux facteurs (2FA)
Toutes les applications accessibles via Internet doivent être sécurisées non seulement à l’aide d’un mot de passe, mais également avec un deuxième facteur. Selon l’application, cela peut se faire via Mobile ID ou au moyen d’une application d’authentification sur smartphone, par exemple celle de Google ou de Microsoft.
Avec l’authentification à deux facteurs (2FA), vous compliquez l’accès au compte d’entreprise pour les cyber-criminels, car l’assaillant doit non seulement connaître le mot de passe, mais également le deuxième facteur.
Les accès suivants doivent impérativement être protégés à l’aide d’une authentification 2FA:
- Comptes Microsoft et Google (Microsoft 365 et Google Workspace)
- Accès à distance au réseau d’entreprise via un VPN (Virtual Private Network)
- Accès Remote Desktop
- Comptes Webmail
- Applications d’entreprise basées sur le Web (ERP, CRM, etc.)
- Comptes de réseaux sociaux
6. Faites une sauvegarde
Cela vaut pour les serveurs locaux et pour le stockage sur le cloud: en cas d’attaque, si vous avez sauvegardé l’ensemble du système, vous pourrez au moins retourner à l’état précédant la contamination. Cela simplifie le rétablissement du système, mais n’offre qu’une protection limitée par rapport aux pertes de données, en raison d’intervalles assez longs (une fois par jour en général).
Il est également important de protéger la sauvegarde elle-même contre une attaque par ransomware. Pour ce faire, vous devez au moins la protéger contre toute modification, par exemple avec une protection en écriture ou en accès. Mais il est encore plus judicieux que les supports de sauvegarde soient déconnectés une fois la sauvegarde effectuée et qu’ils ne soient pas du tout accessibles via le réseau (ce qu’on appelle le «backup hors ligne»). Une sauvegarde sur le cloud est une variante moderne qui peut également protéger la sauvegarde des ransomwares.
7. Sensibilisez votre personnel!
Ce conseil est central, car de nombreuses attaques de ransomware fructueuses commencent par le clic d’une personne. Comme ce logiciel malveillant est souvent diffusé par e-mail d’hameçonnage, il commence son activité après que le destinataire a cliqué sur un lien ou a ouvert une pièce jointe contenus dans l’e-mail. En sensibilisant votre personnel à cet état de fait, vous bénéficierez d’un bouclier de protection supplémentaire.
Testez votre sécurité informatique
Environ 36 % des PME suisses ont déjà été victimes d’une cyberattaque. Avez-vous une bonne protection? Grâce à notre test de sécurité IT, vous pouvez examiner le niveau de sécurité de votre entreprise et découvrir les mesures que vous pourriez prendre.
Conseil supplémentaire: segmentez votre réseau
Ce conseil dépasse le cadre de cet article et dépend de la taille de l’entreprise. Divisez le réseau local de l’entreprise en différents secteurs (zones). Une telle segmentation permet d’éviter que les ransomwares ne se propagent sur l’ensemble du réseau. Dans tous les cas, il est judicieux de proposer un réseau local sans fil aux personnes externes et de séparer l’accès au réseau pour les visiteurs et le personnel.
Que faire en cas d’attaque de ransomware?
Si, malgré toutes les mesures de sécurité, vous constatez une attaque de ransomware, déconnectez immédiatement les ordinateurs du réseau et de tous les supports de stockage qui y sont reliés afin d’éviter d’autres dommages. Éventuellement, coupez la connexion Internet pour interrompre une fuite de données en cours – si cette dernière n’a pas déjà eu lieu. Dans la plupart des cas d’infection par un logiciel malveillant, il est recommandé de reconfigurer entièrement les ordinateurs et de changer tous les mots de passe. Si vous avez prévu une sauvegarde pour l’ensemble du système, vous pouvez l’utiliser pour rétablir ce dernier.
Et si un ransomware parvient malgré tout à s’infiltrer dans votre système informatique, vous trouverez dans cet article des conseils utiles sur la manière de réagir à une cyberattaque.
Version actualisée et étendue d’un article existant.