Démo gratuite Contactez-nous
Rançongiciel

Rançongiciel

Qu’est-ce que le rançongiciel ?

Un rançongiciel est un logiciel malveillant conçu spécifiquement pour prendre en otage des données, des systèmes entiers ou des réseaux. Par prise d’otage, on entend que les données et les applications sont bloquées pour les utilisateurs et les administrateurs. L’objectif du rançongiciel est de réclamer une rançon. La victime – qu’il s’agisse d’un individu ou, plus souvent, d’une organisation – doit payer une somme pour retrouver l’accès aux données ou aux systèmes. Les utilisateurs voient s’afficher un message indiquant que le système a été piraté ou pris en otage, et le propriétaire du système reçoit des instructions sur la manière de payer la rançon. Afin d’éviter toute traçabilité, le paiement se fait souvent en bitcoins ou dans d’autres crypto-monnaies.

Le rançongiciel est actuellement la forme de cybercriminalité la plus courante et la plus lucrative dans le monde, comme l’indique notamment Cyber Veilig, une association professionnelle IT spécialisée en cybersécurité, dans un white paper récent. Et dans son Cybersecuritybeeld Nederland 2023, le Coordinateur national pour la lutte contre le terrorisme et la sécurité (NCTV) s’attend à ce que les cybercriminels restent une composante majeure des cyberattaques perturbatrices aux Pays-Bas, « surtout avec des attaques par rançongiciel ». Le NCTV indique également que des montants considérables sont exigés et parfois payés lors d’attaques par rançongiciel. Les cibles ne sont pas uniquement des entreprises, les groupes de rançongiciel visent de plus en plus les organismes publics et les infrastructures critiques. Le simple fait que le terme rançongiciel soit mentionné 114 fois dans un rapport de 68 pages en dit long.

Quels types de rançongiciels existent ?

On distingue deux grandes catégories de rançongiciels :

  • Le rançongiciel de type locker empêche les utilisateurs d’accéder à leurs données et à leurs applications, souvent en bloquant le système d’exploitation. Les données restent intactes, mais elles ne sont plus accessibles. Le pirate exige un paiement pour déverrouiller le système.

  • Un « cryptor » va plus loin. Ce logiciel malveillant chiffre toutes les données sur les systèmes infectés à l’aide d’algorithmes de chiffrement. Ce rançongiciel basé sur le chiffrement est le plus répandu et le pirate exige un paiement pour déchiffrer les données.

Les variantes les plus avancées ne se limitent pas aux systèmes directement infectés. Via les réseaux d’entreprise, elles prennent aussi en otage des données stockées sur d’autres systèmes et dans le cloud. De plus, ces rançongiciels sont aujourd’hui proposés comme « service » à d’autres criminels.

Quels dommages une attaque par rançongiciel peut-elle causer ?

Dans notre société numérisée, l’ampleur des dommages causés par un rançongiciel est considérable :

  • Il y a bien sûr la rançon elle-même. Pour les entreprises, les montants atteignent rapidement des millions, mais les experts considèrent le paiement comme un dernier recours. D’abord, sans mesures complémentaires, le risque d’être à nouveau piraté en un rien de temps est élevé. Ensuite, il arrive qu’un montant plus élevé soit réclamé ou que le paiement s’avère inutile parce que le logiciel de déchiffrement ne fonctionne pas correctement.

  • Le préjudice financier peut être immense, car de plus en plus d’organisations et d’entreprises se retrouvent pratiquement à l’arrêt suite à une telle attaque par rançongiciel ; la plupart des processus sont aujourd’hui partiellement ou totalement numérisés.

  • L’impact est encore plus important si votre organisation est un prestataire de services. Une ligne de production à l’arrêt pendant une journée est déjà catastrophique, mais l’arrêt d’une banque, d’une commune ou d’un hôpital est bien plus lourd de conséquences, car les clients sont directement affectés. Une telle situation peut même conduire à des faillites.

  • N’oubliez pas enfin l’impact en termes de réputation. Même si l’impact financier pouvait être limité, vous ne souhaitez pas faire la une avec une attaque par rançongiciel réussie.

Comment reconnaître un rançongiciel ?

Vous reconnaîtrez un rançongiciel une fois le logiciel malveillant activé. Vous ne pouvez plus accéder aux fichiers ou vous avez déjà reçu une demande de rançon. Dans ce cas, l’attaque a déjà eu lieu et il s’agit de limiter les dommages, de prendre des mesures et de remettre l’organisation en fonctionnement le plus rapidement possible. Il existe toutefois, avant une telle attaque, des signes indiquant que quelque chose ne va pas dans votre environnement IT. Ils ne pointent pas forcément spécifiquement un rançongiciel, mais il est toujours recommandé de réagir au plus vite. Par exemple :

  • Des performances système dégradées. Dans le cas d’un rançongiciel, on observe souvent une activité mémoire accrue, car le logiciel prend en otage de grands volumes de fichiers en les chiffrant.

  • Dans le même ordre d’idées, un volume de communications réseau nettement plus élevé peut apparaître, par exemple pour copier des documents vers un serveur de l’attaquant.

  • Si vos administrateurs IT détectent des fichiers inconnus et de nouveaux processus via leurs outils de gestion des tâches et de configuration, cela peut également indiquer une infection par rançongiciel.

  • Il est bien sûr également important de suivre activement les alertes de vos solutions de sécurité, en particulier de vos logiciels antivirus ou anti-malware. Ces solutions préviennent déjà de nombreuses infections, mais un bon suivi reste essentiel pour éviter de nouvelles tentatives.

Conseils pour prévenir les attaques par rançongiciel

Pour prévenir les rançongiciels, il est essentiel de mettre en place une défense en profondeur. Par exemple, segmentez votre réseau en différents segments afin que les attaquants doivent déployer des efforts importants pour progresser. Les attaques par rançongiciel ont un objectif financier. Les pirates évaluent ce qu’ils peuvent gagner, c’est-à-dire la sensibilité des données, et l’effort nécessaire. Si le rapport effort-gain est défavorable, ils passent à la victime suivante. Les points d’attention suivants sont notamment essentiels :

  • Empêchez les pirates de pénétrer via des comptes utilisateurs pour propager rapidement leur rançongiciel. Tout commence par une Gestion des identités et des accès moderne, fondée sur une stratégie Zero Trust et sur une gestion automatisée des droits. Vous évitez ainsi l’accumulation inutile de droits d’accès.

  • Empêchez également la compromission des identifiants et mots de passe via le phishing. Des moyens techniques existent, mais la sensibilisation active du personnel est cruciale.

  • Misez en outre sur une gestion efficace des vulnérabilités, une gestion des correctifs rigoureuse et une segmentation appropriée. Corrigez les nouvelles vulnérabilités logicielles aussi rapidement que possible et, grâce à la segmentation, évitez qu’un point faible ne contamine l’ensemble de votre environnement IT. Une supervision réseau active vous aide également à prévenir la pollution de votre environnement IT, et en renforçant la sécurité de vos interfaces d’administration, vous évitez l’abus de vos systèmes de gestion.

  • Empêchez également l’installation non contrôlée de logiciels dans votre environnement IT. Cela va des macros dans les fichiers Office jusqu’à la shadow IT, lorsque des collaborateurs installent des logiciels non autorisés.

  • Filtrez aussi le trafic entrant et sortant de vos navigateurs afin d’éviter des infections depuis des sites malveillants.

  • Limitez enfin l’utilisation des périphériques USB. Les exemples ne manquent pas d’organisations dotées d’excellents systèmes de sécurité, mais où l’on peut insérer sans contrôle une clé USB contenant un logiciel malveillant dans le premier port d’imprimante venu.

Ces conseils vous aident à éviter de devenir la victime d’un rançongiciel. Il est toutefois judicieux de réfléchir également à ce qu’il faut faire si vous en êtes malgré tout victime. Dans ce cas, assurez-vous d’avoir défini à l’avance votre stratégie de sauvegarde.

Conseils en cas d’attaque par rançongiciel

Lors d’une attaque par rançongiciel, votre stratégie de sauvegarde est déterminante. En cas d’attaque d’ampleur, activez immédiatement votre plan de continuité, isolez votre environnement réseau de l’extérieur et collaborez avec vos experts en cybersécurité pour identifier la cause et résoudre les problèmes. Il est également important de déposer plainte et, en cas de fuite de données par exemple, d’informer les clients, les partenaires et les autorités de contrôle le cas échéant.

Mais pour remettre l’organisation en fonctionnement le plus rapidement possible, vous avez surtout besoin d’un solide mécanisme de restauration à partir de vos sauvegardes. Le Nationaal Cyber Security Centrum (NCSC) fournit notamment des recommandations détaillées pour une telle stratégie de sauvegarde, par exemple avec la règle 3-2-1-1. Cette stratégie de sauvegarde implique de conserver en permanence au moins trois copies distinctes de vos données et applications. Ces sauvegardes doivent être stockées sur au moins deux supports différents, dont une copie conservée sur un autre site et une copie maintenue hors ligne.

Rançongiciel et IAM

Besoin de plus de conseils pour prévenir les attaques par rançongiciel ?

Comme expliqué, la prévention contre les rançongiciels requiert une approche globale, allant de bons outils anti-malware à une stratégie de sauvegarde adaptée. Un autre maillon de sécurité mentionné est une Gestion des identités et des accès moderne. L’une des méthodes les plus simples pour installer et propager un rançongiciel passe par des comptes utilisateurs classiques ou, plus dangereux encore, par des comptes d’administration. Avec des solutions IAM modernes, vous sécurisez de manière optimale l’accès à votre réseau et vous veillez à ce que les utilisateurs ne disposent jamais de plus de droits que strictement nécessaire. Vous empêchez ainsi l’accès des cybercriminels et, s’ils parviennent malgré tout à entrer, vous en limitez autant que possible l’impact. Nos consultants se feront un plaisir de vous en dire plus.

[1] https://cyberveilignederland.nl/upload/userfiles/files/CVNL_Ransomware_def.pdf

[2] https://www.rijksoverheid.nl/documenten/rapporten/2023/07/03/tk-bijlage-cybersecuritybeeld-nederland-2023

[3] https://www.ncsc.nl/wat-kun-je-zelf-doen/documenten/factsheets/2020/juni/30/factsheet-ransomware

Comment l’IAM permet-il de prévenir les rançongiciels ?

Pour les pirates, la manière la plus simple d’installer un logiciel malveillant passe par des comptes utilisateurs et des comptes d’administration. Des environnements IAM modernes veillent à ce que les personnes n’aient accès qu’aux applications et aux données strictement nécessaires. Vous pouvez en outre renforcer le contrôle d’accès avec, par exemple, l’authentification multifacteur. Vous évitez ainsi que des acteurs malveillants n’accèdent à votre réseau.

Qu’est-ce que le Ransomware-as-a-Service ?

Certains cybercriminels se spécialisent dans l’obtention d’accès aux entreprises à l’aide de leurs logiciels de rançongiciel. Ils vendent ensuite cet accès à des « clients » qui utilisent cet accès illégal pour lancer une action de rançongiciel.

Payer lors d’une attaque par rançongiciel n’est-il pas moins coûteux ?

Payer peut sembler plus simple que de restaurer votre environnement IT. Malheureusement, cela conduit souvent à des demandes de rançon supplémentaires. Et la prétendue solution de déchiffrement censée rétablir l’accès aux données ne fonctionne souvent pas. Payer n’est donc généralement pas une solution. Mettez en place un plan de continuité robuste et une excellente stratégie de sauvegarde.