Les attaques par ransomware sont devenues une plaie pour toutes les entreprises, tous secteurs d’activités confondus. Sur l’année passée, les cybercriminels s’en sont pris à des écoles, transporteurs, hôpitaux et davantage. Compte tenu de l’impact majeur de ces attaques sur les organisations, les professionnels de la sécurité doivent repenser la sécurité de leurs systèmes, réseaux et logiciels.
Qu’est-ce qu’une attaque par ransomware ?
Le ransomware est un type de malware qui prend en otage des données critiques et exige le paiement d’une rançon. Cette méthode d’attaque présente un fort potentiel de dommage. Les emails de phishing constituent une méthode classique d’infection par un ransomware, mais cette menace peut également être inoculée via des téléchargements furtifs, à l’insu d’un utilisateur visitant un site malveillant. Les attaques évoluées sont capables d’infecter les endpoints en quelques secondes et un ransomware ne prend guère plus de temps pour endommager vos systèmes et infrastructures. Il est donc essentiel que les entreprises s’y préparent. Face à des attaques toujours plus sophistiquées, l’impact d’un ransomware peut aller au-delà des pertes financières et de productivité qui résultent de la mise à l’arrêt de systèmes.
Les tentatives d’attaque et les piratages de données sont inévitables et aucune entreprise ne désire être forcée de choisir entre payer une rançon ou perdre des données importantes. Fort heureusement, ces deux options ne sont pas les seules. La meilleure des options reste d’ailleurs de ne pas être confronté à un tel choix ! Pour y parvenir, encore faut-il déployer une sécurité multicouche, adossée à une veille proactive sur les menaces, pour ainsi protéger le réseau, les endpoints, les applications et les data centers. Dans cette optique, voici 9 recommandations pour que les entreprises disposent des meilleures chances d’éviter les attaques par ransomware :
Passerelle de sécurité email et sandboxing
L’email est l’un des vecteurs d’attaque les plus populaires. Une passerelle de sécurité email déploie une protection multicouche évoluée contre l’ensemble des menaces véhiculées par email. Le sandboxing est une couche supplémentaire de protection : tout email filtré au niveau de la passerelle et qui contient encore des liens, expéditeurs ou types de fichier inconnus peut être testé en amont du réseau ou du serveur email.
Sécurité/Pare-feu d’application web
Un pare-feu d’application Web (WAF pour web application firewall) sécurise les applications web en filtrant et surveillant le trafic HTTP vers et à partir d’un service web. Ce maillon essentiel de la sécurité est la première ligne de défense contre les cyberattaques. Alors que les entreprises mettent en œuvre de nouveaux projets digitaux, elles participent à étendre la surface d’attaque. Les nouvelles applications web et API peuvent être exposées à un trafic malveillant compte tenu des vulnérabilités des serveurs web ou des plugins de serveur notamment. Un WAF permet de sécuriser les applications et les contenus auxquels elles accèdent.
Un partage des informations de veille sur les menaces
Les entreprises doivent pouvoir recourir à une veille décisionnelle en temps réel pour maîtriser les menaces inconnues. Cette information doit être à disposition des différents produits et couches de sécurité, pour ainsi assurer une défense proactive. De plus, ce partage d’information doit être plus large, en dehors de l’entreprise, vers la communauté des acteurs de la cybersécurité : les CERT, les centres d’analyse et de partage de l’information ou encore des consortiums comme la Cyber Threat Alliance. Le partage rapide d’informations est le meilleur moyen de répondre rapidement aux attaques et de neutraliser la chaîne de frappe (killchain) avant toute propagation de la menace vers des systèmes ou entreprises tierces.
Protection des endpoints
L’efficacité des antivirus traditionnels n’est pas toujours optimale. Face à des menaces qui continuent à évoluer, ces outils ont du mal à suivre. Les entreprises doivent s’assurer de pouvoir protéger leurs endpoints de manière efficace, en faisant appel, par exemple, à une solution EDR (endpointdiscovery and response). Au sein de l’univers actuel des menaces, les attaques évoluées peuvent pirater des endpoints en quelques secondes ou minutes. La première génération des outils EDR connaît ses limites puisqu’elle exige de trier et de traiter les alertes de manière manuelle. Ces outils, trop lents face aux menaces ultra rapides d’aujourd’hui, génèrent de trop nombreuses alertes qui pèsent lourdement sur des équipes de cybersécurité déjà fortement mobilisées par ailleurs. De plus, les outils EDR hérités sont susceptibles de creuser la facture des opérations de sécurité et de ralentir les processus/fonctions réseau. D’où un impact majeur sur les entreprises.
En revanche, les outils EDR de nouvelle-génération offrent de nombreuses fonctions sophistiquées et temps-réel pour protéger les endpoints : veille sur les menaces, visibilité, analyses, gestion et protection des endpoints. La protection contre les ransomware s’établit ainsi en amont ou en aval de l’infection. Ces solutions EDR peuvent détecter et neutraliser des menaces potentielles en temps réel, pour réduire proactivement la surface d’attaque, prévenir les infections par malware et automatiser les procédures de réponse et de remédiation grâce à des playbooks personnalisés.
Sauvegarde de données et réponse aux incidents
L’entreprise doit pouvoir assurer des sauvegardes de tous vos systèmes, stockées hors du réseau corporate. Ces sauvegardes doivent être testées pour valider leur utilisation dans un processus de restauration. Chaque entreprise doit disposer d’un plan de réponse à une attaque réussie par ransomware, avec notamment une définition et une attribution efficaces des rôles. Par exemple, qui doit-on contacter pour mener une expertise post-incident ? Disposons-nous d’experts pour restaurer nos systèmes au plus vite ? D’autre part, des exercices doivent être menés régulièrement pour tester ses capacités à assurer une restauration post-ransomware.
Mise en œuvre de l’accès Zero Trust
Le modèle de sécurité Zero Trust part du principe que toute personne ou tout dispositif qui tente de se connecter au réseau constitue une menace potentielle. Ce principe de sécurité réseau établit que personne ne doit être considéré comme étant de confiance tant que son identité n’a pas été validée. Le modèle Zero Trust reconnaît que les menaces sont omniprésentes, hors ou sur le réseau. Cette hypothèse incite les administrateurs réseau à concevoir des mesures strictes de contrôle.
Avec l’approche Zero Trust, chaque individu ou dispositif qui tente d’accéder au réseau ou à une application doit être identifié de manière stricte avant qu’un accès ne soit accordé. Cette vérification, utilise une authentification multifactorielle (MFA) et exige des utilisateurs plusieurs données d’authentification avant que l’accès ne leur soit accordé. Le Zero Trust intègre également le contrôle d’accès au réseau (NAC), dont le rôle est de restreindre l’accès des utilisateurs et dispositifs non autorisés à un réseau corporate ou privé. Ainsi, seuls les utilisateurs authentifiés et dispositifs légitimes et conformes aux règles en vigueur peuvent accéder au réseau.
Pare-feu et segmentation du réseau
La segmentation devient une pratique commune compte tenu d’une adoption croissante du cloud, notamment au sein des environnements multi-cloud et hybride. Avec la segmentation réseau, les entreprises partitionnent leur réseau selon les besoins métier et en accordent l’accès selon le rôle ou le statut de confiance. Chaque requête sur le réseau est inspectée à l’aune du statut de confiance du requérant. Cette approche permet de contrer les mouvements internes d’une menace qui aurait réussi à s’immiscer sur le réseau en dépit des défenses en place.
Sensibilisation des utilisateurs et bonnes pratiques de sécurité
L’humain doit être au centre de toute stratégie de cybersécurité. Selon le 2021 Verizon Data Breach Investigations Report, 85% des incidents de données impliquent une action humaine. Il faut s’assurer que ses collaborateurs ont été formés à l’identification et au reporting de cyberactivités suspectes, à la mise en œuvre des bonnes pratiques de sécurité et à la nécessité de sécuriser leurs dispositifs personnels et réseaux résidentiels. Les collaborateurs doivent être formés dès leur embauche, puis à échéance régulière, pour être à jour des risques qui pèsent sur eux et des méthodes pour les juguler. Les formations doivent également être actualisées et intégrer tout nouveau protocole de sécurité susceptible d’être déployé.
Les utilisateurs, et notamment des télétravailleurs, doivent être formés à repérer les demandes suspectes et à mettre en œuvre les outils et protocoles de sécurité de base. C’est à ce titre que les DSSI pourront ériger une ligne de défense qui protège l’edge le plus vulnérable de leur réseau et sécuriser les ressources digitales critiques. Notons enfin que les entreprises doivent s’assurer que leurs systèmes sont mis à jour et qu’ils disposent des correctifs les plus récents.
Technologies de leurre
Les entreprises sont invitées à se pencher sur ce type de technologies qui permet de protéger les systèmes contre des cybercriminels qui parviennent à s’immiscer sur votre réseau en dépit de la ligne de défense existante. Les technologies de leurre simulent les serveurs, applications et données réellement en place. Les assaillants sont ainsi piégés lorsqu’ils pensent, à tort, s’être infiltrés sur le réseau et avoir obtenu l’accès aux ressources critiques de l’entreprise. Cette approche peut être utilisée pour minimiser les dommages et protéger les ressources réelles de l’entreprise. De plus, une technologie de leurre accélère l’identification et la prise en charge des menaces.
Êtes-vous prêts à déjouer les ransomware ?
Les attaques par ransomware, omniprésentes, touchent toutes les entreprises, quelle que soit leur taille. Les cybercriminels cherchent à identifier un point d’accès simple vers le réseau. La récente migration massive vers le télétravail a fait émerger de nombreuses vulnérabilités que les assaillants sont prêts à exploiter. Et ils ne s’en privent pas. Selon le Fortinet Global ThreatLandscape Report, ce ne sont pas moins de 17 200 dispositifs qui se faisaient infecter par un ransomware chaque jour à la fin 2020.
Du côté des entreprises, il est temps de repenser la stratégie de sécurité et de la réorganiser. Aujourd’hui, des outils permettent de déployer une protection importante contre les attaques par ransomware. Ces 9 tactiques permettent de réfléchir à ce qu’il est possible de faire différemment pour que les entreprises soient mieux armées pour déjouer cette menace majeure qu’est le ransomware.
Par Renee Tarun, Deputy CISO/Vice President Information Security chez Fortinet
