Quelle solution contre les rançongiciels ?
L’année 2020 est d’ores et déjà une année record en matière de cyber-criminalité.
Depuis le début de l’année les attaques de type rançongiciels (ransomware en Anglais) se sont multipliées. Ce ne sont pas moins de 104 dossiers que l’ANSSI (L’Agence Nationale de la Sécurité des Systèmes d’Information) a dû traiter. Ces attaques de plus en plus sophistiquées en ont après vos données. Le principe ? Un logiciel malveillant chiffre toutes vos données et vous invite à payer une rançon pour avoir le code de déverrouillage.
Le Groupe M6, Fleury Michon et le CHU de Rouen sont des exemples de victimes récentes. Leurs témoignages ont de quoi inquiéter tout patron conscient d’éventuelles faiblesses dans son système informatique.
Un guide de 40 pages publié par le Ministère de la Justice et l’ANSSI permet de se préparer à ce type de scénario. Il offre quelques clés aux entreprises et collectivités pour anticiper ce type de scénario et apprendre à réagir correctement dans l’éventualité où, hélas, il se produirait.
Le top 5 des conseils de l’ANSSI pour réduire le risque des rançongiciels.
1. Sauvegarder ses données.
De nombreuses entreprises travaillent encore sans filet ou en utilisant des moyens de sauvegarde « manuels » qui font appel aux collaborateurs qui doivent y penser et s’y atteler. Quand on sait qu’une tâche de sauvegarde peut prendre plusieurs heures, on peut comprendre que ce ne soit pas la priorité des utilisateurs. Il est impératif d’identifier les données « vitales » de l’entreprise et de les sauvegarder en permanence ( on parle de journalisation ). Il faut également toujours prévoir le cas où une sauvegarde serait déjà contaminée. Ainsi, il faut conserver les images d’une donnée sur une longue période.
Chez B-APPLI, les données de nos logiciels en SAAS sont journalisées à la seconde sur 1 an, puis tous les mois sur 5 ans et stockées dans des bunkers numériques en redondance chez 3 hébergeurs français distincts. Notre solution de sauvegarde protège vos données des rançongiciels, même si nous en étions victimes.
2. Maintenir à jour ses logiciels et systèmes.
Il existe sur internet des bases de données en libre service listant toutes les vulnérabilités connues des logiciels. Le CERT-FR est la bibliothèque Francophone qu’il faut utiliser si vos intérêts sont français. Ne vous fiez pas à une base étrangère qui pourrait choisir de ne diffuser que certaines vulnérabilités en fonction des intérêts. L’exemple des failles CVE-2017-0143 et CVE-2017-0144 qui ont été découvertes en 2016 par la NSA mais qui n’ont fuitées qu’en 2017 en est l’illustration. Vous devez donc vous assurer que votre service informatique lise -chaque jour- les alertes publiées par le CERT. En effet, certaines de ces alertes concernent des failles contre lesquelles il n’existe parfois pas encore de solution. Les rançongiciels pourraient les exploiter.
Chez B-APPLI, nos logiciels en SAAS sont constamment mis à jour, de même que les systèmes sur lesquels ils sont installés. En utilisant les logiciels B-APPLI, vous pourrez lire votre page Sport au lieu des alertes du CERT.
3. Utiliser et maintenir à jour les logiciels antivirus.
Bien, qu’un rançongiciel puisse pénétrer votre infrastructure par une faille de sécurité, le moyen d’accès privilégié de ce type d’attaque reste l’humain. C’est par le biais d’e-mails, de clés USB ou de téléchargements douteux que rentrent généralement ces logiciels. Un antivirus scanne la mémoire de travail de l’ordinateur à la recherche de programmes qu’il connaît ou de séquences d’instructions « typiques » d’un logiciel malveillant. Ces signatures doivent être mises à jour régulièrement pour offrir aux antivirus une chance de détecter les menaces les plus récentes et tenter de bloquer le programme malveillant avant qu’il ne fasse son œuvre. Le rançongiciel traditionnel va tout simplement tenter de chiffrer tout ce qu’un ordinateur peut voir sous forme de fichiers, y compris ceux partagés en écriture sur le réseau.
Un rançongiciel ne peut pas chiffrer les données d’un logiciel hébergé en SAAS comme chez B-APPLI car il n’a aucun accès au système de fichier du serveur distant. Même en cas d’attaque sur vos systèmes, vos données chez B-APPLI seront épargnées car inaccessibles aux rançongiciels depuis votre réseau.
4. Cloisonner le système d’information.
Comme pour lutter contre la pandémie de COVID-19, le moyen le plus sûr de limiter la propagation d’un virus est de cloisonner le réseau, de limiter au maximum les simples systèmes de fichiers partagés type « partage de dossier » ainsi que les dossiers publics. De nombreuses entreprises utilisent ces disques réseaux pour organiser le travail collaboratif ou stocker des données importantes. Ce type de partage réseau est très sensible aux rançongiciels, surtout si la stratégie de sauvegarde ne journalise pas. Une version chiffrée d’un document risque d’être sauvegardée, écrasant ainsi la bonne sauvegarde. Un bon cloisonnement implique à minima l’utilisation de VLANS et de pare-feux applicatifs pour séparer et contrôler les accès entre les réseaux de postes utilisateurs et les serveurs administratifs ou les machines de production.
Le recours aux solutions B-APPLI en SAAS offre le meilleur cloisonnement possible au moindre coût : une infrastructure distante et physiquement détachée de la votre, tout en étant transparent pour vos utilisateurs.
5. Limiter les droits des utilisateurs et les autorisations des applications.
De nombreux virus utilisent comme point d’entrée une pièce jointe infectée ou une page internet exploitant une vulnérabilité du navigateur internet ou d’un de ses composants. Une bonne façon de se prémunir contre ces modes d’infection est d’éviter d’utiliser son poste de travail en mode administrateur. En effet, un virus est un programme qui s’exécute le plus souvent avec les droits de l’utilisateur qui a provoqué son lancement. Si l’utilisateur n’a que des droits limités sur son ordinateur, le virus sera également limité. Il existe toutefois certains virus qui exploitent des failles permettant une « élévation de privilèges » c’est à dire qu’ils arrivent à s’exécuter avec des droits d’administrateur même si la victime ne l’était pas.
Les attaques visent parfois des applications directement. Un logiciel serveur web est un exemple de choix, c’est la raison pour laquelle toutes les applications exposées sur un réseau doivent être tenues à jour et s’exécuter sur la machine avec des droits limités (ne pas démarrer Apache avec l’utilisateur root par exemple).
Là encore le recours au SAAS permet de s’affranchir de ces problématiques : les utilisateurs d’un logiciel SAAS n’ont aucun droit administrateur sur les systèmes d’exploitation des machines qui hébergent les logiciels. Les logiciels serveurs de nos machines font l’objet d’un audit de sécurité constant et sont à jour : vous n’aurez donc plus besoin de vous en occuper.
Retrouvez tous les conseils de l’ANSSI dans leur guide, téléchargeable ici.
Pourquoi les TPE et PME sont également concernées par les rançongiciels ?
On pourrait penser, à tort, que les rançongiciels ne ciblent que les grosses entreprises. De nombreuses petites entreprises gravitent autour des plus grosses, soit en tant que fournisseur, soit en tant que client. Quand une grosse entreprise subit une attaque de rançongiciel, il n’est pas exclu que la contamination utilise les moyens de communication de l’entreprise pour s’attaquer en chaîne à tous les contacts (fournisseurs et clients). Il se peut aussi que les fournisseurs de grandes entreprises soient ciblés dans le but d’atteindre leurs gros clients. Des écosystèmes économiques complets peuvent ainsi se retrouver dans l’incapacité de travailler.
Le SAAS est une solution efficace contre les rançongiciels. L’étanchéité naturelle permet de se protéger de ce type d’attaques indirectes et d’offrir à son client touché le meilleur soutien possible en restant intact et prêt à repartir avec lui, quand il sera sorti de la tempête.
