Il est moins coûteux, plus facile et moins risqué de se protéger d’une attaque par ransomware que de faire face aux conséquences d’une préparation insuffisante.
Les ransomwares sont devenus une préoccupation mondiale majeure.
Et pour cause. Les attaques de ransomware sont les cybermenaces les plus importantes auxquelles les entreprises sont confrontées aujourd'hui.
Or il ne suffit que d’un clic de trop pour subir le feu de telles attaques!
Avec le nombre et l’ampleur croissants de ces attaques, associés à l’industrialisation du cybercrime d’aujourd’hui, et à sa démocratisation (RaaS: Ransomware as a Service) les compagnies doivent sans tarder:
- Prendre des mesures proactives pour les empêcher;
- Élaborer un plan pour en limiter les dommages;
- Se doter de la capacité de restaurer rapidement les opérations à la normale;
Car il est bien évident que, quel que soit le type de menace, une faible efficacité pour en contrer les effets potentiels rend une organisation beaucoup plus à risque d'être très durement affectée.
Êtes-vous préparés à une attaque de type ransomware?
Les entreprises doivent être déterminées lorsqu'il s'agit de se protéger contre cette menace. Et dans ce combat, la prévention est la meilleure défense. Car quel est le meilleur moment pour arrêter un incendie? Le plus tôt possible bien sûr. Mais idéalement avant qu’il ne se déclenche.
Dès lors, répondre à la question ci-dessus revient à :
Identifier les raisons essentielles qui permettent l’accès initial des adversaires
Les adversaires utilisent le plus souvent les vecteurs d’attaque suivants:
- Attaque par force brute ou fuite de mots de passe sur le Web Clandestin (Dark Web);
- Attaque d’hameçonnage (phishing) avec des liens ou des codes malveillants;
- L’exploitation de faiblesse des systèmes exposés à Internet, tels que des passerelles VPN et RDP;
Mettre en place les mesures de prévention requises
En ce sens, bien des attaques réussies mettent en évidence que la vraie problématique des compagnies est plus leur négligence concernant l’accès initial des adversaires que le ransomware par lui-même.
En l’occurrence, par rapport à nos 3 vecteurs, voici, de manière non exhaustive , les principales mesures à mettre en place.
- Mesures pour les attaques par force brute
- Utiliser une authentification à plusieurs facteurs;
- Mesures pour les attaques par hameçonnage
- Former les utilisateurs à identifier l'ingénierie sociale et l’hameçonnage;
- Sécuriser la messagerie;
- Configurez DKIM et DMARC pour empêcher les attaquants d'utiliser votre domaine pour des attaques d’hameçonnage;
- Mesures pour les passerelles d’accès RDP et VPN
- Définir des politiques de verrouillage de compte pour empêcher les adversaires de deviner le mot de passe;
- Utiliser une authentification à plusieurs facteurs;
Avez-vous la capacité de détecter et d’arrêter les attaques?
De manière réaliste, la mise en place de ces mesures préventives ne garantit pas que les attaquants ne puissent pas pénétrer dans votre périmètre élargi et accéder à l'appareil d'un utilisateur.
Un scénario classique
Un utilisateur reçoit un courriel malveillant qui semble légitime, l’incitant à cliquer sur un lien ou à télécharger une pièce jointe contenant un logiciel malveillant.
Une fois que l’utilisateur a cliqué sur la pièce jointe ou sur le lien, l'attaque est lancée.
Sans une protection adaptée des points d’extrémité, il n’y a rien que les organisations puissent faire pour détecter et arrêter l’attaque.
Une solution incontournable
La meilleure solution est un service MDR (Managed Detection and Response) qui peut détecter, mettre en quarantaine et supprimer les ransomwares, prévenant ainsi la perte d’accès aux données, et les perte financière ou investissement en temps qui pourraient en résulter.
Bien évidemment la capacité de détection et d’arrêt des attaques ne s’arrête pas là.
Et Il est donc essentiel d’avoir une visibilité suffisante sur les anomalies, à travers la collecte, la surveillance et la corrélation croisée des journaux d’évènements.
Par exemple dans le cas de la passerelle d’accès, il s’agit de collecter et de surveiller les journaux pour détecter des tentatives d'accès non autorisé.
En combien de temps pouvez-vous revenir à un fonctionnement normal?
Le service MDR, en plus de détecter, mettre en quarantaine et supprimer les ransomwares, est également en mesure d’inverser automatiquement toutes les modifications qui pourraient éventuellement avoir été exécutées par des codes malveillants dans les environnements Windows, vous permettant ainsi de revenir très rapidement à la normale
Il demeure que votre défense de dernier recours doit toujours reposer sur la création, le maintien et les tests fréquents de vos sauvegardes hors ligne, chiffrées, intègres et immuables en particulier pour vos données critiques.
Conclusion
Lorsqu'il s'agit de ransomware, la prévention consiste à refuser aux attaquants l'accès initial à n'importe quelle partie de votre entreprise.
Une stratégie complète devrait intégrer les points suivants :
- Déployer une authentification utilisateur résistante aux attaques;
- Détecter , mettre en quarantaine et supprimer les ransomwares;
- Inverser automatiquement toutes les modifications exécutées par des codes malveillants;
- Se doter d’une stratégie de prise de copie résiliente;
Pour lutter efficacement contre les ransomwares, vous avez 2 alternatives :
- Mettre en place l’expertise, les processus et les mesures proportionnés à la menace,
- Faire appel à un partenaire de sécurité gérée, spécialisé dans ce domaine.
Dans ce deuxième cas, soyez conscients que de petits investissements peuvent faire une grande différence.
Nos experts en cybersécurité peuvent vous aider à mieux protéger votre entreprise contre les cyberattaques grâce à nos services gérés en cybersécurité.
