Que faire en cas d’attaque par ransomware ?

Publié le 17/03/2019 11:17 | Mis à jour le 15/09/2021 13:40

L’attaque mondiale par le ransomware WannaCry a frappé le 12 mai dernier 150 pays et infecté plus de 200 000 victimes, dont Renault en France, qui a vu sa chaîne de production interrompue, mais aussi FedEx ou le National Health Service en Grande-Bretagne. D’un montant de 300$, la rançon est payable en bitcoins exclusivement et il semble que ceux l’ayant déjà payée n’ont pas toujours obtenu la clé de décryptage. L’occasion pour nous de solliciter les conseils de notre experte cyber, Astrid-Marie Pirson, directrice de la souscription chez Hiscox. 

Qu’est-ce qu’un ransomware ?

Un ransomware, ou rançongiciel en français, est un logiciel informatique qui prend en otage les données. Dans les faits, le ransomware chiffre et bloque les fichiers contenus sur votre ordinateur et demande une rançon en échange de la clé permettant de déchiffrer vos données. Au cours des 24 derniers mois, nous avons assisté à un nombre accru d’attaques de type ransomware. Il s’infiltre souvent à travers un fichier téléchargé ou reçu par email. A son arrivée dans le système, il s’installe automatiquement et chiffre les données et fichiers de la victime. Le but du pirate informatique est d’extorquer une somme d’argent, que sa victime devra le plus souvent payer en monnaie virtuelle pour éviter toute trace, en échange de la clé de décryptage.

Dans le cas de Wannacry, le ransomware se propage via un exploit de la NSA qui avait fuité il y a quelques mois. Ceci lui a permis de se répandre plus facilement, et de s’attaquer à une faille connue du système Microsoft Windows. Cette opération de piratage d’ampleur mondiale affecte potentiellement tout ordinateur fonctionnant sur ce système d’exploitation, qui n’aurait pas installé le patch de sécurité disponible depuis le mois de mars (bulletin MS17-010).

Que faire en cas d’attaque ?

Payer la rançon ne garantit pas que les pirates fourniront la clé de décryptage, ce qui est particulièrement vrai dans le cadre de l’opération Wannacry.

 

En premier lieu, par exemple, commencer par arrêter la propagation. La plupart des entreprises fonctionnent en réseau, et une machine infectée risque de contaminer les autres ordinateurs connectés au même réseau. Il faut donc à la fois isoler les postes infectés et protéger les sauvegardes saines afin de pouvoir rapidement récupérer un maximum de données. Pour plus d’information, nous vous invitons à vous référer au communiqué publié par l’ANSSI  

Quelles sont les mesures préventives à mettre en place ?

Une étude menée par Hiscox auprès de 3000 entreprises en Grande-Bretagne, USA et Allemagne montre que plus de la moitié des entreprises ne sont pas protégées face à une cyber-attaque. Pourtant, si les hackers sont toujours plus habiles pour déceler les faiblesses informatiques, certaines mesures peuvent être instaurées pour les éviter :

  1. Installez le patch de sécurité mis à disposition par Microsoft.
  2. Sauvegardez régulièrement vos données critiques, dans l’idéal quotidiennement, à l’extérieur de votre système d’information.
  3. Prenez l’habitude de mettre systématiquement à jour les logiciels utilisés, que ce soit dans un cadre professionnel ou à titre privé (les machines sur lesquelles le correctif de mars 2017 a été installé sont, pour l’instant du moins, protégées contre Wannacry).
  4. Formez vos employés aux bonnes pratiques en matière de cyber-sécurité. Il devient de plus en plus critique d’installer un ensemble de règles pour la sécurité des entreprises. Concernant les emails, chacun doit aujourd’hui redoubler de prudence. Lorsque vous recevez un email demandant de cliquer sur un lien ou télécharger des fichiers faites attention à l’expéditeur.

Nous vous conseillons de consulter le bulletin d’alerte spécial émis par l’ANSSI (http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010/index.html), qui détaille des mesures préventives et en cas d’incident, et auquel il est fortement recommandé de se référer.  

Le conseil Hiscox

Les entreprises sont extrêmement dépendantes de leurs systèmes informatiques. En matière de cyber-sécurité, l’essentiel est de protéger son entreprise en amont afin d’éviter tout risque d’attaque. Il faut également être capable de réagir vite en cas de sinistre pour rétablir les systèmes d’information. Privilégiez les offres qui s’appuient sur un réseau d’experts partenaires afin de garantir un suivi de ses clients depuis l’analyse des systèmes existants jusqu’à la prise en charge du sinistre.

Pour en savoir plus rendez-vous sur hiscox.fr