Du point de vue d’un cybercriminel, les TPE et PME s’avèrent être un terrain de chasse bien plus alléchant qu’un consommateur lambda ou que les grandes entreprises. Elles sont en effet plus vulnérables que les grands groupes et elles ne disposent pas des mêmes ressources financières, leur accès à la sécurité informatique en est plus limité.
Selon l’enquête Ponemon datée de 2017 sur le panorama global de la cybersécurité au sein des TPE et PME, il apparaît que l’ensemble des sociétés du sondage ont subi au moins une attaque de ransomware au cours des douze derniers mois (et parfois même plus). La plupart d’entre elles (79 %) ont été infiltrées à la suite d’une attaque d’ingénierie sociale.
La même étude pointe également les ordinateurs comme étant la cible privilégiée des attaques (à 78 %), puis les téléphones mobiles et tablettes (à 37 %) et enfin les serveurs de l’entreprise (à 34 %). En cas d’attaque au ransomware, la plupart des victimes (60 %) paient la somme demandée.
Comment les ransomwares fonctionnent-ils ?
Les ransomwares sont une catégorie de malwares (logiciels malveillants) utilisés pour verrouiller un appareil ou en chiffrer ses données. Un message affiché sur les machines infectées demande une rançon à sa victime pour retrouver l’accès à ses données
Il existe de multiples techniques utilisées par les cybercriminels. Le screen locker bloque l’accès à l’écran de l’appareil (sauf au logiciel malveillant). Le PIN locker modifie le code PIN de l’appareil, rendant son contenu et ses fonctionnalités inaccessibles. Le ransomware de disque chiffre le MBR (Master Boot Record) et les fichiers système critiques, le crypto-ransomware chiffre les fichiers utilisateur stockés sur le disque.
Ces différents types de ransomwares exigent des paiements en Bitcoin, Monero ou toute autre cryptomonnaie. En contrepartie, les cybercriminels prétendent qu’ils restaureront l’accès à l’appareil concerné. Toutefois, il n’y a absolument aucune garantie que ces derniers respectent leurs engagements.
Prévention et restauration pour entreprise bien protégée
Benoit Grunemwald, expert en cybersécurité pour ESET France donne quinze conseils de prévention et de reprise d’activité pour lutter concrètement contre de ce type d’attaques :
- Enregistrez vos données régulièrement et conservez au moins une sauvegarde complète des documents et dossiers les plus précieux hors ligne.
- Mettez tous les logiciels et applications, y compris les systèmes d’exploitation, à jour.
- Utilisez une solution de sécurité multicouche fiable et assurez-vous que celle-ci soit à jour.
- Limitez la surface d’attaque en désactivant ou en désinstallant tous les services et logiciels inutiles.
- Analysez vos réseaux à la recherche de comptes utilisant des mots de passe faibles et assurez-vous que ceux-ci sont ensuite améliorés.
- Limitez ou interdisez l’utilisation du protocole RDP (Remote Desktop Protocol) hors du réseau, ou activez Network Level Authentication.
- Utilisez un réseau privé virtuel (VPN) pour les employés souhaitant accéder à distance aux systèmes de l’entreprise.
- Examinez les paramètres du pare-feu et fermez tous les ports non essentiels qui pourraient provoquer une infection.
- Sécurisez les configurations de vos solutions de sécurité à l’aide de mots de passe forts afin qu’elles ne soient pas désactivées par un cybercriminel.
- Segmentez le réseau local de l’entreprise en sous-réseaux et connectez-les à des pare-feu afin de limiter la propagation latérale vers d’autres machines et l’impact possible d’un ransomware (ou d’une autre attaque) au sein du réseau.
- Protégez l’accès à vos sauvegardes avec une authentification à deux ou plusieurs facteurs.
- Entraînez vos équipes à reconnaître une cyberattaque et éduquez-les aux techniques d’ingénierie sociale.
- Limitez l’accès aux fichiers et dossiers partagés seulement aux personnes qui en ont besoin et mettez le contenu en lecture seule ; la fonctionnalité d’édition ne devra être donnée qu’aux équipes directement concernées.
- Activez la détection d’applications potentiellement dangereuses ou indésirables afin de déceler et bloquer les outils pouvant être utilisés à mauvais escient par des cybercriminels qui ensuite pourraient désactiver la solution de sécurité.
- Formez et sensibilisez tous les collaborateurs de l’entreprise. Les tentatives d’hameçonnage concernent tous les employés.