L’augmentation des cas de cyberattaque par ransomware (ou rançongiciel) a été fulgurante en 2020 : +50% au 3e trimestre au niveau mondial. Une envolée à laquelle n’est pas étrangère la pandémie de Covid-19, le recours massif au télétravail ayant davantage exposé les entreprises et les administrations. L’objectif de ces attaques : obliger les organisations à leur payer de fortes rançons contre le déblocage de leurs indispensables données préalablement chiffrées ou rendues inaccessibles.
Payer n'est pas la solution
Acculées par la pression, les victimes pensent souvent n’avoir d’autres choix que de payer la rançon aux hackers pour récupérer leurs données. Les consignes de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) sont pourtant claires sur ce point : il ne faut pas entretenir cette forme de cybercrime en payant et rien ne dit que les données pourront être récupérées par ce biais.
Alors que faire si l’on est attaqué ? Il y a autant de situations différentes que de types d’organisations et de rançongiciels mais quelques premières actions sont capitales pour espérer limiter les dommages, redémarrer l’activité dès que possible et peut-être récupérer des données intactes. Malgré le stress généré par un incident de ce type, il est important de prendre un peu de recul et de réfléchir avant d'agir.
Voici donc 4 conseils à suivre pour faire face à une attaque par ransomware :
1- Isoler les zones infectées et identifier le périmètre de l’attaque
Une décision doit être prise en début de crise entre déconnecter le système immédiatement pour espérer une reprise rapide d’activité ou bien prendre le temps de réunir des preuves contre les cybercriminels. Un compromis entre ces deux options devra sans doute être trouvé selon la portée, l’ampleur et l’impact de l’incident, en évaluant les risques sur l’intégrité des actifs de l’organisation. L’objectif sera quoi qu’il en soit de limiter les dégâts en bloquant l’assaillant et de tout mettre en œuvre pour un retour à la normale, avec un système utilisable et un accès préservé pour les utilisateurs.
Il faut donc commencer par déconnecter du réseau (câblé et Wi-Fi) et de tout périphérique de stockage les ordinateurs ou appareils suspectés d’être infectés, afin d’empêcher la propagation de l’attaque vers d’autres systèmes et dispositifs. Le rançongiciel peut avoir pénétré l’organisation par le biais de plusieurs ordinateurs et appareils, ou bien être dormant sans s'être encore manifesté sur certains systèmes. Il convient donc de traiter chaque matériel connecté avec suspicion.
Identifier le type de ransomware attaquant pourra également permettre de comprendre son impact, son mode de propagation, quels types de fichiers il chiffre, les options éventuelles de désinfection, puis à évaluer le périmètre de l’infection.
2- Eviter certaines actions précipitées et irréversibles
Redémarrer un ordinateur qui vient de subir une infection n’est pas recommandé car cela peut aider les logiciels malveillants les plus récents à chiffrer les fichiers. Les exécutables conçus pour parcourir les disques se bloquent parfois pour un problème d’autorisation et un redémarrage peut leur faire reprendre cette tâche. Il est donc préférable de mettre les composants en veille après déconnexion du réseau. Les responsables informatiques doivent immédiatement désactiver les tâches de maintenance automatisées sur les systèmes concernés car celles-ci peuvent interférer avec des fichiers utiles aux enquêteurs : journaux contenant des indices sur le point initial d’infection ou fichiers temporaires créés par des rançongiciels mal programmés renfermant des clés de chiffrement. Attention à ne pas restaurer le système à partir d’une sauvegarde sans avoir vérifié que celle-ci n’est pas infectée, car cela empêcherait une reprise d’activité rapide et anéantirait les chances de récupération de données. Les sauvegardes peuvent en effet avoir été contaminées par un piratage « APT » (menace persistante avancée) qui infecte les systèmes pendant une longue période avant le déclenchement de l’attaque.
3- Mettre en place une cellule de crise pour gérer l’humain et la communication
Souvent oubliée des plans de lutte contre les ransomwares, la création d’une cellule de crise est capitale pour une reprise rapide de l’activité, l’idéal étant qu’elle ait déjà été constituée et testée en amont.
De par sa connaissance de l’architecture système, le DSI ou le responsable informatique se retrouve logiquement au centre de la cellule. Son rôle et sa responsabilité étant essentiels, il convient de le protéger d’une pression trop forte et bien l’encadrer pour limiter sa charge, au risque de le voir quitter le navire en pleine tempête. Le reste de la cellule doit ainsi être constitué des cadres de direction générale, financière ou de communication.
Tous les scénarios d’évolution défavorables devront être envisagés par la cellule de crise pour anticiper des actions en conséquence, qu’il s’agisse de l’exploitation, des finances, du juridique, du social et de l’humain.
Bien gérer sa communication de crise est également primordial, à commencer par l’interne en donnant des consignes de sécurité claires aux collaborateurs et les rassurer sur les pertes ou fuites de données. Une cyberattaque peut être mal vécue par certains, communiquer régulièrement est donc la démarche à adopter pour conserver la mobilisation des salariés.
La communication externe auprès des clients, partenaires et médias est tout aussi indispensable car il s’agit d’anticiper les réponses aux interrogations de chacun avant que les rumeurs ne se répandent d’une mauvaise manière. Des communiqués de presse factuels permettront de limiter l’emballement médiatique, de rassurer le marché, et ainsi de protéger l’image de l’organisation.
4. Se faire accompagner au plus tôt par des experts
Dès le début de la crise, il est essentiel d’être accompagné par des spécialistes disposant d’une compréhension à 360° de la problématique. Cela peut aller des experts en cybersécurité, en reprise d’activité ou en récupération de données, aux assureurs jusqu’aux représentants de l’ANSSI ou de la CNIL. Il est enfin important de garder en tête que l’objectif des spécialistes institutionnels sera avant tout de comprendre et rechercher l’origine de l’attaque, tandis que des prestataires informatiques accompagnés d’experts de la récupération de données seront là en priorité pour accompagner l’organisation vers la reprise d’activité, sans toutefois compromettre une éventuelle enquête. A propos de l'auteur : Christophe Vanypre est directeur général de Recoveo.
L'organisation doit aussi s’adresser à son prestataire informatique de proximité si c’est lui qui connait le mieux son architecture système. Il sera en mesure d’identifier les sauvegardes infectées et de s’occuper de la réintégration des données, mais il devra néanmoins faire appel à un expert en cybersécurité pour éviter les actions inappropriées et irréversibles. Seule une collaboration étroite entre experts permettra de réussir à contrer ce type d’incidents.