Ransomwares : comment limiter les risques

Les entreprises échangent de plus en plus d’informations par email avec leurs clients, des fournisseurs, des tiers comme la banque ou les impôts… Sans ces données, l’activité n’est plus optimisée. Les cybercriminels ont parfaitement intégré cette dépendance. D’où la multiplication de mailing s’appuyant sur des ransomwares ou en français « rançongiciels » (contraction de rançon et de logiciel).

Le principe est simple, mais efficace. Caché dans une pièce jointe, ce virus chiffre (on dit par erreur « crypter ») partiellement ou entièrement les données de l’ordinateur, mais aussi celles partagées par les différents collaborateurs. On ne peut donc plus les ouvrir pour travailler.

Dès que l’infection a commencé, un message apparaît sur l’écran de l’ordinateur invitant les responsables de l’entreprise (mais les particuliers sont également visés…) à régler au plus vite une rançon (entre 500 et 3000 €). S’ils ne s’exécutent pas rapidement, le pirate avertit que les données seront perdues à jamais.

Rançon en Bitcoin

Autant dire que ce type de message, qui apparaît souvent le matin lorsqu’on consulte ses premiers emails, sème la panique. Que faire ? Faut-il régler cette rançon ? Est-on sûr de récupérer ensuite ses fichiers ? Que signifie payer en Bitcoin (une monnaie électronique basée sur un système décentralisé et qui garantit l’anonymat) ?

Devant un tel fléau, il est fondamental d’appliquer une politique de sécurité préventive reposant principalement sur deux volets: la formation des collaborateurs et la sauvegarde des données.

La sensibilisation des salariés représente l’une des meilleures parades ! Une formation leur permet d’acquérir cinq réflexes indispensables pour limiter les risques :

1. Ne jamais ouvrir de messages dont la provenance ou la forme est douteuse. La principale source d’infection reste toujours l’email.
2. Mettre à jour son système d’exploitation et ses logiciels (en particulier l’antivirus).
3. Repérer les extensions des fichiers douteuses (.bat, .exe, .scr ou encore .cab) qui sont souvent exploitées pour les ransomwares. Ne jamais cliquer sur ce type fichier en pièce jointe.
4. Désactiver les macros des suites bureautiques qui permettent d’effectuer des opérations de manière automatisée ou des raccourcis clavier. Cette règle évite la propagation des rançongiciels.
5. Utiliser un compte « utilisateur » plutôt qu’« administrateur » pour ne pas faciliter la tâche des pirates.

Des tests de restauration

Dès qu’une attaque de type rançongiciels est constatée, il convient :

• de déconnecter immédiatement le PC infecté de l’Internet (arrêt du Wi-Fi, câble Ethernet débranché). Ce réflexe évite que le virus ne se propage sur tout le réseau informatique.
• de ne pas payer la rançon : cela ne garantit en rien le « déchiffrement » des données et cela favorise le développement de ce type d’escroquerie.

Mais pour réduire sa vulnérabilité à ce type d’infection, il est indispensable de programmer des sauvegardes régulières de ses données sensibles. Il convient également de stocker ses sauvegardes sur un support qui ne soit pas raccordé à votre réseau (disque dur externe ou dans le Cloud). Cette précaution vise là aussi à limiter la propagation et à pouvoir repartir le plus vite possible à partir de bases de données saines.

Mais fonder sa sécurité uniquement sur les sauvegardes ne suffit pas… Il faut régulièrement vérifier qu’elles ne génèrent pas d’erreurs et que les restaurations de données sont optimisées. Plus d’une entreprise touchée par un ransomware l’a appris à ses dépens : au moment de restaurer ses données, elle s’est aperçue que les fichiers exploitables remontaient à… plusieurs mois.

Aucune solution logicielle ne garantit une protection à 100 %. Il faut donc rester très vigilant et anticiper !

Pour en savoir plus sur Sage