FAQ sur le ransomware - Professionnels

L’erreur humaine demeure un facteur majeur dans les violations de données. Le plus souvent, l’attaque par ransomware commence par l’ouverture d’une pièce jointe piégée ou la consultation d’une page web malveillante.

Ainsi la formation des utilisateurs aux bonnes pratiques de sécurité numérique est une étape fondamentale pour lutter contre cette menace.

L’objectif est également de faire naître ou de renforcer certains réflexes chez les utilisateurs en les invitant à signaler au service informatique de l’organisation tout élément suspect (exemple : pièce jointe ou courriel douteux, clé USB offerte, requêtes inhabituelles, etc.).
 

Dédiez une ou plusieurs personnes que les utilisateurs du système informatique ont l’obligation de notifier en cas de suspicion d’un incident de sécurité. Ce point de contact doit être joignable à tout moment et chaque utilisateur doit savoir comment le contacter.

Tous les comptes d’utilisateur doivent être protégés par des mots de passe forts et uniques. L'authentification à deux facteurs (2FA) est aussi recommandée, surtout pour les accès depuis l’extérieur ainsi que pour les accès aux machines critiques de l’environnement informatique (p. ex. contrôleurs de domaine).

Des sauvegardes régulières de l’ensemble des données, y compris celles présentes sur les serveurs de fichiers, d’infrastructure et d’applications métiers critiques doivent être réalisées. Ces sauvegardes, au moins pour les plus critiques, doivent être déconnectées du système d’information pour prévenir leur chiffrement, à l’instar des autres fichiers.

L’usage de solutions de stockage à froid, comme des disques durs externes ou des bandes magnétiques, permet de protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité.

La restauration d’un système informatique depuis des sauvegardes est un processus très complexe qui nécessite de la préparation et du temps. Il est utile de faire des tests et des simulations de restauration de façon régulière.

Si, pour stocker des données à caractère personnel, vous utilisez un service d’informatique « cloud » dont les serveurs sont situés hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE), des exigences particulières s’appliquent afin d’assurer un niveau de protection des données suffisant et approprié (voir aussi "Les transferts internationaux des données personnelles"). 

Les vulnérabilités non corrigées des systèmes d’exploitation ou des logiciels présents sur le système d’information peuvent être utilisées pour infecter le système ou favoriser la propagation de l’infection. Il est crucial d’installer les mises à jour disponibles (incluant des correctifs de sécurité) dans les meilleurs délais.

En outre, il est judicieux de désactiver les macros des solutions de bureautique qui permettent d’effectuer des tâches de manière automatisée afin d’éviter la propagation des ransomwares via les vulnérabilités de ces applications.

Bien que les antivirus ne garantissent pas de protection contre des ransomwares encore inconnus, l’utilisation de ces outils reste nécessaire sur les ressources exposées (postes de travail, serveurs de fichier, etc.).

Pour que ces outils soient efficaces, il est important d’effectuer des mises à jour fréquentes et de s’assurer régulièrement de l’absence de logiciel malveillant connu sur les espaces de stockage des fichiers de l’entité.

Sans mesure de protection et à partir d’une seule machine infectée, le ransomware peut se propager sur l’ensemble de votre système d’information et infecter la plupart des machines accessibles. Pour limiter le risque de propagation, il convient de segmenter le système d’information selon des zones présentant chacune un niveau de sécurité homogène (exemple : zone des serveurs internes, zone des serveurs exposés sur l’internet, zone des postes de travail utilisateurs, zone d’administration, etc.).

Les utilisateurs ne doivent pas être administrateurs de leur poste de travail. Ceci limite la possibilité d’installation de logiciels et l’exécution involontaire de codes malveillants.

Une autre bonne pratique consiste à limiter le nombre de comptes administrateurs et le nombre d’objets (utilisateurs, services, bibliothèques, applications, etc.) présents sur le système au strict nécessaire.

En outre une revue régulière de ces utilisateurs et de leurs droits doit être effectuée dans le but de s’assurer que cela correspond à la réalité des besoins de l’organisation (départs d’employés, changements de postes, etc.)

La mise en œuvre de technologies de cryptage représente une mesure de sécurité supplémentaire pour protéger vos données stockées. De ce fait, même si les criminels réussissent à voler vos données, ils n’arriveront pas à les accéder ni à les divulguer (sous réserve que les clés de chiffrement/déchiffrement ne soient pas compromises).

Un mécanisme qui détecte l’altération massive des fichiers (en particulier par chiffrement) signale et limite les tentatives de cryptage de données exécutées par le ransomware.

Une autre bonne pratique consiste à limiter les programmes qui peuvent être exécutés en fonction des profils utilisateurs ou administrateurs afin d'éviter que les serveurs de fichiers ou les bases de données ne soient chiffrés. Il est également recommandé de limiter les droits d'écriture sur les serveurs de fichiers afin de réduire la quantité de données pouvant être chiffrées par un ransomware.

Si les employés de votre entreprise ont droit au télétravail, il est essentiel de bien séparer les outils professionnels et les outils personnels. Si votre entreprise a paramétré un ordinateur avec des accès sécurisés, des firewalls et autres antivirus, seul cet équipement doit être utilisé.

Les employés doivent aussi communiquer exclusivement via des messageries professionnelles sécurisées et entrer dans un espace de télétravail digital protégé par un mot de passe fort et/ou une double authentification.

Mettre en place des outils du type réseau VPN pour les flux professionnels permet de sécuriser les échanges et évite qu’un ordinateur personnel devienne une passerelle d’abordage pour les pirates informatiques.

En cas d’une attaque de ransomware, votre infrastructure de messagerie et de téléphone peut être perturbée. Il y a donc lieu de préparer des canaux de communication hors ligne. Conservez des copies imprimées des numéros de téléphone portable essentiels (des fournisseurs informatiques, des équipes d'assistance, etc.)

CIRCL (Computer Incident Response Center Luxembourg) offre la possibilité à une organisation privée de se connecter à MISP (« Malware Information Sharing Platform »), une plateforme de partage d'informations sur les logiciels malveillants et les menaces existantes. L'objectif de MISP est d'améliorer les contre-mesures utilisées contre les attaques ciblées et de mettre en place des actions préventives et de détection.

Dès que vous détectez une attaque de ransomware, vous devez en informer votre point de contact dédié, votre responsable de la sécurité informatique (Chief Information Security Officer, CISO) et/ou votre Délégué à la protection des données (Data Protection Officer, DPO). Ceux-ci devront alerter les responsables du système informatique et des équipements technologiques au sein de votre organisation.

Le responsable du traitement doit vérifier si des données à caractère personnel sont affectées. Si c’est le cas, il est obligé d’en notifier la CNPD dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Si la CNPD n'est pas notifiée dans les 72 heures, le responsable de traitement doit indiquer les raisons du retard. Il doit aussi contacter les personnes concernées si la violation représente un risque élevé pour celles-ci (cf. paragraphe « Les responsabilités du responsable du traitement » ci-dessus).

Afin d’éviter une propagation du ransomware sur les autres équipements informatiques de l’entité, il est important de déconnecter au plus tôt vos supports de sauvegardes après vous être assuré qu’ils ne sont pas infectés et d’isoler les équipements infectés du système d’information en les déconnectant du réseau. Il peut être utile de vérifier la présence ou non d’une éventuelle connexion sans fil sur ces équipements et, le cas échéant, de la désactiver.

Si vous décidez d'éteindre votre système, effectuez au préalable un vidage de la mémoire. Cela vous permettra de procéder ultérieurement à une acquisition de disque en créant une image disque. 

La journalisation de chaque incident permet de tracer les actions et les évènements y liés et doit contenir les informations suivantes :

• l’heure et la date de l’action entreprise suite à la détection de l’attaque ;
• le nom de la personne à l’origine de cette action ou ayant informé sur l’évènement;
• la description de l’action ou de l’évènement.

Il convient de conserver toutes les preuves de l’attaque comme les logs, les copies physiques des postes ou serveurs touchés, les fichiers chiffrés, etc.

Il est recommandé de ne jamais payer la rançon. Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les criminels à poursuivre leurs activités et entretient donc ce système frauduleux. De plus, le paiement de la rançon n’empêchera pas votre entité d’être à nouveau la cible de criminels.

Lors d'une attaque par ransomware, il est fortement recommandé de déposer plainte auprès des services de police. Les éléments suivants pourront être recherchés dans le cadre de l’enquête :

le détail et la chronologie des événements relatant l’incident

(la journalisation de l’incident) ;

• les emplacements des appareils potentiellement infectés ;
• les journaux de sécurité associés à l’incident ;
• l’analyse technique de l’attaque ;
• la collecte d’échantillons de fichiers chiffrés ;
• la préservation des supports ou des machines sur lesquels le ransomware s’est exécuté (disque système) ;
• les adresses de messagerie électronique et adresses de cryptomonnaie fournies par les cybercriminels ;
• le texte de demande de rançon ;
• les coordonnées des témoins de l’incident.

S’il y a eu une fuite de données à caractère personnel ou une perte de disponibilité engendrant un risque pour les personnes concernées, le responsable de traitement doit notifier la CNPD dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance (tout retard au-delà de ce délai doit être justifié). Cette notification est une obligation légale passible de sanctions en cas de manquement.

Vous trouverez ici le formulaire permettant d’effectuer la notification.

Si vous n’avez pas pu récolter toutes les informations nécessaires à la notification, vous pouvez effectuer une notification préliminaire (via le même formulaire).

Dans le doute, il est toujours préférable d’effectuer une notification, que l’on peut retirer ensuite sur simple demande s’il s’avère qu’il n’y a pas de risque pour les personnes concernées.

En cas de risque élevé pour les personnes concernées, il faut les informer au moins de la nature de la violation, des conséquences probables, des coordonnées de la personne à contacter (le DPO de l’organisme concerné) et des mesures prises pour remédier à la situation et en limiter les conséquences.

La CNPD peut vous orienter et conseiller sur la conduite à tenir et les mesures à prendre. Vous pouvez effectuer une demande d’informations via notre formulaire en ligne.

Si vous détectez une attaque par ransomware, vous devez contacter le Computer Emergency Response Team (CERT) responsable de votre secteur (CIRCL, GovCERT, RESTENA, etc.). Vous trouverez de plus amples informations sur cert.lu.

L'analyse forensique consiste à investiguer un système d'information après une cyberattaque. Si vous souhaitez procéder à une telle analyse une acquisition de la mémoire doit être effectuée (si le système n’a pas été stoppé) avant l’acquisition du disque. Vérifier le « TR-22 - Recommendations for Readiness to Handle Computer Security Incidents » pour la procédure opérationnelle et technique (plus d’informations sur le site du CIRCL).

Concernant les équipements infectés, il est préférable de réinstaller le système sur un support connu et de restaurer les données depuis les sauvegardes effectuées antérieurement à la date de compromission du système en s’assurant que le système restauré n’est pas lui-même corrompu. Appliquez ensuite les règles suivantes :

• La vulnérabilité initialement utilisée par l’attaquant doit être corrigée afin d’éviter une nouvelle infection (p. ex. mise à jour logicielle, modification de la politique de filtrage réseau).
• Si les recherches ont permis d’identifier le ransomware, vérifiez l’absence des modifications réalisées par le programme malveillant afin de se maintenir après le redémarrage d’une machine précédemment infectée (p. ex. valeurs de registre et fichiers malveillants).
• Changez les mots de passe.