You are currently viewing Les ransomwares : les attaquants secondaires du Covid-19

Entre 2019 et 2020, les attaques de ransomware (« rançonlogiciels » en français) ont augmenté de 55%.  

Qu’est-ce qu’un ransomware ?

Selon l’Agence nationale de sécurité des systèmes d’information, un ransomware est défini comme étant une « forme d’extorsion imposée par un code malveillant sur un utilisateur du système. […] [C’est un] programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon. »

Les causes de l’augmentation des attaques 

La Covid-19 a entraîné l’établissement d’un premier confinement total en France dès le 16 mars 2020, et ce durant 2 mois et demi. A cause du confinement, les établissements publics et privés, y compris les entreprises, ont dû mettre en place le télétravail. Le télétravail consiste à travailler de son domicile. A cause de la rapidité de mise en place du télétravail, les organismes n’étaient pas préparés et ont dû trouver des procédés rapidement. Les outils informatiques attribués aux personnes n’étaient donc pas forcément sécurisés et les salariés pouvaient ne pas être sensibilisés aux cyberattaques. 

Par cette absence de sécurité et de sensibilisation, les cyberattaques ont drastiquement augmenté. L’année 2020 a été marquée par des attaques de phishing, de ransomware et d’ingénierie sociale. L’ingénierie sociale consiste en une variété de techniques dont l’objectif est de tromper une personne afin de pouvoir partager ses données, installer des malwares (c’est-à-dire un logiciel malveillant), voire pirater son support numérique. 

Néanmoins, le ransomware reste l’attaque la plus utilisée à l’encontre des entreprises. En effet, ces attaques sont fructueuses financièrement et entraînent peu de conséquences pour les cybercriminels car elles peuvent être exécutées partout dans le monde sans être localisées précisément, à tel point que certains groupes se sont spécialisés dans ce type d’attaques, tels que le groupe Ryuk.

La mise en place d’une sensibilisation aux ransomwares 

Début novembre 2020, l’ANSSI et le ministre de la Justice ont mis en place un guide de sensibilisation pour les usagers relatif aux ransomwares. Ce guide expose deux procédures, l’une est préventive et l’autre est d’action 

La première partie relative à la prévention fait apparaître deux éléments clés. Ces deux éléments sont la vigilance employée sur les logiciels utilisés ainsi qu’une réduction d’accès aux données. 

Ainsi, les entreprises sont encouragées à être vigilantes au regard des données utilisées et sur l’utilisation faite sur les supports numériques ou les réseaux utilisés. Les individus doivent donc être sensibilisés à des pratiques préventives face à de potentielles attaques sur leurs réseaux. Des mesures de sécurité doivent être apprises en fonction du pouvoir d’accès des données de l’entreprise. Ces mesures sont complétées de cloisonnement d’accès aux individus. Ces cloisonnements sont divers et variés. Ils sont dans la maîtrise du réseau Internet en mettant en place une passerelle spécifique pour bloquer les éventuels flux illégitimes. Par ailleurs, l’accès aux ressources est limité, les rendant disponibles aux seuls intéressés grâce à des systèmes de filtrage. Ces restrictions sont dans un objectif de protection des données, en cas de défaut de vigilance, si un logiciel malveillant réussit à s’introduire dans le système d’information. Ainsi par la restriction d’accès, le cybercriminel ne pourra pas disposer de toutes les données existantes.

De plus, les personnes de « métier » à la cybersécurité sont chargées de veiller à la mise à jour des logiciels et des supports numériques. Ces mises à jour permettent plus de sécurité et corrigent les potentielles failles présentes dans les anciennes versions. Pour protéger davantage les données, celles-ci doivent être sauvegardées régulièrement. D’une part, afin qu’elles ne soient pas détruites ou exploitées par les cybercriminels, mais encore, d’autre part, afin d’éviter qu’elles ne soient totalement perdues si un support informatique défaillant neutralisait toutes les données qu’il hébergeait. 

Quant à la deuxième partie, elle concerne les moyens de réaction face à une attaque de ransomware. Elle se consacre à la mise en place de stratégies et de comportements à adopter au sein de l’entreprise afin de réduire les pertes. Les individus doivent appliquer des actes de renseignement sur les évènements et les actions effectués et liés à l’attaque ainsi qu’une déconnexion de tous les supports numériques comportant des données. Le but est d’analyser les dégâts de l’attaque et d’indiquer avec précision le déroulement de la cyberattaque ainsi que de protéger les données existantes en limitant la propagation du logiciel malveillant dans le système d’information. Les activités de l’entreprise sont mises à l’arrêt ainsi que tout type de communication numérique ou de télécommunication. 

Dès que l’attaque et les dégâts sont analysés, il est nécessaire de mettre en place une cellule de gestion de crise cyber pour établir une stratégie efficace face au ransomware. 

L’élément primordial face à l’établissement de stratégie est de ne pas payer la rançon demandée. Le paiement n’entraîne en aucun cas le retour des données et encore moins l’absence d’exploitation ou d’utilisation de celles-ci. Les entreprises victimes de ransomwares doivent déposer plainte et restaurer tous les systèmes d’information de manière sécurisée. 

Dès lors, les entreprises verront les potentielles cyberattaques diminuer grâce à l’établissement de comportements vigilants et à un contrôle régulier des logiciels et matériels utilisés. Néanmoins, même si des précautions sont prises, il est nécessaire de prévoir un plan stratégique pour faire face à un ransomware. 

RIVAUD Alexia 

Master 2 Cyberjustice, Promotion 2020-2021

Guide :

https://www.ssi.gouv.fr/uploads/2020/09/anssi-guide-attaques_par_rancongiciels_tous_concernes-v1.0.pdf

Sources :

https://www.ssi.gouv.fr/administration/glossaire/r/

https://www.cnil.fr/fr/rancongiciels-lanssi-et-le-ministere-de-la-justice-publient-un-guide

https://www.cnil.fr/fr/securite-informatique-sensibiliser-les-utilisateurs

https://www.distributique.com/actualites/lire-les-attaques-ransomwares-en-hausse-de-50-en-t3-2020-30636.html

https://www.techniques-ingenieur.fr/actualite/articles/ransomwares-un-business-tres-rentable-86013/

A propos de