Le fonctionnement des rançongiciels
En cryptant les données d’un serveur, les rançongiciels ou ransomwares peuvent totalement bloquer le fonctionnement d’une entreprise.
Pour rappel, les rançongiciels sont des programmes malveillants qui, une fois installés sur une machine (station, serveur…), vont emprisonner les données qui y sont stockées en les cryptant. L’utilisateur en est alors averti via un écran d’informations et est invité à verser une rançon en échange de laquelle les clés de déchiffrement lui seront, en théorie du moins, communiquées.
Ces logiciels malveillants sont redoutables, d’autant plus qu’ils utilisent des techniques de chiffrement d’un niveau si élevé qu’il est presque impossible de les décrypter. C’est pourquoi de nombreuses entreprises victimes se résignent à payer les maîtres-chanteurs. Et ces derniers s’attaquent aux multinationales, aux PME, mais aussi à des services publics. En 2022, au moins une dizaine de collectivités locales, parmi lesquelles Saint-Cloud (92) et Caen (14), en ont fait les frais.
Attention : beaucoup de rançongiciels ne vont pas se contenter de chiffrer les fichiers contenus sur le ou les disques durs de l’ordinateur infecté. Ils vont aussi s’attaquer aux données présentes sur les supports que la machine contrôle et à celles stockées par les machines auxquelles elle est reliée (clés USB, disque dur portable, données enregistrées sur un serveur en cas de connexion à un réseau…).
En 2022, sur l’ensemble des attaques de rançongiciels signalées à l’Agence nationale de la sécurité des systèmes d’information (Anssi), 40 % l’ont été par des TPE-PME-ETI, 23 % par des collectivités et 10 % par des établissements de santé.
Prévenir les attaques
Pour réduire les conséquences d’une attaque par rançongiciel, des précautions doivent être prises.
Les rançongiciels s’introduisent sur une machine en utilisant une faille technique ou en profitant d’une erreur humaine. Il convient donc de combler ces failles techniques en appliquant les mises à jour de sécurité sur les logiciels et en maintenant à jour ses antivirus.
En termes de comportement, il est conseillé de ne pas donner suite aux courriels suspects (non sollicités, envoyés par un expéditeur non clairement identifié…) ou incongrus (envoi d’une facture par un prestataire connu à la mauvaise personne, par exemple), et surtout de ne jamais ouvrir les pièces jointes qu’ils contiennent. Il convient également d’éviter les sites internet non officiels et de ne jamais laisser un ordinateur connecté à un réseau allumé inutilement.
Plus largement, l’Anssi, dans son
Les indispensables sauvegardes
Enfin, l’ultime précaution à prendre pour limiter les conséquences d’une attaque par rançongiciel est de réaliser des sauvegardes régulières des données de l’entreprise (au moins une fois par jour) sur une machine ou via un service en ligne (cloud) non connecté en permanence au réseau de l’entreprise (afin qu’il ne puisse être touché par l’attaque du rançongiciel). Dès lors, même en cas d’impossibilité de déchiffrement, les pertes de données seront réduites.
Comment réagir ?
Protéger le réseau en débranchant la machine contaminée et appeler des informaticiens en renfort sont les premières actions à mener en cas d’attaque par rançongiciel.
Même en prenant toutes les précautions, le risque zéro n’existe pas. Il faut donc se préparer à réagir, si par malheur, un rançongiciel parvenait à s’introduire sur un des ordinateurs de votre entreprise. Ainsi, en cas d’attaque, vous devez :
Important : la sécurité informatique est l’affaire de tous, des salariés comme des dirigeants. Des informations sur les bonnes pratiques doivent donc être régulièrement communiquées à chacun. Sur ce point, des fiches techniques et mémo simples et pédagogiques sont proposées sur www.cybermalveillance.gouv.fr>. N’hésitez pas à inviter vos équipes à les consulter.
Des décrypteurs efficaces
Les rançongiciels ne sont pas toujours bien programmés, ce qui permet aux informaticiens travaillant dans les services de police et dans les sociétés éditrices de logiciels anti-malwares de créer des décrypteurs pour s’en libérer. Grâce à ces outils mis à disposition gratuitement sur le site No More Ransom (