Que faire face à une attaque par ransomware ? La réponse en 7 points

Le nombre de cyberattaques ne cesse d’augmenter, et la Belgique ne fait pas exception à la règle. Les organisations de toutes tailles sont de plus en plus souvent la proie des cybercriminels. Cette année, nous prévoyons une multiplication et une amplification des attaques par ransomware, touchant notamment les fournisseurs. La détection opportune des potentielles attaques et des points faibles de votre environnement informatique passe immanquablement par une bonne surveillance et une culture de la sécurité forte. Formez régulièrement vos collaborateurs à reconnaître l’hameçonnage, encouragez l’utilisation de mots de passe forts à l’aide d’un gestionnaire de mots de passe et utilisez une authentification multifactorielle. Malgré ces précautions, des cybercriminels parviennent chaque jour à pénétrer dans les systèmes d’organisations et à voler ou à crypter des données importantes. Il est donc primordial de savoir comment réagir. Une réaction rapide vous permettra de limiter les dégâts, de restaurer vos systèmes et de mieux contrer de futures menaces.

1. Isolez l’appareil, mais ne l’éteignez pas

Dès que vous découvrez qu’un cybercriminel a réussi à installer un ransomware, il est important de déconnecter l’appareil, par exemple votre ordinateur portable ou un serveur, du réseau. Vous évitez ainsi la propagation du ransomware au sein de votre organisation. N’éteignez pas l’appareil. Il doit resté allumé pour la conduite d’analyses criminalistiques, l’examen du ransomware et la détermination du préjudice.

2. Faites appel à des spécialistes en cybersécurité

Demandez au plus vite l’aide de professionnels. Il existe plusieurs sociétés de cybersécurité spécialisées dans les attaques par ransomware. Elles se chargent de mener des analyses criminalistiques pour trouver la cause du problème, de négocier avec les cybercriminels, de décrypter et de restaurer vos données et votre environnement ou d’informer les autorités compétentes. Si vous n’avez pas ou peu d’expertise ad hoc en interne, il est judicieux de conclure un partenariat avec un tiers qui vous prodiguera conseil et assistance. Vous pouvez anticiper, mais aussi vous adresser à ces tiers au cours d’une attaque.

3. Signalez l’incident aux autorités compétentes

Les fournisseurs de services critiques, tels que les compagnies d’électricité et les hôpitaux, ainsi que les fournisseurs de services numériques doivent signaler au Centre pour la Cybersécurité Belgique (CERT) toute attaque par ransomware qui menace leurs services. En outre, presque toutes les attaques par ransomware impliquant des données à caractère personnel doivent être notifiées dans les 72 heures à l’Autorité de protection des données, en raison du risque de fuite de données.

4. Portez plainte auprès de la police

Il s’agit de (cyber)criminalité, et il est donc extrêmement important d’impliquer la police en cas d’attaque par ransomware. La police prendra votre plainte, ouvrira une enquête et vous conseillera. Si toutes les cyberattaques sont déclarées, les services de police pourront mieux évaluer la cybercriminalité en Belgique. De plus, lorsqu’un cybercriminel, voire un gang entier est arrêté, toutes les déclarations aident le parquet à réunir des preuves suffisantes.

5. Communiquez au plus vite avec toutes vos parties prenantes

Lorsque vous êtes victime d’une attaque par ransomware, la priorité absolue est bien sûr de limiter et de réparer les dégâts. Mais il est tout aussi important de communiquer avec vos principales parties prenantes, comme vos clients et vos collaborateurs. Même si vous ne disposez pas encore d’informations suffisantes sur l’impact de l’incident et sur la date de résolution, n’attendez pas pour communiquer sur le sujet. En général, les clients apprécient la transparence en la matière. Et n’oubliez pas de communiquer avec vos collaborateurs. Ils sont en contact étroit avec vos clients et doivent donc être bien informés de la situation.

6. Ne payez pas de rançon, décryptez vos données ou récupérez votre copie de sauvegarde

Le paiement de la rançon exigée dépend de bien des facteurs. La continuité de l’activité peut être en jeu ou, pire encore, des systèmes critiques peuvent avoir été touchés, entraînant une menace physique. La tentation de payer une rançon peut alors être forte. Ne payez jamais pas de rançon dans la précipitation. Faites d’abord quelques recherches. Vous pourriez trouver des outils de décryptage. Au minimum, gagnez un peu de temps en négociant avec les criminels, cela vous permettra d’évaluer l’impact de l’attaque et de décrypter les données. Le site No more ransom répertorie un grand nombre de clés qui ont déjà été utilisées pour décrypter des fichiers piratés. Si cela ne vous aide pas, restaurez votre système à l’aide de votre copie de sauvegarde. Une bonne sauvegarde hors ligne de vos données est indispensable pour minimiser les dommages causés par les ransomwares. Le paiement d’une rançon finance les activités criminelles. Tant que les cybercriminels continueront à percevoir des rançons, l’économie de la cybercriminalité continuera à tourner. Par ailleurs, il est loin d’être sûr que vous récupérerez vos données après avoir payé. Sans oublier que votre capitulation rapide pourrait également faire de vous une cible pour de futures attaques ou extorsions.

7. Accompagnez correctement vos employés

Une attaque par ransomware n’a pas qu’un impact technique et économique, elle peut aussi affecter vos collaborateurs. À commencer par celui qui a été piégé par un e-mail d’hameçonnage et qui a malencontreusement cliqué sur le lien ou ouvert un fichier malveillant. Mais, en général, bon nombre de collaborateurs tombent sous le coup de la peur et de la colère lorsque leur organisation est victime d’une attaque par ransomware. Il est donc important de rester en dialogue pendant et après l’incident et de tenir compte du ressenti de vos collaborateurs.

Cette prise en charge après une attaque par ransomware est essentielle pour restaurer non seulement les systèmes techniques, mais aussi le bien-être du personnel et la résilience de l’organisation. Vous sortirez de cette crise plus forts et mieux préparés.

Améliorez votre sécurité pour la suite

Il est important de restaurer les systèmes, mais aussi de les renforcer. Pensez à mettre à jour les systèmes, à former les collaborateurs aux dernières bonnes pratiques en date ou à instaurer des mesures de sécurité supplémentaires. Et, bien sûr, évaluez votre plan de crise et adaptez-le en fonction des nouvelles connaissances acquises avant, pendant ou après l’attaque. Veillez à ce que votre plan de crise soit prêt (et imprimé sur papier !) pour une éventuelle attaque future ; vous saurez ainsi exactement à qui et quand la déclarer, avec quelles parties prenantes clés communiquer et comment, ainsi que la stratégie de communication à mettre en place pour que, au cœur de la crise, vous puissiez vous appuyer sur des modèles et des formats mûrement réfléchis. Et n’attendez plus pour vous assurer une bonne solution de sauvegarde. Les exercices de gestion de crise peuvent aussi donner confiance à vos collaborateurs et sont toujours une bonne préparation à une situation de crise. Cela peut même être une chouette activité de team building !

Cette contribution a été soumise par Cindy Wubben, Chief Information Security Officer chez Visma

Cookie	Duration	Description
__gads	1 year 24 days	Le cookie __gads, défini par Google, est stocké sous le domaine DoubleClick et permet de suivre le nombre de fois où les utilisateurs voient une publicité, de mesurer le succès de la campagne et de calculer ses revenus. Ce cookie ne peut être lu qu'à partir du domaine sur lequel il est installé et ne permet pas de suivre les données lors de la navigation sur d'autres sites.
_ga	2 years	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
_gid	1 day	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
cli_user_preference	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont stockées dans un cookie, afin que nous le sachions lors de votre prochaine visite.
CONSENT	2 years	YouTube place ce cookie via les vidéos YouTube intégrées et enregistre des données statistiques anonymes.
cookielawinfo*	1 year	Ce cookie garantit que notre notification de cookies fonctionne correctement. Vos préférences sont enregistrées dans un cookie afin que nous sachions quand vous nous rendrez visite la prochaine fois.
IDE	1 year 24 days	Les cookies Google DoubleClick IDE sont utilisés pour stocker des informations sur la façon dont l'utilisateur utilise le site web afin de lui présenter des annonces pertinentes et en fonction de son profil.
itdaily_lang	1 year	Ce cookie est nécessaire pour masquer la notification du pays. La notification du pays est affichée lorsque vous visitez le site web à partir d'un pays. C'est pourquoi nous proposons également une édition spécifique de ITdaily. Vous pouvez masquer cette notification grâce à ce cookie.
itdaily_theme	1 year	Ce cookie enregistre si vous voulez activer la version darkmode ou normale.
PHPSESSID	1 day	Ce cookie provient d'applications PHP standard. Le cookie est utilisé pour stocker et identifier une session d'utilisateur. Il s'agit d'un cookie de session qui est immédiatement supprimé lorsque vous fermez le navigateur.
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
viewed_cookie_policy	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont enregistrées dans un cookie afin que nous puissions connaître votre prochaine visite.
wordpress_*	30 days	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.
wp-*	1 day	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
itdaily_views	1 hour	Ce cookie est utilisé par notre propre système pour suivre les utilisateurs sur le site web.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par YouTube et est utilisé pour suivre les vues des vidéos intégrées dans les pages YouTube.