Le nombre de cyberattaques ne cesse d’augmenter, et la Belgique ne fait pas exception à la règle. Les organisations de toutes tailles sont de plus en plus souvent la proie des cybercriminels. Cette année, nous prévoyons une multiplication et une amplification des attaques par ransomware, touchant notamment les fournisseurs. La détection opportune des potentielles attaques et des points faibles de votre environnement informatique passe immanquablement par une bonne surveillance et une culture de la sécurité forte. Formez régulièrement vos collaborateurs à reconnaître l’hameçonnage, encouragez l’utilisation de mots de passe forts à l’aide d’un gestionnaire de mots de passe et utilisez une authentification multifactorielle. Malgré ces précautions, des cybercriminels parviennent chaque jour à pénétrer dans les systèmes d’organisations et à voler ou à crypter des données importantes. Il est donc primordial de savoir comment réagir. Une réaction rapide vous permettra de limiter les dégâts, de restaurer vos systèmes et de mieux contrer de futures menaces.
1. Isolez l’appareil, mais ne l’éteignez pas
Dès que vous découvrez qu’un cybercriminel a réussi à installer un ransomware, il est important de déconnecter l’appareil, par exemple votre ordinateur portable ou un serveur, du réseau. Vous évitez ainsi la propagation du ransomware au sein de votre organisation. N’éteignez pas l’appareil. Il doit resté allumé pour la conduite d’analyses criminalistiques, l’examen du ransomware et la détermination du préjudice.
2. Faites appel à des spécialistes en cybersécurité
Demandez au plus vite l’aide de professionnels. Il existe plusieurs sociétés de cybersécurité spécialisées dans les attaques par ransomware. Elles se chargent de mener des analyses criminalistiques pour trouver la cause du problème, de négocier avec les cybercriminels, de décrypter et de restaurer vos données et votre environnement ou d’informer les autorités compétentes. Si vous n’avez pas ou peu d’expertise ad hoc en interne, il est judicieux de conclure un partenariat avec un tiers qui vous prodiguera conseil et assistance. Vous pouvez anticiper, mais aussi vous adresser à ces tiers au cours d’une attaque.
3. Signalez l’incident aux autorités compétentes
Les fournisseurs de services critiques, tels que les compagnies d’électricité et les hôpitaux, ainsi que les fournisseurs de services numériques doivent signaler au Centre pour la Cybersécurité Belgique (CERT) toute attaque par ransomware qui menace leurs services. En outre, presque toutes les attaques par ransomware impliquant des données à caractère personnel doivent être notifiées dans les 72 heures à l’Autorité de protection des données, en raison du risque de fuite de données.
4. Portez plainte auprès de la police
Il s’agit de (cyber)criminalité, et il est donc extrêmement important d’impliquer la police en cas d’attaque par ransomware. La police prendra votre plainte, ouvrira une enquête et vous conseillera. Si toutes les cyberattaques sont déclarées, les services de police pourront mieux évaluer la cybercriminalité en Belgique. De plus, lorsqu’un cybercriminel, voire un gang entier est arrêté, toutes les déclarations aident le parquet à réunir des preuves suffisantes.
5. Communiquez au plus vite avec toutes vos parties prenantes
Lorsque vous êtes victime d’une attaque par ransomware, la priorité absolue est bien sûr de limiter et de réparer les dégâts. Mais il est tout aussi important de communiquer avec vos principales parties prenantes, comme vos clients et vos collaborateurs. Même si vous ne disposez pas encore d’informations suffisantes sur l’impact de l’incident et sur la date de résolution, n’attendez pas pour communiquer sur le sujet. En général, les clients apprécient la transparence en la matière. Et n’oubliez pas de communiquer avec vos collaborateurs. Ils sont en contact étroit avec vos clients et doivent donc être bien informés de la situation.
6. Ne payez pas de rançon, décryptez vos données ou récupérez votre copie de sauvegarde
Le paiement de la rançon exigée dépend de bien des facteurs. La continuité de l’activité peut être en jeu ou, pire encore, des systèmes critiques peuvent avoir été touchés, entraînant une menace physique. La tentation de payer une rançon peut alors être forte. Ne payez jamais pas de rançon dans la précipitation. Faites d’abord quelques recherches. Vous pourriez trouver des outils de décryptage. Au minimum, gagnez un peu de temps en négociant avec les criminels, cela vous permettra d’évaluer l’impact de l’attaque et de décrypter les données. Le site No more ransom répertorie un grand nombre de clés qui ont déjà été utilisées pour décrypter des fichiers piratés. Si cela ne vous aide pas, restaurez votre système à l’aide de votre copie de sauvegarde. Une bonne sauvegarde hors ligne de vos données est indispensable pour minimiser les dommages causés par les ransomwares. Le paiement d’une rançon finance les activités criminelles. Tant que les cybercriminels continueront à percevoir des rançons, l’économie de la cybercriminalité continuera à tourner. Par ailleurs, il est loin d’être sûr que vous récupérerez vos données après avoir payé. Sans oublier que votre capitulation rapide pourrait également faire de vous une cible pour de futures attaques ou extorsions.
7. Accompagnez correctement vos employés
Une attaque par ransomware n’a pas qu’un impact technique et économique, elle peut aussi affecter vos collaborateurs. À commencer par celui qui a été piégé par un e-mail d’hameçonnage et qui a malencontreusement cliqué sur le lien ou ouvert un fichier malveillant. Mais, en général, bon nombre de collaborateurs tombent sous le coup de la peur et de la colère lorsque leur organisation est victime d’une attaque par ransomware. Il est donc important de rester en dialogue pendant et après l’incident et de tenir compte du ressenti de vos collaborateurs.
Cette prise en charge après une attaque par ransomware est essentielle pour restaurer non seulement les systèmes techniques, mais aussi le bien-être du personnel et la résilience de l’organisation. Vous sortirez de cette crise plus forts et mieux préparés.
Améliorez votre sécurité pour la suite
Il est important de restaurer les systèmes, mais aussi de les renforcer. Pensez à mettre à jour les systèmes, à former les collaborateurs aux dernières bonnes pratiques en date ou à instaurer des mesures de sécurité supplémentaires. Et, bien sûr, évaluez votre plan de crise et adaptez-le en fonction des nouvelles connaissances acquises avant, pendant ou après l’attaque. Veillez à ce que votre plan de crise soit prêt (et imprimé sur papier !) pour une éventuelle attaque future ; vous saurez ainsi exactement à qui et quand la déclarer, avec quelles parties prenantes clés communiquer et comment, ainsi que la stratégie de communication à mettre en place pour que, au cœur de la crise, vous puissiez vous appuyer sur des modèles et des formats mûrement réfléchis. Et n’attendez plus pour vous assurer une bonne solution de sauvegarde. Les exercices de gestion de crise peuvent aussi donner confiance à vos collaborateurs et sont toujours une bonne préparation à une situation de crise. Cela peut même être une chouette activité de team building !
Cette contribution a été soumise par Cindy Wubben, Chief Information Security Officer chez Visma