Qu’est-ce qu’un ransomware et comment protéger ses données grâce aux systèmes de management de la sécurité et de l’information ?

Dans un monde où les données prennent de plus en plus d’importance et où l’informatique tient une place essentielle, il est légitime de se questionner à propos des risques que l’on encourt et de savoir comment s’en prémunir. Nous allons parler dans cet article de l’un des plus gros risques concernant vos données : les ransomwares. Nous évoquerons aussi le meilleur moyen de protéger vos données : les Systèmes de Management de la Sécurité de l’Information.

Qu’est-ce qu’un ransomware ?

Un ransomware est un logiciel malveillant qui a pour objectif de bloquer l’accès d’un propriétaire à ses données. L’objectif de ce logiciel est de chiffrer les fichiers en question afin de demander une rançon en échange du moyen de déchiffrement . 

detection des incident securite lecpac (1)

Comment fonctionne un ransomware ?

Étape 1 – Vecteur d’infection et de distribution

Le principal moyen d’attaque par ransomware est basé sur l’ingénierie sociale, c’est-à-dire que l’attaquant compte sur une erreur humaine. Cela peut venir d’un email contenant un lien ou une pièce jointe malveillante, d’une mauvaise sécurisation des accès utilisateurs (identifiant ou mot de passe faible ou qui fuite) ou encore d’un laisser-aller sur la sécurité de l’installation physique de l’entreprise. 

Étape 2Chiffrement des données 

Une fois que le système est accessible par le pirate, il va chiffrer les fichiers. Certains ransomwares vont même jusqu’à supprimer les sauvegardes et les snapshots des éléments chiffrés. Cela force les propriétaires à payer la rançon s’ils ne veulent pas définitivement perdre leurs données.

Étape 3 – Demande de rançon

Une fois le contenu de l’ordinateur chiffré, il ne reste plus qu’à faire la demande de rançon. Si le paiement à lieu, le pirate est censé partager le moyen de déchiffrer le contenu. Cependant, il faut savoir qu’en réalité, des études montrent que seulement 8 % des victimes qui paient la rançon récupèrent 100 % des données. 

Dans certains cas, l’individu ou l’entreprise lésé n’est pas en mesure ou ne souhaite pas payer cette rançon. Dans ce cas les pirates peuvent voler, supprimer ou diffuser les données sur internet. Nous parlerons alors de ransomhack ou racket au RGPD. Ce type d’attaque peut donc avoir un impact important sur les finances, la disponibilité, mais aussi sur la confidentialité d’une entreprise et donc sur la confiance que lui accorde ses clients. 

Ces cybermenaces font partie aujourd’hui des attaques les plus fréquentes et continuent de prendre de l’ampleur. En effet, le CNIL (Commission Nationale de l’Informatique et des Libertés) annonce que le nombre de violation de données a augmenté de 76 % en 2021 par rapport à 2020. Parmi ces violations, plus de 40 % sont liées à des demandes de rançons. Retrouvez quelques statistiques sur les ransomware. Les raisons pour lesquelles ces attaques prennent de l’ampleur sont simples. Elles sont relativement faciles à mettre en œuvre, sans trop de risque pour l’attaquant et surtout la récompense à la clef est très intéressante (rançon financière, moyen de pression, vente de données, etc.). Il est donc essentiel de se protéger au préalable contre ces menaces !

Comment se protéger contre les ransomwares ?

Il existe plusieurs bonnes pratiques essentielles que nous pouvons respecter pour limiter les chances de subir une attaque par ransomware ou, dans le pire des cas, pour limiter leur impact. 

Les 4 bonnes pratiques principales : 

La sensibilisation et la formation des employés.

En effet, les principaux moyens d’attaques sont issus d’erreurs humaines comme par exemple les mails de phishing. Il faut donc que les employés soit préparés aux moyens de discerner ce genre de mail et de façon générale aux moyens de savoir identifier les sources malveillantes et les failles humaines potentielles. De cette façon, nous limitons les erreurs humaines.

La sécurisation des accès utilisateurs.

Cela fait certes partie de l’éducation des employés aux bonnes pratiques de la cybersécurité, mais il est essentiel de le préciser car encore trop d’employés négligent l’importance d’avoir des identifiants et mots de passe forts. Il existe des outils très pratiques pour gérer les accès comme les coffres-forts. Ceux-ci permettent de générer aléatoirement des mots de passe forts et de les stocker par la suite. Ainsi, ils permettent d’éviter que les identifiants soient notés dans des tableurs ou des post-it très facilement accessibles. 

Les bonnes méthodologies de sauvegarde.

En effet, l’objectif d’un ransomware est de limiter l’accès à des fichiers en les chiffrant. Ainsi, si vous effectuez de façon automatisée et régulière des sauvegardes de vos données, cela vous permet de pouvoir récupérer sans avoir à payer la rançon les données chiffrées par l’attaquant. Il est également important que vous sépariez les sauvegardes et les fichiers d’origine. En effet, ces sauvegardes seraient facilement supprimées ou chiffrées par l’attaquant et donc vous n’auriez plus de solution de récupération. Il est donc conseillé d’avoir des moyens de stockage différents pour les sauvegardes et les données initiales. 

L’application de correctifs.

En effet, outre l’ingénierie sociale, les pirates utilisent également les vulnérabilités connues des systèmes pour arriver à leurs fins. Dans ce sens, il est essentiel que vous mainteniez constamment à jour le système afin que ces vulnérabilités soient corrigées au plus vite.

Il existe également des solutions anti-ransomware. Elles vous permettent de détecter leur présence. Et parfois, elles possèdent également un mécanisme de restauration des données. Ces derniers peuvent être une bonne solution pour limiter les dégâts causés par de telles attaques.

Qu’est-ce qu’un systèmes de management de la sécurité de l’information ?

La norme ISO 27001 défini des normes et exigences pour les systèmes de management de la sécurité de l'information.

Comme nous l’avons vu avec les ransomwares, les attaques du type vol de données ont de lourdes conséquences. C’est pour cela qu’il est essentiel de mettre en place un système de management de la sécurité de l’information (SMSI). Un SMSI est un ensemble de politique, de processus et d’exigences concernant la sécurité de l’information d’une entreprise. 

L’objectif des systèmes de management de la sécurité de l’information est de protéger :
  • La confidentialité des données. Vous ne devez donner l’accès à vos données qu’aux personnes qui doivent y avoir accès. Cela nécessite entre autres de mettre en place des autorisations personnalisées pour les utilisateurs. Cette pratique permet de limiter leur accès aux données qui les concernent et qui leur sont essentielles.
  • L’intégrité des données. Vos données doivent être exactes et complètes. Il faut pouvoir s’assurer que vos données n’aient pas été modifiées ou remplacées contre votre volonté. Pour cela il existe plusieurs façons de faire : vous pouvez par exemple mettre en place un système de suivi et de sauvegarde de version qui permet de voir qui a accédé aux données, les modifications apportées et dans ce cas, pouvoir récupérer les données initiales.
  • La disponibilité des données. Vos données doivent être disponibles par le personnel autorisé dès que besoin. Pour cela, il faut avoir des sauvegardes en cas de sinistre afin que vous puissiez récupérer les données au plus vite. Il vous faut aussi des processus de remise en route efficaces tel qu’un Plan de Reprise d’Activité (PRA) afin de relancer votre activité au plus vite.

Les systèmes de management de la sécurité de l’information peuvent être définis selon plusieurs critères. Ils peuvent être guidés par des politiques de sécurité créées en interne par l’entreprise ou créer de façon à respecter les exigences de sécurité préconisées par des forces externes comme la norme ISO 27001 et HDS. Vous pouvez d’ailleurs retrouver notre article sur les méthodologies d’évaluation et de traitement de risque conforme à l’ISO 27001 ici. De façon générale, l’objectif du SMSI est d’être efficace à long terme grâce à de la documentation qui doit constamment évoluer.

Système de management de la sécurité et RGPD

Il est essentiel que votre SMSI soit conforme à la loi sur le Règlement Général sur la Protection des Données (RGPD). Cette loi a pour objectif d’encadrer le traitement des données personnelles. Si vous ne respectez pas ce règlement, vous risquez des sanctions RGPD comme :

  • Des amendes administratives.
  • Une suspension des flux de données.
  • Une obligation sous surveillance de se remettre en conformité.

Le montant de ces sanctions peuvent être très élevées et même rendu publique. De ce fait, définir dans son SMSI une politique visant à respecter cette loi est essentiel afin de ne pas subir de sanctions RGPD et ainsi, conserver votre argent et votre réputation.

Les outils à disposition de la cybersécurité.

Vous l’aurez compris, il est essentiel afin de protéger les données de votre entreprise de mettre en place un système de management de la sécurité de l’information. Ce dernier consiste en un ensemble de politiques, de processus et d’exigences que l’on s’engage à respecter. Il est essentiel que ce SMSI soit également suivi d’un environnement technique sûr. Pour ce faire, il existe une multitude d’outils au service de la cybersécurité qui vous permettront de respecter les mesures prises dans le SMSI et de protéger vos données.

Parmi tous ces outils, il y a un degré d’importance, certains sont essentiels et sont le minimum de la sécurité et d’autres sont plus avancés. Voici une liste non-exhaustive des outils au service de la cybersécurité qu’une entreprise devrait au minimum posséder :

L’antivirus.

C’est un outil essentiel mais qui reste tout de même une base dans la sécurisation d’un système informatique. Ce dernier a pour but de protéger des menaces existantes, de vérifier l’intégrité du matériel et aussi de faire remonter des alertes en cas de soucis ou de matériel non à jour. Il est donc essentiel pour une entreprise que tout matériel informatique soit munis d’un antivirus.

La gestion d’accès.

Encore une fois, gérer les accès est un principe de base mais qui est essentiel afin de maintenir l’intégrité et la confidentialité des données. Les outils utiles à la gestion d’accès peuvent être les coffres-forts,  la double authentification ou encore utiliser un NAC (Network Access Control) qui permet entre autres de contrôler l’identité d’un utilisateur du réseau et son niveau d’accès. Il est également important de ne pas oublier de révoquer les accès d’un prestataire avec qui on ne travaille plus ou d’un collaborateur qui quitte l’entreprise.

Les sauvegardes.

Les derniers outils essentiels à la sécurité informatique d’une entreprise sont les outils de sauvegarde. Ici, nous retrouvons par exemple les cloud provider qui permettent de stocker les grandes quantités de données d’une entreprise de façon très avantageuse. Cependant, il faut garder à l’esprit que ces cloud provider garantissent le rétablissement des services mais pas des données. Il est alors essentiel d’avoir une bonne méthodologie de sauvegarde. Il est par exemple possible d’utiliser un cloud provider pour stocker les données et un autre distinct pour stocker les sauvegardes de données. Retrouvez notre article sur les étapes clés d’une migration vers le cloud réussi. Ainsi, si un souci apparaît avec un des services, cela n’impacte pas la disponibilité des données toujours présentes sur l’autre service. Sauvegarder c’est bien, tester la restauration c’est mieux !

Il existe également des outils plus avancé mais tout aussi important qui peuvent permettre de sécuriser les système d’informations :

Les pare-feu et filtrage.

Cet outil permet de se protéger des attaques sur le réseau à l’image des attaques depuis Internet par exemple. Le pare-feu permet de filtrer les flux entrants afin d’accepter seulement les flux nécessaires et autorisés. De plus, ils permettent également de journaliser les flux bloqués. Il est donc très important d’appliquer une bonne politique de filtrage. 

Les VPN.

Cet outil est essentiel pour sécuriser la navigation des employés sur Internet mais aussi pour permettre à ces derniers de pouvoir travailler à distance en toute sécurité. En effet, le VPN permet de créer un tunnel entre le collaborateur et Internet dans lequel les informations qui circulent sont chiffrées, ce qui assure leur sécurité.

Tous ces outils ne représentent pas l’ensemble des outils disponibles au service de la cybersécurité. Ce ne sont que quelques exemples de solutions servant à sécuriser le matériel informatique de votre entreprise.  Si vous souhaitez avoir plus de conseils afin de protéger votre TPE/PME il est existe un article de l’Agence Nationale de la sécurité de l’information (ANSSI) qui peut vous guider. Finalement vous l’aurez compris, afin de se prémunir face aux attaques liées aux données de votre entreprise, il est essentiel à la fois de mettre en place une documentation présentant les politiques et les processus de management de la sécurité mais aussi de mettre en place un environnement technique sain, sécurisé et journalisé.