Cyber attaques : se prémunir contre les ransomwares

Les récentes cyber attaques mondiales « WannaCry » de mai 2017 ou « Petya » de juin 2017 ont fait des milliers de victimes parmi les entreprises. Elles ont rappelé que les conséquences peuvent être lourdes pour ces dernières : perte de données, paiement d’une rançon ou encore arrêt temporaire de l’activité.

Les PME s’appuient sur des échanges permanents de données avec leurs fournisseurs, leur expert-comptable, leur banque, les administrations, leurs clients… Les appareils connectés à Internet se multiplient à l’envie dans les bureaux : ordinateur, smartphone, imprimantes, serveurs… Dans un tel contexte, priver les entreprises d’accès aux données entraînerait leur paralysie.

C’est justement le but recherché par les pirates avec les ransomwares. Caché dans la pièce jointe d’un email ou sur une page web, ce programme malveillant chiffre (on dit par erreur « crypte ») les données du PC, mais aussi celles partagées par les différents collaborateurs. On ne peut donc plus y avoir accès à moins de payer une rançon dont le montant peut varier entre 500 et 3 000 euros. Les conséquences d’une telle attaque peuvent ainsi mener l’entreprise à l’arrêt pendant plusieurs jours, voire plusieurs semaines. Elles peuvent même contraindre des PME à la liquidation judiciaire après avoir été touchées par ce virus.

Sensibilisez et sauvegardez

Quels que soient les logiciels de sécurité installés, reste toujours un maillon faible : l’être humain ! Il est donc indispensable de sensibiliser tous vos salariés. Cela passe par des formations présentant les différents pièges pouvant être tendus par des cybercriminels et les bonnes attitudes à adopter. Plus la réaction est rapide, et plus l’infection par un ransomware sera limitée.

Cinq réflexes majeurs permettent de limiter les risques :

• ne pas ouvrir les messages ni les pièces jointes dont la provenance ou la forme est douteuse ;
• identifier les extensions des fichiers douteuses : l’Agence nationale de la sécurité des systèmes d'information (ANSSI) rappelle de ne pas ouvrir des fichiers avec les extensions suivantes : pif, .com, .bat, .exe, .vbs, .lnk ou encore de type .scr ou .cab ;
• mettre à jour ses logiciels et systèmes d’exploitation et ne plus utiliser de systèmes d’exploitation devenus obsolètes (Windows Vista, XP…) ;
• utiliser un compte « utilisateur » plutôt qu’« administrateur » afin que le pirate ne puisse prendre la main sur tous vos programmes ;
• mettre en place une politique de sauvegarde des données : en répliquant vos informations les plus sensibles sur un disque dur externe (et qui ne reste pas dans l’entreprise au cas où il y aurait un incendie…) ou dans le cloud, vous n’êtes plus à la merci d’un cybercriminel.

Anticiper la menace reste en effet la meilleure parade. Si malgré ces conseils, une infection est constatée, il faut immédiatement couper les accès WiFi et Ethernet de l’ordinateur touché afin de limiter la propagation.

Si le pirate prend le contrôle d’un PC, il est fortement conseillé de ne pas payer la rançon. Cela ne garantit en rien le « déchiffrement » des données. Si vous effectuez régulièrement des sauvegardes (et des tests de restauration pour vérifier que les données sont exploitables), la meilleure solution consiste à formater le disque dur infecté et de réinstaller Windows ainsi que les données. En quelques heures, ce poste de travail sera de nouveau opérationnel.

Consulter les recommandations génériques relatives aux rançongiciels publiées par l'ANSSI (pdf, 964 Ko)