Skip to content Skip to navigation Skip to footer

Comment prévenir les attaques de ransomwares

Paiement des ransomwares et cyberassurance

Defining Ransomware

Ransomware is malicious code that renders the files and/or operating environment of an endpoint unavailable—be it an end user device or a server—until a payment is made to the cybercriminal.

Cybercriminals use ransomware to take over devices or systems to extort money. Once the malware has been installed, the hacker controls and freezes you out of it until you pay a ransom. In the earliest versions of ransomware, the attackers claimed that after you paid the ransom, you would get a decryption key to regain control of your computer. 

The Evolution of Ransomware

Ransomware has evolved and now there are various types. Some ransomware just encrypt files while others that destroy file systems. Some cybercriminals are solely financially motivated and will indeed return systems to operation after payment. Other types of attackers aren’t and won’t restore operations after payment out of spite or, perhaps, for political or other reasons.

Currently, many ransomware campaigns employ multiple measures and methods to elicit payment. In addition to holding systems for ransom, some cybercriminals steal data and threaten to release it if  ransom is not paid. Other attackers even go so far as to contact the customers whose data they’ve stolen in an attempt to collect payment from them.

Ransomware attacks have crippled entire organizations for hours, days, or longer. The latest ransomware threat class requires much more than just a secure backup and proactive restore process.

Initially, protecting against ransomware with a secure backup and proactive restore process were often enough to get an organization off the hook. However, the latest versions of ransomware require more comprehensive security solutions.

Prévention contre les ransomwares

Il y a une bonne nouvelle : les attaques de ransomware sophistiquées en plusieurs étapes d’aujourd’hui offrent aux victimes/organisations potentielles de multiples opportunités de stopper le ransomware avant qu’il ne vole des données ou ne verrouille des ordinateurs/fichiers. 

Bien sûr, l’idéal est d’empêcher un attaquant de pénétrer et de commencer sa mission, mais même s’il parvient à entrer, identifier les premières étapes telles que la découverte de réseau, les communications de commande et de contrôle, le mouvement latéral, la collecte et le staging des données, l’exfiltration et le chiffrement est essentiel. Vous trouverez ci-dessous des conseils sur la prévention des attaques de ransomwares et la meilleure façon d’y réagir.

9 Tips To Reduce Ransomware Risk

1. Ne jamais cliquer sur des liens non vérifiés

Si un lien se trouve dans un e-mail de spam ou sur un site Web douteux, évitez de cliquer dessus. Souvent, les hackers propagent le ransomware par le biais d’un lien malveillant qui déclenche le téléchargement d’un malware. Une fois que le malware se trouve sur votre ordinateur, il peut chiffrer vos données et les garder en otage. À partir de ce moment, seule une personne disposant d’une clé de décryptage peut y accéder.

Cependant, le malware doit d’abord s’installer sur votre ordinateur, et la méthode la plus populaire pour propager les ransomwares est l’utilisation d’un lien malveillant. Si un lien n’a pas été vérifié, il est préférable de ne pas y toucher.

2. Analyser les e-mails pour détecter les malwares

La technique pour arrêter les virus ransomware ou autres malwares commence par l’analyse des communications par e-mail. Les outils d’analyse d’e-mails ont souvent la capacité de détecter les logiciels malveillants. Une fois que le scanner a détecté un malware, l’e-mail peut être supprimé, sans même atteindre votre boîte de réception. 

Généralement, le malware contenu dans l’e-mail est intégré dans une pièce jointe ou dans un fichier dans le corps de l’e-mail. Les hackers sont connus pour insérer des images de prime abord sans danger, mais lorsque vous cliquez dessus, elle installe un ransomware sur votre ordinateur. L’analyse des e-mails contenant ce type de fichiers peut empêcher votre appareil, ou ceux de votre réseau, d’être infecté.

3. Utiliser des pare-feu et une protection des endpoints

Les pare-feu peuvent être une bonne solution de départ pour stopper les attaques de ransomware. Les pare-feu analysent le trafic provenant des deux côtés, afin de détecter les malware et autres menaces. De cette manière, un pare-feu peut déterminer la provenance et la destination d’un fichier, trouver d’autres informations sur son chemin parcouru, puis utiliser ces informations pour savoir s’il est susceptible de contenir un ransomware. 

De plus, un pare-feu nouvelle génération (NGFW) peut utiliser l’inspection approfondie des paquets (DPI) pour examiner le contenu des données elles-mêmes, rechercher des ransomwares, puis supprimer tout fichier qui en contient.

Grâce à la protection des endpoints, les endpoints individuels sont protégés contre les menaces. Certains types de trafic sont plus susceptibles de transporter des menaces, et la protection des endpoints peut empêcher votre appareil de s’engager avec ce type de données. De plus, les hackers peuvent utiliser des applications malveillantes pour infecter vos endpoints avec des ransomware. La protection des endpoints empêchera les endpoints désignés d’exécuter ce type d’applications.

4. Télécharger uniquement à partir de sites de confiance

Il est courant que les hackers placent des malwares sur un site Web, puis utilisent du contenu ou de l’ingénierie sociale pour inciter les utilisateurs à cliquer sur le site. L’ingénierie sociale exerce une pression sur l’utilisateur, généralement par la peur, pour qu’il exécute l’action souhaitée, dans ce cas, en cliquant sur un lien malveillant.

Dans de nombreux cas, le lien lui-même peut sembler sans danger. Si vous ne connaissez pas le site ou si son URL (Uniform Resource Locator) semble suspect, même s’il semble être un site de confiance, vous devez l’éviter. Les cybercriminels créent souvent de faux sites qui ressemblent à des sites de confiance. Vérifiez toujours l’URL d’un site avant de télécharger quoi que ce soit à partir de celui-ci.

5. Conserver des sauvegardes des données importantes

Les pirates par ransomware aiment tirer parti des utilisateurs qui dépendent de certaines données pour gérer leurs organisations. Souvent, parce que les données jouent un rôle essentiel dans les opérations quotidiennes, il peut sembler plus logique à une victime de payer la rançon afin de pouvoir retrouver l’accès à ses données. Vous pouvez résister à cette tentation en sauvegardant régulièrement vos données importantes.

Si vos données sont sauvegardées sur un appareil ou un emplacement et que vous n’avez pas besoin de votre ordinateur pour y accéder, vous pouvez simplement restaurer les données dont vous avez besoin en cas d’attaque réussie. Il est important de vous assurer que vous sauvegardez fréquemment toutes les données critiques, car si un certain temps s’écoule, les données dont vous disposez peuvent être insuffisantes à la continuité de votre activité.

6. Utiliser un VPN lors de l’utilisation du Wi-Fi public

Le Wi-Fi public est pratique, car il est facile à utiliser, souvent sans mot de passe. Malheureusement, il est tout aussi facile pour les hackers d’utiliser le Wi-Fi public pour propager les ransomwares. Chaque fois que vous êtes sur un réseau Wi-Fi public, vous devez utiliser un réseau privé virtuel (RPV, plus communément appelé VPN).

Un VPN chiffre les données qui circulent vers et depuis votre appareil lorsque vous êtes connecté à Internet. En effet, un VPN forme un « tunnel » que vos données traversent. Pour entrer dans le tunnel, un utilisateur doit posséder une clé de cryptage. De plus, pour lire les données qui traversent le tunnel, un hacker devrait les déchiffrer. Pour bloquer les ransomwares, un VPN empêche les personnes extérieures de se faufiler dans votre connexion et de placer des malwares sur votre chemin ou sur votre ordinateur.

7. Utiliser un logiciel de sécurité

Un logiciel de sécurité peut être un outil puissant dans la prévention des ransomwares. Par conséquent, il figure souvent parmi les meilleures pratiques de prévention des ransomwares. Le logiciel de sécurité vérifie les fichiers entrant dans votre ordinateur depuis Internet. Lorsqu’un fichier malveillant a été détecté, le logiciel l’empêche de pénétrer dans votre ordinateur.

Le logiciel de sécurité utilise les profils des menaces et des types de fichiers malveillants connus pour déterminer lesquels peuvent être dangereux pour votre ordinateur. Pour rester à jour, les logiciels de sécurité sont souvent alimentés par des mises à jour régulières gratuites. Celles-ci peuvent être installées automatiquement par le fournisseur. Lorsque le fournisseur prend connaissance de nouvelles menaces, il inclut leurs profils dans la mise à jour. Tant que vous vous assurez que votre logiciel est mis à jour régulièrement, vous bénéficierez de la meilleure protection possible.

8. Ne pas utiliser de périphériques USB inconnus

Un périphérique USB (Universal Serial Bus) peut être utilisé pour stocker un fichier malveillant qui pourrait contenir un ransomware. Que l’USB dispose d’un fichier exécutable qui peut infecter votre ordinateur ou que le fichier soit lancé automatiquement lorsque vous insérez le périphérique USB, la capture de votre ordinateur par une clé USB apparemment bienveillante peut prendre très peu de temps.

Les cybercriminels peuvent laisser un périphérique USB derrière eux, sachant que certains peuvent être tentés de le prendre et de l’insérer dans leur ordinateur. Le criminel peut même y coller une étiquette apparemment innocente, lui donnant l’apparence d’un cadeau gratuit d’une société réputée. Si vous trouvez un périphérique USB, ne l’insérez pas dans votre ordinateur. Les clés USB les plus sûres sont celles achetées dans un magasin et scellées dans un emballage intact.

9. Éviter de donner des données personnelles

Avec les bonnes données personnelles, un cybercriminel peut mettre en place une variété de pièges pour infiltrer un ransomware sur votre ordinateur ou vous inciter à l’installer vous-même sur votre appareil. Les gens utilisent souvent les mêmes mots de passe pour leurs ordinateurs que pour les sites Web et les comptes. Un cybercriminel peut utiliser vos données personnelles pour accéder à un compte, puis utiliser ce mot de passe pour accéder à votre ordinateur et installer un ransomware.

Si vous évitez de donner des données personnelles, vous rendez beaucoup plus difficile ce type d’attaque, en particulier parce que l’attaquant devra trouver un autre moyen de trouver vos mots de passe ou autres informations de compte. Les données personnelles incluent également les noms des personnes, des animaux de compagnie ou des lieux que vous utilisez comme réponses aux questions de sécurité pour vos comptes. 

2021 Ransomware Survey Report

How To Defend Against the Growing Challenge of Ransomware

Download our latest Ransomware Survey Report

Comment réagir aux attaques de ransomware

Ce n’est pas parce qu’une attaque de ransomware a été perpétrée sur votre ordinateur ou votre réseau qu’il n’y a rien que vous puissiez faire pour remédier à la situation. Vous pouvez souvent limiter les dommages causés par les ransomwares en prenant rapidement des mesures.

Isoler

Isoler le ransomware est la première étape à suivre. Cela peut empêcher les attaques en mouvement latéral où le ransomware se propage d’un appareil à l’autre via leurs connexions réseau. Vous devez d’abord éteindre le système infecté. L’arrêter empêche le malware de l’utiliser pour propager davantage le ransomware. 

Vous devez également débrancher tous les câbles réseau raccordés à l’appareil. Cela inclut tout ce qui connecte l’appareil infecté au réseau lui-même ou aux autres machines du réseau. Par exemple, votre appareil peut être connecté à une imprimante reliée au réseau local (LAN). Débrancher l’imprimante peut empêcher son utilisation pour propager le ransomware.

Outre les câbles matériels, vous devez également désactiver le Wi-Fi qui dessert la zone infectée par le ransomware. La connexion Wi-Fi peut être utilisée comme canal pour propager le ransomware à d’autres appareils connectés au même réseau Wi-Fi. L’éteindre peut stopper ce type de propagation interne avant qu’il ne commence. Cependant, si la propagation a déjà commencé au moment où vous réalisez que l’ordinateur a été infecté, couper le Wi-Fi peut l’empêcher de se propager davantage.

Les périphériques de stockage connectés au réseau doivent également être immédiatement déconnectés. Le ransomware peut potentiellement trouver le périphérique de stockage et l’infecter. Si cela se produit, tout dispositif qui se connecte au système de stockage peut être infecté à son tour. Cela peut se produire immédiatement ou de façon différée. Par conséquent, si vous avez été victime d’une attaque de ransomware, il est important de partir du principe que chaque périphérique de stockage a été infecté et de les nettoyer avant de permettre à tout périphérique de votre réseau de s’y connecter.

Identifiant

L’étape suivante consiste à déterminer le type de malware utilisé pour infecter votre système avec un ransomware. Dans certains cas, connaître le type de malware utilisé peut aider l’équipe d’intervention en cas d’incident à trouver une solution. Les clés de décryptage de certaines attaques de ransomware sont déjà connues, et connaître le type de malware utilisé peut aider l’équipe d’intervention à déterminer si la clé de décryptage est déjà disponible. Si c’est le cas, ils peuvent l’utiliser pour déverrouiller votre ordinateur, déjouant ainsi l’objectif de l’attaquant.

De plus, le type de malware peut aider à trouver d’autres moyens de gérer la menace. Pour comprendre vos options de réparation, votre équipe informatique ou votre consultant externe devra connaître le type de malware auquel ils ont affaire, faisant de l’identification précoce une étape essentielle.

Supprimer le malware

Il va sans dire que vous devez supprimer le malware, mais savoir quand le faire est plus important que la suppression elle-même. Il est important d’essayer de supprimer le malware uniquement après les étapes précédentes : l’isolation et l’identification. Si vous essayez de supprimer le malware avant de l’isoler, il risque d’utiliser le temps que vous prenez pour le désinstaller pour se propager à d’autres périphériques connectés au réseau.

De plus, si vous supprimez le malware avant qu’il ne puisse être identifié, vous risquez de perdre l’opportunité de recueillir les informations à son sujet qui pourraient être utiles à votre équipe d’intervention en cas d’incident, à vos consultants externes ou aux forces de l’ordre.

Une fois que vous avez suivi les étapes précédentes, la suppression du malware peut l’empêcher d’accéder à d’autres appareils. Même si l’ordinateur n’est plus connecté au réseau, le malware pourrait être diffusé ultérieurement s’il n’est pas supprimé.

Récupérer les données

Dès que l’attaque a été contenue et que votre ordinateur a été sécurisé et nettoyé, vous devez commencer à récupérer vos données. Cela peut contribuer à assurer la continuité d’activité et à améliorer votre résilience, en particulier si les données ont été récemment sauvegardées.

Une récupération des données réussie dépend du programme de récupération des données mis en place avant l’attaque. Si les données sont sauvegardées plusieurs fois par jour, par exemple, une attaque ne vous fera que reculer de quelques heures, dans le pire des cas. Vous pouvez utiliser des services basés sur le cloud ou du matériel sur site pour sauvegarder vos données, tant que le service que vous utilisez est accessible depuis un autre appareil. Garantir l’accès aux données peut nécessiter de stocker les informations de connexion en toute sécurité plutôt que simplement sur les appareils qui ont accès aux sauvegardes.

Ne jamais payer la rançon

Lorsqu’une attaque de ransomware a pris le contrôle, il peut être tentant de payer la rançon. Un utilisateur peut se dire qu’il perd plus d’argent avec les données et le temps perdu que ce que l’attaquant demande. Par exemple, si les systèmes sensibles sont éteints et que les clients ne peuvent pas effectuer d’achats, les pertes pourraient rapidement s’élever à plusieurs milliers. Si l’attaquant demande quelques centaines de dollars, vous pouvez penser que payer est un choix raisonnable. Cependant, ce n’est pas le cas.

Tout comme les pirates de l’air ou de la route et les terroristes qui maintiennent les humains en captivité, les hackers dépendent des attaques de ransomware qui extorquent avec succès les victimes. Si un nombre suffisant d’utilisateurs refusent de payer la rançon, les attaquants pourraient y réfléchir à deux fois avant d’utiliser un ransomware, investissant ainsi leur énergie dans une entreprise potentiellement plus rentable. Par conséquent, lorsque vous refusez de payer la rançon, vous aidez d’autres personnes qui pourraient être des cibles à l’avenir.

De plus, si vous payez une fois, les attaquants savent que vous êtes susceptible de payer à nouveau si vous êtes confronté à une situation similaire. Ainsi, en payant, vous pourriez vous identifier comme une cible potentiellement lucrative pour de futures attaques.

Quand devez-vous payer la rançon ? (Et quand ne pas payer)

De manière générale, vous ne devez jamais payer la rançon. Payer peut signifier aux attaquants qu’ils peuvent s’en sortir tout en vous extorquant, ce qui les fera revenir plus tard pour une deuxième attaque. Cela nuit également aux autres car cela envoie le message à la communauté des hackers que le ransomware est toujours un vecteur d’attaques efficace. N’oubliez pas qu’une fois la rançon payée, il n’y a aucune garantie que l’attaquant vous redonnera l’accès à votre ordinateur.

Cependant, dire non peut être plus facile à dire qu’à faire, en particulier lorsque vous n’avez pas de sauvegarde ou de plan de résilience adéquat. Bien qu’il ne soit jamais conseillé de payer la rançon, vous devrez peut-être peser les conséquences avant de prendre une décision définitive. Vous devriez prendre en compte les facteurs suivants :

  1. Combien coûtera la récupération des données perdues
  2. Si votre cyber-assurance, si vous en avez une, peut vous aider à rembourser une partie des coûts
  3. Quelle est la probabilité que l’opérateur de ransomware spécifique qui vous a ciblé déchiffre les systèmes après le paiement

Comment Fortinet peut-il vous aider ?

La Security Fabric de Fortinet propose une large gamme de produits et de services qui peuvent être déployés sur la surface d’attaque numérique et tout au long de la chaîne de cyberattaque afin de réduire le risque et l’impact potentiel des ransomwares. Ils peuvent aider les organisations à se préparer et à prévenir les incidents dus aux ransomware, à les détecter et à y répondre s’ils se produisent, et à augmenter les équipes internes si nécessaire.

Pour chaque organisation, son exposition actuelle, son appétit pour le risque, sa situation d’accréditation, ses compétences en sécurité et d’autres facteurs détermineront quels produits et services sont les plus appropriés à tout moment. Cependant les options comprennent :

  1. Préparation : service de préparation aux incidents, gestion de surface d’attaque FortiRecon, simulation d’intrusion FortiTester. La formation InfoSec et la sensibilisation
  2. Prévention : pare-feu nouvelle génération FortiGate, passerelle de sécurité e-mail FortiMail, pare-feu applicatif Web FortiWeb, sécurité moderne des endpoints FortiEDR, analyse de sandbox en ligne FortiSandbox
  3. Une fonction de détection : FortiDeceptor, détection et réponse étendues FortiXDR, détection et réponse du réseau FortiNDR
  4. Réponse : FortiAnalyzer, FortiSIEM, FortiSOAR, Service de prise en charge des incidents FortiGuard
  5. Augmentation : FortiGuard SOCaaS, détection et réponse gérées par FortiGuard

Liens connexes

links image 1 139x100

Démonstration gratuite de nos produits

Découvrez les principales fonctionnalités et capacités de nos produits, et familiarisez-vous avec les différentes interfaces utilisateur.
resource center icon 139X159

Centre de ressources

Accédez au téléchargement de nombreux supports et documents pédagogiques.
links image 2 139x121

Évaluations gratuites

Testez nos produits et nos solutions
contact sales icon 139x85

Contactez-nous

Vous avez une question ? Nous sommes là pour vous aider.