Ransomware : les interventions de l’Anssi ont presque doublé

Ransomware : les interventions de l'Anssi ont presque doublé

Cet été, les ransomwares ont fait les gros titres : si la menace n’a rien de nouveau, les groupes utilisant ces logiciels malveillants ont fait beaucoup parler d’eux ces derniers mois grâce à plusieurs affaires retentissantes visant de grandes entreprises : Garmin, ou CarlsonWagonLit à l’international, SPIE, la métropole d’Aix-Marseille-Provence, ou encore Bouygues Construction en France. L’Anssi a donc décidé de publier un nouveau guide à l’intention des entreprises et des collectivités qui souhaitent se prémunir à l’égard de ces attaques, une piqûre de rappel bienvenue sur l’évolution des techniques employées par les cybercriminels.

Car on ne fait plus du ransomware comme en 2016 : oubliez les vagues d’e-mails propageant Locky au petit bonheur la chance, les attaques sont aujourd’hui ciblées. « Depuis 2018, on observe une croissance de ces attaques menées par des groupes cybercriminels qui, après avoir ciblé des particuliers, s’en prennent désormais à des organisations aux moyens financiers importants, ou aux activités particulièrement critiques », écrit ainsi l’Agence dans les premiers chapitres de son guide. Les chiffres ont également évolué : en 2019, l’Anssi estimait ainsi avoir eu à intervenir sur 69 incidents. Depuis le début de l’année 2020, l’agence indique être intervenue sur 104 incidents. Et on ne parle ici que des cas relevant directement de l’Anssi, soit des victimes considérées comme des opérateurs d’importance vitale, ou liés directement aux structures d’Etat.

Cette tendance, connue sous le nom de « Big Game hunting », change la donne en matière de ransomware : si on pouvait auparavant se contenter d’une bonne hygiène informatique et d’un système de sauvegarde solide pour se prémunir des attaques, les groupes à l’origine de cette nouvelle tendance se révèlent suffisamment sophistiqués pour contourner les principales mesures mises en œuvre jusqu’alors.

La sauvegarde n’est pas une panacée

Le cas des sauvegardes est d’ailleurs le premier conseil qu’aborde le guide : si celles-ci sont évidemment nécessaires, l’Anssi rappelle que « ces sauvegardes peuvent aussi être affectées par un rançongiciel. En effet, de plus en plus de cybercriminels cherchent à s’en prendre aux sauvegardes pour limiter les possibilités pour la victime de retrouver ses données et ainsi maximiser les chances qu’elle paie la rançon ». Il ne s’agit donc plus d’avoir simplement des sauvegardes, mais bien d’établir une vraie stratégie de sauvegarde, stockée dans des emplacements déconnectés du réseau pour les plus critiques.

Le guide reprend dans les grandes lignes les bonnes pratiques mises en avant dans la lutte contre les ransomwares : cloisonner le réseau, mettre l’accent sur la détection et la surveillance des logs afin d’être en mesure de repérer un comportement suspect ou une infection, mettre en place une politique de mise à jour des logiciels, notamment ceux qui sont directement exposés sur internet et maîtriser les accès à internet des utilisateurs.

Ce nouveau guide de l’Anssi aborde également la thématique plus humaine de la gestion de crise : l’Anssi recommande ainsi de se préparer à la gestion de crise en amont, d’envisager de souscrire une assurance dans ce cas de figure (bien que l’agence reconnaisse que ce marché est « encore naissant » et mette en garde à l’égard des clauses d’exclusion) ainsi que la question épineuse de la communication de crise.

Communiquer au juste niveau

L’agence aborde également le sujet de la communication de crise. « Il est nécessaire de penser très rapidement à l’accompagnement des collaborateurs et des collaboratrices par une communication interne adaptée », précise ainsi le guide, une manière polie de dire que laisser ses employés paniquer devant un ordinateur qui affiche une demande de rançon menaçante n’apportera rien de bon et jouera plutôt en faveur des attaquants. L’agence recommande d’ailleurs de faire jouer la clause de confidentialité pour éviter que les employés n’aillent cafter auprès des journalistes. Le conseil part probablement d’une bonne intention, mais si par le plus grand des hasards vous estimez que votre direction ne mérite pas tant d’égards, mon adresse e-mail est ici.

Les derniers conseils du guide recommandent de déposer plainte afin que la justice puisse éventuellement se saisir de l’affaire et poursuivre l’attaque, et enfin de ne pas payer la rançon, antienne de l’Anssi en la matière, mais qui mérite d’être répétée. « Le paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux », précisent les auteurs du guide. L’expérience montre néanmoins que de nombreuses entreprises sont prêtes à céder aux demandes des cybercriminels afin de raccourcir les délais de remise en route des systèmes.

Le guide est émaillé de témoignages de responsables informatiques victimes de ransomware dans les mois passés : on retrouve ainsi les retours d’expérience de Fleury Michon (touchés par un ransomware le 11 avril 2019), du CHU de Rouen (visé le 15 novembre 2019) ou encore du groupe M6, paralysé par une attaque de ce type en octobre 2019.

https://www.zdnet.fr/actualites/ransomware-les-interventions-de-l-anssi-ont-presque-double-39909157.htm

Retour en haut