Cyberattaques par « rançongiciels » : les recommandations de l'Anssi pour les prévenir et réagir en cas d'incident
La « campagne d’attaque par messagerie » subie par le ministère de l’Intérieur hier et la cyberattaque constatée trois jours plus tôt au ministère de la Justice s’ajoutent à la longue liste d’attaques informatiques recensées contre les administrations ces dernières années (lire Maire info du 20 février). Les collectivités, de la région Grand Est à la métropole Aix-Marseille-Provence (Bouches-du-Rhône) et la petite commune de Tullins-Fures (Isère), ne sont pas épargnées (lire Maire info des 31 janvier et 24 mars). Dans ce contexte, l’Agence nationale de sécurité des systèmes d’information (Anssi) et la Direction des affaires criminelles et des grâces (DACG) ont élaboré un guide pour « réduire le risque d’attaque » et aider les victimes à « réagir en cas d’attaque ».
On le sait, l’un des modes opératoires les plus prisés par les cybercriminels depuis 2018 est le rançongiciel, « un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon ». « Lors d’une attaque par rançongiciel, détaille le guide, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière réversible. » L’utilisation ou la consultation des données de l’ordinateur sont impossibles. « L’attaquant adresse alors un message non chiffré à la victime où il lui propose, contre le paiement d’une rançon, de lui fournir le moyen de déchiffrer ses données.»
Sauvegardes et mises à jour pour « réduire le risque d’attaque »
Pour « réduire le risque d’attaque », plus d’une centaine par rançongiciel ont été portées à la connaissance de l’Anssi depuis le début de l’année, l’Agence et la DACG recommandent la réalisation de sauvegardes régulières des données. Des sauvegardes, préviennent les auteurs du guide, qui peuvent aussi être affectées par un rançongiciel. « En effet, de plus en plus de cybercriminels cherchent à s’en prendre aux sauvegardes pour limiter les possibilités pour la victime de retrouver ses données et ainsi maximiser les chances qu’elle paie la rançon ». D’où l’intérêt de « déconnecter ces sauvegardes du système d’information pour prévenir leur chiffrement, à l’instar des autres fichiers ».
D’autres mesures permettent de réduire significativement les risques d’infection et de propagation d’un rançongiciel sur l’ensemble du système d’information, comme « le maintien en condition de sécurité des socles système par l’application des correctifs de sécurité ; la mise à jour des signatures antivirus ; la mise en œuvre d’une politique de filtrage sur les postes de travail ; et la désactivation des droits d’administrateur pour les utilisateurs de ces postes ». De même, un plan de continuité informatique en réponse à l'attaque doit permettre à l’organisation de « continuer à fonctionner quand survient une altération plus ou moins sévère du système d’information ».
Sans être l’alpha et l’omega enfin, la sensibilisation des utilisateurs, à travers des réunions d’information, quizz, campagnes d’affichage ou encore distribution de guides de bonnes pratiques, est conseillée. Car, le plus souvent, « l’attaque par rançongiciel commence par l’ouverture d’une pièce jointe piégée ou la consultation d’une page web malveillante ». « L’objectif est de faire naître ou de renforcer certains réflexes chez les utilisateurs en les invitant à signaler au service informatique de l’organisation tout élément suspect (exemple : pièce-jointe ou courriel douteux, clé USB offerte, requêtes inhabituelles, etc.). »
« Les bons réflexes » pour réagir en cas d’attaque
Si l’attaque n’a pu être évitée, l’Anssi et la DACG recommandent, en premier lieu, « d’ouvrir une main courante permettant de tracer les actions et les évènements liés à l’incident. » Chaque entrée de ce document doit contenir, a minima, l’heure et la date de l’action ou de l’évènement ; le nom de la personne à l’origine de cette action ou ayant informé sur l’évènement ; la description de l’action ou de l’évènement. « Afin d’éviter une propagation du rançongiciel sur les autres équipements informatiques de l’entité, ajoutent-elles, il est important de déconnecter au plus tôt les supports de sauvegardes après s’être assurés qu’ils ne sont pas infectés et d’isoler les équipements infectés du système d'information en les déconnectant du réseau ».
Autre conseil important : « Afin de couper l’accès de votre système d’information à un attaquant agissant depuis Internet, il est important d’isoler votre système d’information en bloquant toutes les communications vers et depuis Internet. Ainsi, l’attaquant ne sera plus en mesure de piloter son rançongiciel ni de déclencher une nouvelle vague de chiffrement. »
Il est recommandé, enfin, de déposer plainte et de ne jamais payer la rançon. « Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux ».
Ludovic Galtier
Suivez Maire info sur Twitter : @Maireinfo2
Généralisation du masque : le « oui, mais » du Conseil d'État   Â