2. Examinez la gestion des accès privilégiés
Un cyberattaquant a pour objectif d’obtenir un accès durable et des privilèges d’accès accrus. Il a besoin d’un accès et d’un appui importants pour propager le rançongiciel à l’échelle de l’environnement informatique. Si un cyberattaquant parvient à mettre la main sur les identifiants d’un administrateur du système en général, ou pire encore, d’un administrateur de domaine, il peut utiliser contre vous votre propre infrastructure pour perturber l’ensemble des systèmes informatiques et déployer le rançongiciel.
Il est impératif que les organisations fassent tout ce qu’elles peuvent pour protéger les comptes privilégiés et les accès des administrateurs au sein de leur environnement. Sans privilèges, l’auteur d’une attaque n’est guère en mesure de frapper largement l’organisation. Or, nombre d’organisations rendent malheureusement les privilèges d’accès trop faciles à obtenir et ne sont pas à l’affût des comportements inhabituels de la part des utilisateurs privilégiés.
De plus, les personnes malveillantes se concentrent souvent sur l’hameçonnage des employés en vue d’obtenir les identifiants ou l’accès au système nécessaires pour leur attaque. Les employés sont humains et ne sont pas à l’abri des erreurs, malgré leurs efforts et leurs bonnes intentions. Pour réduire le risque que l’hameçonnage porte ses fruits, les organisations devraient se focaliser sur la formation individuelle des employés et sur les tests.
3. Créez un plan d’intervention en cas de cyberincident
Un cyberattaquant finira sans doute par se faufiler, même si une organisation prend toutes les mesures pour protéger son réseau. Les méthodes changent constamment pour lancer une attaque, et il est pratiquement impossible de résister à toute infiltration. Il faut présumer qu’un cyberattaquant saura percer les meilleures défenses et planifier la résistance aux attaques en bâtissant la résilience de votre organisation et en la dotant de redondances. Votre organisation pourra ainsi plus facilement limiter les dommages et se remettre plus vite sur pied après une cyberattaque.
Un plan d’intervention en cas de cyberincident est un as dans votre jeu, et il doit faire intervenir beaucoup de gens en plus de votre équipe de cybersécurité. Pensez à tous les intervenants internes et externes pouvant participer, aux principaux fournisseurs et personnes-ressources, aux entreprises indépendantes qui peuvent vous aider sur le plan juridique et sur celui de la juricomptabilité, ainsi qu’à la façon de détecter, circonscrire et contrer un cyberincident, de même qu’à la manière de revenir à la normale par la suite.
Une fois que votre plan est établi, il faut absolument le tester, ce qui passe habituellement par des exercices dans le cadre desquels tous les membres du personnel concernés sont réunis pour simuler, en toute sécurité, une attaque au rançongiciel. Plus elle se livrera à ce genre d’exercices, plus une organisation cernera des moyens d’améliorer son plan, de former ses employés, d’atténuer le risque de panique en cas de cyberincident et de se retrouver en meilleure position pour réagir à une crise de cybersécurité.