3 minutes de lecture 10 mai 2021

            EY – homme dans le noir près d’un ordinateur

Trois façons de protéger votre organisation contre les rançongiciels

Par Dave Burg

Leader, Cybersécurité, EY Amériques

Fier mari et père de trois enfants. Passionné de ski, de tennis et de golf.

3 minutes de lecture 10 mai 2021

Une organisation qui n’est pas bien préparée peut subir de grands préjudices et devoir engager de grosses sommes en cas d’attaque au rançongiciel. Une stratégie de défense par couches peut réduire le risque.

En bref

  • Les éléments de première ligne essentiels d’une cyberdéfense sont la sécurisation des configurations, la détermination proactive des menaces ainsi que la formation du personnel avec tests à l’appui.
  • Une gestion rigoureuse des accès des utilisateurs privilégiés et des administrateurs peut s’avérer efficace pour restreindre la capacité d’un pirate informatique de recueillir des données ou de lancer une attaque au rançongiciel.
  • Il est primordial de se doter d’un plan d’intervention en cas d’incident et de le tester périodiquement afin de limiter les dommages et se remettre rapidement sur pied en cas de cyberattaque.

Les attaques au rançongiciel fructueuses se multiplient, et la tendance se maintiendra sans doute. Puisque les attaques au rançongiciel sont de plus en plus fréquentes et perfectionnées, il faut absolument comprendre les caractéristiques qui favorisent actuellement le succès d’une attaque, sans quoi vous ne pourrez pas prendre les mesures nécessaires pour réduire le risque d’incidents perturbateurs.

Téléchargez notre rapport complet sur la façon dont votre organisation peut se protéger contre les rançongiciels.

Depuis des années, les stratèges de la cybersécurité prônent une stratégie multicouches (défense en profondeur) pour empêcher les pirates d’accéder aux systèmes. Les variantes et les opinions sont nombreuses, mais tous s’entendent pour dire que le renforcement de la sécurité de la coquille externe est incontournable pour une défense efficace. Autrement dit, diminuer la surface susceptible d’être attaquée fait en sorte que l’organisation devient une cible moins facile.

1. Renforcez votre système de défense contre les rançongiciels

Les personnes malveillantes disposent de nombreuses méthodes pour avoir accès à un environnement. Les groupes à l’origine des attaques aux rançongiciels continuent de cibler, avec succès, les vulnérabilités non corrigées dans une foule d’applications et de systèmes. L’exploitation des services réseau non protégés, surtout en passant par le Remote Desktop Protocol (RDP), est aussi une méthode souvent utilisée.

Pour réussir à se défendre, il faut se doter d’un ensemble solide de contrôle de sécurité afin de se protéger contre ces vulnérabilités. Les organisations doivent établir, implanter et gérer une configuration sécuritaire pour chaque système du réseau. Elles doivent aussi penser aux contrôles d’accès, aux stratégies de balayage, aux processus de gestion des correctifs et à bien d’autres éléments. 

Les solutions de pointe en matière de détection et d’intervention aux points d’extrémité utilisent des techniques proactives, comme l’apprentissage machine et l’analyse comportementale, pour détecter les menaces nouvelles ou complexes. Ces solutions peuvent rapidement détecter une attaque, en établir l’étendue dans votre réseau, et isoler ou mettre en quarantaine les systèmes infectés, en vue de mettre fin à l’attaque. Grâce aux techniques plus poussées, comme les solutions en matière de détection et d’intervention aux points d’extrémité, l’auteur d’une attaque a plus de mal à prendre la mainmise sur votre réseau.

2. Examinez la gestion des accès privilégiés

Un cyberattaquant a pour objectif d’obtenir un accès durable et des privilèges d’accès accrus. Il a besoin d’un accès et d’un appui importants pour propager le rançongiciel à l’échelle de l’environnement informatique. Si un cyberattaquant parvient à mettre la main sur les identifiants d’un administrateur du système en général, ou pire encore, d’un administrateur de domaine, il peut utiliser contre vous votre propre infrastructure pour perturber l’ensemble des systèmes informatiques et déployer le rançongiciel.

Il est impératif que les organisations fassent tout ce qu’elles peuvent pour protéger les comptes privilégiés et les accès des administrateurs au sein de leur environnement. Sans privilèges, l’auteur d’une attaque n’est guère en mesure de frapper largement l’organisation. Or, nombre d’organisations rendent malheureusement les privilèges d’accès trop faciles à obtenir et ne sont pas à l’affût des comportements inhabituels de la part des utilisateurs privilégiés.

De plus, les personnes malveillantes se concentrent souvent sur l’hameçonnage des employés en vue d’obtenir les identifiants ou l’accès au système nécessaires pour leur attaque. Les employés sont humains et ne sont pas à l’abri des erreurs, malgré leurs efforts et leurs bonnes intentions. Pour réduire le risque que l’hameçonnage porte ses fruits, les organisations devraient se focaliser sur la formation individuelle des employés et sur les tests.

3. Créez un plan d’intervention en cas de cyberincident

Un cyberattaquant finira sans doute par se faufiler, même si une organisation prend toutes les mesures pour protéger son réseau. Les méthodes changent constamment pour lancer une attaque, et il est pratiquement impossible de résister à toute infiltration. Il faut présumer qu’un cyberattaquant saura percer les meilleures défenses et planifier la résistance aux attaques en bâtissant la résilience de votre organisation et en la dotant de redondances. Votre organisation pourra ainsi plus facilement limiter les dommages et se remettre plus vite sur pied après une cyberattaque.

Un plan d’intervention en cas de cyberincident est un as dans votre jeu, et il doit faire intervenir beaucoup de gens en plus de votre équipe de cybersécurité. Pensez à tous les intervenants internes et externes pouvant participer, aux principaux fournisseurs et personnes-ressources, aux entreprises indépendantes qui peuvent vous aider sur le plan juridique et sur celui de la juricomptabilité, ainsi qu’à la façon de détecter, circonscrire et contrer un cyberincident, de même qu’à la manière de revenir à la normale par la suite.

Une fois que votre plan est établi, il faut absolument le tester, ce qui passe habituellement par des exercices dans le cadre desquels tous les membres du personnel concernés sont réunis pour simuler, en toute sécurité, une attaque au rançongiciel. Plus elle se livrera à ce genre d’exercices, plus une organisation cernera des moyens d’améliorer son plan, de former ses employés, d’atténuer le risque de panique en cas de cyberincident et de se retrouver en meilleure position pour réagir à une crise de cybersécurité.

Résumé

Les attaques au rançongiciel sont de plus en plus fréquentes et perfectionnées. Les organisations doivent renforcer leurs défenses grâce à un ensemble solide de contrôles de sécurité, et la protection des comptes privilégiés et des accès des administrateurs est fondamentale. Un plan d’intervention en cas d’incident qui a été bien testé peut faciliter la formation des employés, calmer la panique et limiter les dommages découlant d’une cyberattaque.

À propos de cet article

Par Dave Burg

Leader, Cybersécurité, EY Amériques

Fier mari et père de trois enfants. Passionné de ski, de tennis et de golf.