Dix mesures essentielles à mettre en œuvre pour prévenir et détecter les menaces liées aux rançongiciels
Les attaques par rançongiciels posent un grave problème à l’échelle mondiale et ne cessent de se multiplier; de fait, elles sont souvent considérées comme la principale cybermenace à laquelle sont confrontées les entreprises aujourd’hui1. Les statistiques sur les rançongiciels sont stupéfiantes :
- Les préjudices causés aux entreprises et aux organisations devraient s’élever à 20 milliards de dollars en 20212
- De 2019 à 2020, le nombre de signalements liés aux rançongiciels à l’échelle mondiale a augmenté de plus de 715 %3
- La valeur des rançons versées a augmenté de 60 % depuis 20194
La crise des rançongiciels continuera de s’aggraver au fur et à mesure que les menaces gagneront en sophistication et que leurs auteurs deviendront de plus en plus habiles. De par leur discipline et leur démarche, les pirates informatiques opèrent souvent de la même façon qu’une entreprise traditionnelle légitime, mais avec une intention criminelle. Heureusement, les entreprises peuvent adopter certaines stratégies pour réduire le risque de subir une attaque par rançongiciel.
Voici dix technologies et processus qui peuvent vous aider à prévenir et à détecter les attaques par rançongiciels.
Chacune de ces mesures s’arrime étroitement à la manière dont les pirates informatiques conçoivent et exercent leurs activités criminelles. Bien que certaines d’entre elles soient coûteuses, leur mise en œuvre immédiate et proactive peut aider à minimiser les coûts liés aux pertes d’exploitation, aux atteintes à la réputation, aux interventions en cas d’incident ou au versement de rançons.
Formation de sensibilisation à l’hameçonnage pour montrer aux employés et aux utilisateurs finaux comment repérer les courriels d’hameçonnage et les signaux d’alarme, et ainsi diminuer leur propension à cliquer sur les courriels malveillants que de nombreux pirates informatiques utilisent pour s’introduire dans un réseau.
Désactivation de l’accès au bureau à distance directement à partir d’Internet, afin d’empêcher les pirates informatiques de lancer une attaque par force brute contre le protocole de bureau à distance en ligne et de pénétrer dans le réseau.
Configuration adéquate du filtrage des adresses URL et analyse des pièces jointes à l’aide d’un bac à sable afin d’éviter que les logiciels malveillants, y compris les rançongiciels, contenus dans les courriels s’exécutent ou passent inaperçus.
Solution avancée de détection et de réponse des terminaux (EDR) pour détecter et potentiellement mettre en quarantaine les rançongiciels et autres logiciels malveillants avancés, ainsi que pour faciliter les procédures d’enquête informatique de l’entreprise en cas d’attaque.
Outil avancé de détection des logiciels malveillants qui inspecte le trafic sur le réseau afin d’y repérer les rançongiciels et autres paquets malveillants.
Mots de passe à 16 caractères ou plus pour les comptes de service et d’administrateur de domaine pour empêcher un rançongiciel ou un pirate informatique de déchiffrer les noms d’utilisateur et mots de passe d’administrateur trop simples. Idéalement, ces mots de passe sécuritaires doivent être modifiés régulièrement à l’aide d’un outil de gestion des accès privilégiés. Les pirates informatiques utilisent ces identifiants déchiffrés pour se déplacer latéralement et déployer leurs rançongiciels.
Outils de détection des mouvements latéraux. Après s’être introduits dans un réseau, les pirates informatiques se déplacent généralement latéralement en utilisant des identifiants compromis. La détection de ce mouvement latéral anormal permet habituellement d’arrêter l’attaque avant le déploiement du rançongiciel.
Plateforme de gestion des informations et des événements de sécurité (GIES) adéquatement configurée qui regroupe les registres d’événements, de sécurité, de pare-feu et autres. Il est très difficile de réagir à une attaque par rançongiciel et de se rétablir après une telle attaque sans plateforme de GIES, car la visibilité que confèrent les registres locaux non centralisés est souvent faible.
Fonction de surveillance continue de la sécurité permettant la recherche de menaces grâce à la collecte des registres et des alertes.
Verrouillage des outils de déploiement de logiciel et d’accès à distance (tels que SCCM, PDQ et PsExec), lesquels sont réservés à l’usage d’un petit nombre de comptes privilégiés disposant de la fonction d’authentification multifacteur, dans la mesure du possible. Une fois qu’ils ont obtenu des privilèges supérieurs, les pirates informatiques prennent généralement le contrôle des comptes SCCM/PDQ/PsExec pour déployer le fichier exécutable du rançongiciel dans l’ensemble du réseau.
Sources :
- https://www.inc.com/adam-levin/ransomware-is-number-one-cyber-threat-this-year-heres-what-you-can-do.html
- 2019 Cybersecurity Almanac, Cisco and Cybersecurity Ventures, 2019
- Rapport de mi-année 2020 de Bitdefender sur les menaces (en anglais seulement), page 14
- Rapport de Coveware sur les rançongiciels (en anglais seulement), le 3 août 2020
À propos de Solutions de risques cybernétiques : Solutions de risques cybernétiques d’Aon offre une approche globale de la gestion des cyberrisques, des compétences inégalées en investigation, ainsi que des technologies exclusives qui aident les clients à repérer et à quantifier les cyberrisques, à protéger les actifs essentiels et à se rétablir après des cyberincidents.
À propos d’Aon : Aon plc (NYSE : AON) est un fournisseur mondial d’une vaste gamme de solutions pour la gestion du risque, des régimes de retraite et des programmes de santé. Nos 50 000 employés, répartis dans 120 pays, génèrent des résultats pour les clients grâce à des données et à des analyses exclusives produisant des points de vue permettant de réduire la volatilité et d’améliorer le rendement.
Les descriptions, résumés et renseignements sur la couverture sont fournis à titre informatif seulement et ne modifient pas les modalités réelles d’une police d’assurance. La couverture est régie uniquement par les modalités de la police pertinente.
Les services de cybersécurité sont offerts par Stroz Friedberg Inc. et ses sociétés affiliées. Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
La présente alerte destinée aux clients ne constitue pas des conseils juridiques. Ni Solutions de risques cybernétiques d’Aon ni Intervention en cas d’incident de Stroz Friedberg ne pratiquent le droit. Si vous avez besoin de conseils juridiques ou de services juridiques relativement à un rançongiciel ou à un incident lié à un rançongiciel, nous vous encourageons à faire appel à votre conseiller juridique interne ou externe.
© 2021 Aon plc. Tous droits réservés.