L’ANSSI et le Ministère de la Justice collaborent pour mieux vous guider en cas d’attaque par rançongiciel

Face à la recrudescence des attaques par rançongiciels (ou « ransomewares » en anglais) portées à sa connaissance, l’ANSSI (Agence nationale de sécurité des systèmes d’information) a, en collaboration avec le Ministère de la Justice, publié un guide de sensibilisation à destination des professionnels (dirigeant(e)s d’entreprises, responsables informatiques, experts métiers,…). Ce guide se concentre sur deux points essentiels : les bonnes pratiques aux fins de réduire les risques d’attaque ainsi que les réflexes à adopter pour réagir en présence d’une telle attaque.

 

Pour rappel, un rançongiciel est un logiciel malveillant qui a pour objectif de chiffrer les données d’une entreprise victime. En pratique, la plupart des rançongiciels chiffrent par des mécanismes cryptographiques les données de l’ordinateur ou du système de l’entreprise victime, rendant leur consultation et/ou leur utilisation impossibles. L’attaquant adresse alors un message non chiffré à la victime où il lui propose, contre le paiement d’une rançon, de lui fournir le moyen de déchiffrer ses données. Pour une portée démultipliée, il arrive parfois qu’un attaquant associe au rançongiciel un ou plusieurs autres programmes malveillants (cheval de Troie, etc.). Il devient dès lors possible d’utiliser de manière illégale les ressources matérielles des équipements compromis ou de s’emparer des données présentes dans le système d’information de l’entreprise victime. Phénomène relativement récent, certains attaquants associent désormais la menace de publication de données sensibles à l’utilisation de rançongiciels, et ce afin d’accroitre la pression exercée sur leurs victimes pour qu’elles paient la rançon.

 

C’est forte de son expérience et de celles des victimes de telles attaques que l’ANSSI a rédigé ce guide, comportant des conseils concis pour mieux affronter ce type d’attaque.

 

 

Un guide inspiré d’expériences de victimes de rançongiciels

Ayant eu à traiter, depuis début 2020, 104 attaques par rançongiciels, l’ANSSI a décidé de sensibiliser une large audience sur les dangers que sont les attaques par rançongiciels en ce qu’elles constituent un « véritable fléau pour les organisations victimes ».

 

En effet, pour les entreprises victimes, le préjudice va bien au-delà de la perte des données ou du paiement d’une rançon puisque les organisations victimes doivent faire face à de nombreuses autres conséquences : arrêt de la production, chute du chiffre d’affaires, risques juridiques (par exemple liés aux dispositions applicables en matière de protection des données à caractère personnel ne sont plus accessibles), altération de la réputation, perte de confiance des clients, etc.

 

Or, la plupart du temps, prévenir ce type d’attaque par de bonnes pratiques permet d’en ramener les risques à un niveau résiduel. Ainsi, la publication de ce guide s’inscrit dans une volonté de l’ANSSI et du gouvernement de lutter contre la cybercriminalité et de sensibiliser les premières concernées et potentielles victimes, à savoir les organisations.

 

La particularité du guide publié par l’ANSSI est d’ailleurs qu’il comprend des témoignages d’entreprises victimes de rançongiciels. Certains témoignent des difficultés rencontrées, par exemple devoir faire face à une attaque en pleine nuit, pendant le week-end, sans aucun accès à Internet et avec un arrêt total des systèmes et de l’activité. D’autres font part des leçons qu’ils ont pu tirer d’une telle expérience, comme ce membre d’un directoire d’un CHU, victime d’une attaque, qui met en exergue 3 « leçons » à tirer d’une telle attaque : « 1) Gérer une crise cyber, c’est à la fois mettre en œuvre un plan et jouer une partition non écrite. Sur ces deux volets, rien ne se fait seuls ! 2) Rester calme (ne marche que si l’on n’est pas seuls). 3) D’un point de vue plus organisationnel enfin, cette expérience m’a conforté dans l’idée qu’un RSSI doit avoir un accès direct et facilité à tous les acteurs de la gestion de crise – directions et managers compris – pour préparer l’organisation à ces épreuves et y réagir le cas échéant. »

 

 

Les conseils prodigués par l’ANSSI

L’ANSSI divise son guide en deux axes majeurs : la présentation des actions préventives à déployer pour réduire le risque d’attaque par rançongiciel, et le rappel des bonnes pratiques et de la conduite à tenir pour réagir à une telle attaque.

 

Les actions préventives pour lutter contre les rançongiciels

 

Afin de sensibiliser au mieux sur les risques liés aux ransomwares, l’ANSSI prodigue dans son guide une dizaine de conseils concis et pragmatiques, pratiques et stratégiques :

 

  1. Sauvegarder régulièrement l’ensemble des données (sur des espaces ou supports déconnectés du système d’information) ;
  2. Maintenir à jour les logiciels et les systèmes de manière très régulière et selon un processus maîtrisé, et assurer une veille permanente permettant de rester informé de la découverte des vulnérabilités logicielles et matérielles des services utilisés dans l’entreprise et de la disponibilité des correctifs (exemple de ressources : https://www.cert.ssi.gouv.fr/) ;
  3. Utiliser et maintenir à jour les logiciels antivirus ;
  4. Cloisonner le système d’information pour limiter la propagation du rançongiciel (ex : mettre en place un ou plusieurs dispositifs de filtrage permettant un cloisonnement entre les différentes zones réseaux plus ou moins critiques du système d’information (zone des serveurs internes, zone des serveurs exposés sur Internet, zone des postes de travail utilisateurs, zone d’administration, etc.), implémenter un cloisonnement des niveaux d’administration, interdire par défaut les connexions entre les postes des utilisateurs et configure de façon ad hoc le pare-feu logiciel des postes de travail,…) ;
  5. Limiter les droits des utilisateurs et les autorisations sur les applications (ex : s’assurer que les utilisateurs ne sont pas administrateurs de leurs postes de travail, mettre en place des stratégies de restriction d’exécution logicielle, limiter les comptes d’administration voire prévoir des postes dédiés spécifiquement configurés,…) ;
  6. Maitriser les accès internet en mettant notamment en place des passerelles sécurisées pour bloquer les flux illégitimes avec des relais / filtres applicatifs incontournables implémentant des fonctions de sécurité ;
  7. Formaliser et déployer de manière effective une politique de journalisation et de supervision / exploitation des événements journalisés et incidents de sécurité informatique ;
  8. Sensibiliser les collaborateurs pour faire naitre ou renforcer des réflexes par des campagnes, des réunions de sensibilisation, des quizz etc. (ex : ne pas cliquer sur des pièces jointes, liens ou emails douteux, signaler au service informatique tout élément suspect tels qu’une clé USB offerte, des requêtes inhabituelles,…) et sensibiliser plus spécifiquement les équipes informatiques pouvant utiliser des outils d’administration ;
  9. Évaluer l’opportunité de souscrire à une assurance cyber (dont le marché demeure encore naissant) ;
  10. Mettre en œuvre un plan de réponse aux cyberattaques lequel doit être régulièrement éprouvé par des tests ou exercices, et actualisé ;
  11. Penser à une stratégie de communication de crise cyber pour limiter l’impact de la crise sur l’image et la réputation de l’entreprise, stratégie qui elle aussi doit faire l’objet de tests ou exercices de gestion de crise pour vérifier sa cohérence et sa pertinence.

 

La réaction à une attaque par rançongiciel

 

Le guide de l’ANSSI contient ensuite des conseils pour guider la réaction des entreprises qui subissent effectivement une attaque par rançongiciel.

 

Ce guide rappelle certaines actions « basiques » telles que :

 

  1. Adopter des bons réflexes :
    • ouvrir une main courante pour tracer les actions et les événements liés à l’incident,
    • déconnecter et isoler tous les systèmes d’information et les sauvegardes (attention à ne pas oublier les connexions sans fil !),
    • rechercher les caractéristiques du programme malveillant, notamment dans les journaux informatiques,
    • conserver les données chiffrées afin de pouvoir tenter de les exploiter tout de même en cas de solution de déchiffrement découverte et rendue publique ultérieurement, etc.
  2. Faire appel en cas de besoin à des prestataires spécialisés dans la réponse aux incidents de sécurité (pour les petites entreprises, le Gouvernement a mis en place la plateforme cybermalveillance.gouv.fr qui permet d’entrer en contact avec des prestataires de proximité ;
  3. Déposer plainte au nom de l’entité ;
  4. NE PAS PAYER LA RANCON (le paiement ne garantissant aucunement le déchiffrement des données) !!

 

Le guide précité contient également des actions plus complexes en termes de mise en œuvre et qu’il convient donc d’avoir anticipées :

 

  1. Mettre en place une cellule de crise au plus haut niveau de l’organisation, indépendante des groupes de travail opérationnels qui auront des responsabilités de pilotage et d’exécution. Cette cellule aura pour objectif de répondre aux enjeux de niveau stratégique de la crise en établissant, par exemple, les stratégies de communication interne comme externe et les éléments à fournir en vue de la judiciarisation ou de la notification règlementaire, notamment pour la Commission nationale de l’informatique et des libertés (CNIL) en cas de violation de données à caractère personnel. Dans ce dernier cas, avec l’appui du délégué à la protection des données, cette cellule devra également identifier le niveau de risque engendré pour les personnes concernées et les avertir en conséquence (employés, clients, membres, etc.). Plus globalement, cette cellule de crise aura également pour mission d’identifier les impacts de ces dysfonctionnements sur les activités de l’organisation et d’organiser la réponse dans ces champs ;
  2. Communiquer sur la crise au juste au niveau, et ce en fonction du contexte technique, médiatique et social de l’attaque, tant en externe qu’en interne (notamment communication interne adaptée et rappelant aux salariés qu’il convient d’appliquer la clause de confidentialité prévue dans leur contrat de travail) ;
  3. Restaurer les systèmes depuis des sources saines, réinstaller le système et restaurer les données à partir de sauvegardes effectuées antérieurement à la date de compromission du système, vérifier que les données restaurées ne sont pas infectées par le rançongiciel, corriger la vulnérabilité utilisée par l’attaquant, vérifier l’absence de présence persistante du rançongiciel, changer les mots de passe et …… appliquer les mesures de prévention présentées dans le guide !

 

 

Comment exploiter au mieux ce guide et le réutiliser à mon profit ?

Après lecture approfondie de ce guide, le plan d’actions à déployer pourrait être le suivant :

  • Mettre en place les actions préventives recommandées au sein de l’entreprise, selon un calendrier court et impératif ;
  • Formaliser une politique ou procédure interne sur la conduite à tenir en cas d’attaque par rançongiciel qui guidera les acteurs concernés en cas de crise, ce document devant s’accompagner de formations et de campagnes de sensibilisation à l’attention de l’ensemble des collaborateurs de l’entreprise ;
  • Prendre la mesure qu’aucune organisation n’est épargnée par ces attaques inopinées, qu’elles soient de jour comme de nuit, mais que les risques en résultant peuvent être limités en prenant la menace au sérieux et en adoptant les bons réflexes.

 

 

Par AGIL’IT – Pôle IT & Data protection

Laure LANDES-GRONOWSKI, Avocate associée