Cybersécurité : Les trois conseils techniques de l’Anssi pour se défendre contre un ransomware

Face à la recrudescence des attaques par ransongiciels (ransomwares), l’Agence française de la cybersécurité publie son premier guide pour s’en prémunir et agir en cas d’attaques. Industrie & Technologies a sélectionné pour vous les trois mesures opérationnelles recommandées par l’agence quand on est victime d'une telle cyberattaque.

Partager
Cybersécurité : Les trois conseils techniques de l’Anssi pour se défendre contre un ransomware

La tendance de 2019 s’est largement confirmée en 2020 : les cyberattaques par rançongiciels (ransomwares), ces logiciels malveillants chargés de chiffrer les données d’un organisme pour lui extorquer de l’argent, deviennent le fléau numéro un des cyberattaques en France. « Elles connaissent une augmentation sans précédent », et un niveau de sophistication de plus en plus élevé, affirme l’Agence de sécurité des systèmes d’information (Anssi), l’autorité de référence en matière de cybersécurité dans l’Hexagone dans son premier guide pour sensibiliser les entreprises et les collectivités, publié le 4 septembre avec la Direction des Affaires criminelles et des grâces (DACG) du ministère de la Justice.

Au total, l’agence a identifié près de 104 attaques de ce type cette année, soit deux fois plus que l’année précédente (54 attaques). Et encore, ces chiffres « ne s'appuie[nt] que sur les faits portés à la connaissance de l'Anssi et traités par elle », précise le document. Dans la seconde partie de ce document, l’Anssi fournit les clés de ce qu’il faut faire en cas d’attaque de ransomware. Pour étayer son propos, l’agence y fait intervenir les responsables de trois organisations françaises qui ont récemment été victimes d’une telle attaque : le groupe M6, le CHU de Rouen et Fleury Michon.

En plus des bonnes pratiques organisationnelles - déposer une main courante détaillée le plus rapidement possible puis porter plainte, déployer une cellule de crise et communiquer sur l’attaque, elle détaille surtout les mesures opérationnelles à prendre - témoignage des victimes à l’appui.

1. Eteindre ce qui peut l’être et conserver les données chiffrées

La première action à faire impérativement : « Déconnecter au plus tôt vos supports de sauvegardes après vous être assurés qu’ils ne sont pas infectés et isoler les équipements infectés du système d’information en les déconnectant du réseau » afin de neutraliser le lien entre l’attaquant et son logiciel.

Une fois les programmes malveillants identifiés, l’Anssi recommande de « rechercher dans les journaux du système d’information les éventuelles caractéristiques de ceux-ci (exemple : URL utilisées pour communiquer avec l’infrastructure de l’attaquant, nom de fichier, condensat, objet du courrier électronique, etc.) » car « ces éléments pourront être utilisés sur les passerelles applicatives ou sur les équipements de filtrage réseau pour éviter de nouvelles infections » – comme créer une nouvelle règle sur le pare-feu de la victime pour bloquer l’accès à une URL donnée.

« Malgré le chiffrement des données par le rançongiciel, il est possible qu’une solution de chiffrement soit découverte et rendue publique ultérieurement », poursuit le document. C’est pourquoi la victime devrait conserver les données chiffrées. « Le projet No More Ransom, d’Europol, du National High Tech Crime Unit de la police néerlandaise et de l’éditeur McAfee recense les moyens de déchiffrement applicables à un grand nombre de rançongiciels. »

« L’une des premières actions mises en oeuvre a été de couper les accès au réseau Internet et au réseau interne puis d’isoler tous les composants non impactés, à commencer par les sauvegardes, les bases de données ainsi que les baies de stockages », témoigne, Cédric Hamelin, responsable adjoint à la sécurité du système d’information du CHU de Rouen.

2. Ne pas payer la rançon

La rançon est souvent l’objet de nombreuses tribulations au sein de la communauté cyber. Sur ce point, le conseil de l’Anssi est sans appel : il ne faut jamais la payer.

L’agence avance trois raisons principales. Tout d’abord, son paiement ne garantit pas le déchiffrement de la part de l’attaquant. Ensuite, même si l’attaquant livre la clé de déchiffrement, celle-ci n’assure pas toujours le rétablissement de la totalité des fichiers. Enfin, et surtout, payer la rançon « n’empêchera pas votre n’empêchera pas votre entité d’être à nouveau la cible de cybercriminels ».

3. Restaurer les systèmes depuis des sources saines

Et quand il est temps de revenir à la vie normale ? Alors, « il est préférable de réinstaller le système sur un support connu et de restaurer les données depuis les sauvegardes effectuées, de préférence, antérieures à la date de compromission du système », détaille l’Anssi.

Pour restaurer ses données, il est primordial de suivre les règles suivantes :

  • La vulnérabilité initialement utilisée par l’attaquant doit être corrigée afin d’éviter une nouvelle infection (exemple : mise à jour logicielle, modification de la politique de filtrage réseau).
  • Si les recherches ont permis d’identifier le rançongiciel, vérifier l’absence des modifications réalisées par le programme malveillant afin de se maintenir après le redémarrage d’une machine précédemment infectée (exemple : valeurs de registre et fichiers malveillants).
  • Changer les mots de passe.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Les recettes de l'horlogerie suisse

Les recettes de l'horlogerie suisse

Nouveau

Dans ce nouvel épisode de La Fabrique, notre journaliste Gautier Virol nous dévoile les coulisses de son reportage dans le jura suisse au coeur de l'industrie des montres de luxe. 

Écouter cet épisode

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos...

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu...

Écouter cet épisode

La renaissance des montres Kelton

La renaissance des montres Kelton

Le designer Vincent Bergerat donne une nouvelle vie aux montres Kelton. Dans ce nouvel épisode du podcast Inspiration, il explique au micro de Christophe Bys comment il innove et recrée l'identité...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

BUREAU VERITAS

Auditeur QSE (F-H-X)

BUREAU VERITAS - 23/06/2022 - CDI - Lille

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

77 - Mitry-Mory

Fourniture de colis de Noël pour personnes âgées

DATE DE REPONSE 09/12/2022

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS