Guide de survie en cas d’attaque par rançongiciels
Guide de survie en cas d’attaque par rançongiciels
Les cybercriminels exploitent actuellement pleinement un filon : les attaques par rançongiciels. Il s’agit d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Lors d’une attaque par rançongiciel, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière réversible. Ces attaques sont en constante évolution, mais, en résumé, elles consistent à s’introduire dans un système informatique en profitant d’une ou de plusieurs vulnérabilités comme, par exemple, un e-mail contenant une pièce jointe avec du contenu malicieux. En pratique, la plupart des rançongiciels chiffrent par des mécanismes cryptographiques les données de l’ordinateur ou du système, rendant leur consultation ou leur utilisation impossibles. L’attaquant adresse alors un message non chiffré à la victime où il lui propose, contre le paiement d’une rançon, de lui fournir le moyen de déchiffrer ses données.
Il arrive de plus en plus régulièrement que les pirates saisissent l’occasion pour voler un maximum de données et accroître, ce faisant, la pression sur les victimes en menaçant de divulguer les informations piratées si aucune rançon n’est payée. Le montant de la rançon sollicitée s’accroît chaque jour pour tenter de briser la résistance de la victime.
Quelques-unes des organisations les plus célèbres et les mieux protégées du monde ont subi de telles cyberattaques. La question n’est donc pas de savoir si cela va vous arriver, mais plutôt quand cela va vous arriver ! Le jugement qui sera porté sur votre action concernera les mesures préventives, ainsi que correctrices, pas le fait d’avoir été attaqué.
Il est donc indispensable que vous vous assuriez au plus vite de l’implémentation des 5 mesures préconisées par le Centre national pour la cybersécurité (NCSC ; www.ncsc.admin.ch), soit :
- Sécurisation des accès à distance, comme le VPN, le RDP ou autres, ainsi que tous les autres accès aux ressources internes (par ex. messagerie électronique, Sharepoint, etc.) doivent obligatoirement être sécurisés avec un second facteur (authentification à deux facteurs). Concrètement, les personnes souhaitant accéder à ces ressources à distance devront renseigner non seulement leurs identifiants (premier facteur), mais aussi un code à usage unique supplémentaire (second facteur) – par exemple un SMS. L’authentification forte devrait aujourd’hui être une obligation pour les accès à distance.
- Sauvegardes hors ligne il est nécessaire de créer régulièrement des copies de secours de vos données. Pour cela, un principe des générations (quotidien, hebdomadaire, mensuel – au moins deux générations) doit être utilisé. Il s’agit aussi de s’assurer à chaque fois que le canal sur lequel sont effectuées les copies de secours est physiquement séparé de l’ordinateur et du réseau, et protégé après l’opération de sauvegarde.
- Gestion des correctifs et des cycles de vie des actifs informatiques en matière de sécurité, tous les systèmes doivent être systématiquement et régulièrement mis à jour pour éviter en particulier que des cybercriminels puissent exploiter des vulnérabilités et voler par exemple des informations de connexion. Les logiciels ou les systèmes qui ne sont plus actualisés par le fabricant (fin de vie) doivent être désactivés ou transférés dans une zone du réseau séparée et isolée.
- Blocage des pièces jointes et des liens à risque dans les courriels la messagerie électronique reste un canal privilégié d’attaque pour les cybercriminels, raison pour laquelle il est nécessaire de bloquer la réception de pièces jointes dangereuses sur votre messagerie, y compris les documents Office avec macros. La sensibilisation et la formation de vos collaboratrices et collaborateurs à reconnaître les courriels suspicieux, par exemple avec des exercices de prévention du phishing, sont essentielles.
- Surveillance des fichiers journaux (logs) une surveillance continue de l’environnement IT et des changements au sein de celui-ci est une nécessité pour réagir rapidement et ainsi réduire les impacts d’une cyberattaque. En particulier, surveiller les accès à distance, les accès à Internet et les droits définis dans l’Active Directory (le service d’annuaire de Microsoft, qui centralise l’identification et l’authentification d’un réseau) est essentiel.
Si nonobstant, les démarches précitées, vous subodorez une attaque par rançongiciel, les mesures urgentes principales suivantes doivent être prises, étant rappelé que les conséquences d’une attaque informatique peuvent être atténuées à condition de prendre les bonnes décisions et d’agir très rapidement :
- Isoler votre système informatique de l’extérieur : Couper toutes les connexions Internet, y compris l’éventuel accès VPN et tout autre accès distant ; désactiver tous les logiciels de contrôle à distance souvent utilisés par les prestataires pour accomplir des tâches à distance.
- S’assurer que vos sauvegardes sont intègres et les déconnecter du reste de votre infrastructure, ce qui permettra de procéder à une restauration ultérieure des systèmes.
- Contacter les autorités : Annoncer le cyberincident à la police, au NCSC, au préposé fédéral, ainsi qu’à toute autre entité qui doit être nantie de ces informations ; une annonce auprès de la Confédération (NCSC /GovCERT) peut être opérée via le site : https://report.ncsc.admin.ch/fr/
- Constituer une cellule de crise le plus rapidement possible avec des représentants de l’autorité communale, un responsable de la communication, un responsable de l’informatique, une personne spécialisée en cybersécurité ; les membres des autorités cantonales peuvent être contactés pour assurer un soutien ; le but de cette cellule est de piloter la crise cyber.
- Mandater un prestataire spécialisé en Incident Response pour vous aider dans la gestion technique de l’incident en cybersécurité ; la collecte des preuves via les journaux de connexions (logs) de vos équipements sera une des premières étapes techniques à diligenter pour comprendre l’attaque et son ampleur.
- Communiquer au juste niveau en cas d’attaque avérée, la stratégie de communication définie par anticipation, voire testée en amont peut être déployée ; cette communication doit également avoir lieu en interne et être adaptée ; la présence d’un rançongiciel se manifeste souvent par l’affichage sur les écrans d’une demande de rançon, voire d’un décompte, ce qui génère émoi et anxiété chez les collaborateurs de l’entité victime ; il faut également s’assurer que les collaborateurs transmettent toutes les sollicitations extérieures au service communication et n’évoquent pas l’attaque à l’extérieur.
Albert Einstein disait : « Agir intelligemment dans les affaires humaines n’est possible que si l’on essaie de comprendre les pensées, les motifs et l’appréhension de son adversaire de telle manière que l’on puisse voir le monde à travers ses yeux ». La réponse aux cyberattaques doit donc être efficace en alliant l’humain et l’automatisation. Il faut enrichir les solutions logicielles de l’expertise de professionnels aguerris, capables de penser comme les pirates pour déjouer leurs actions. L’investissement humain est donc aussi important que celui inhérent aux solutions de cyberdéfense automatisées.
Une notion très large
Le droit de la protection des données vise à protéger la personnalité des personnes dont les données sont traitées. C’est donc naturellement qu’il impose des mesures de sécurité adaptée au risque à celui qui traite des données. C’est tout aussi naturellement qu’il a introduit des obligations d’annonce en cas de violation de la sécurité des données personnelles. C’est déjà le cas depuis longtemps aux USA, dans l’EEE (et pour certaines entreprises suisses qui visent ce marché) depuis l’entrée en application Règlement général sur la protection des données (RGPD) en 2018 et ce le sera en Suisse dès l’entrée en vigueur de la nouvelle Loi fédérale sur la protection des données (nLPD) en principe le 1er janvier 2023.
Cela signifie que la victime d’une cyberattaque exposant des données personnelles (une notion très large qui inclut toutes les données relatives à une personne identifiée ou identifiable) a aussi des obligations pour protéger ces tiers. Elle doit donc (ré)agir rapidement, ce qui implique qu’elle connaisse ses obligations et y soit surtout bien préparée.
Si la notion de données personnelles est large, celle de violation de la sécurité des données l’est tout autant et inclut n’importe quelle atteinte à l’une des trois composantes de la sécurité des données : disponibilité, intégrité et confidentialité. Il suffit donc que des données soient cryptées ou modifiées sans droit, ou encore qu’un courriel mentionne la liste de tous les destinataires pour être face à une violation de la sécurité des données.
Le chronomètre démarre dès que le responsable du traitement est informé. Si la nLPD se contente d’une annonce dans les meilleurs délais, le RGPD connaît un délai strict de 72h. Son non-respect, comme l’absence d’annonce, est passible d’une amende pouvant aller jusqu’à 10’000’000 d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’entreprise.
Annonce à l’autorité et information aux personnes concernées
Toutes les violations ne doivent pas être annoncées. On distingue l’annonce à l’autorité de contrôle, soit le Préposé fédéral à la protection des données (PFPDT) en Suisse ou la Commission nationale informatique et libertés (CNIL) en France, de l’information aux personnes concernées. Le RGPD exige une annonce dès que la violation est susceptible d’engendrer un risque. La LPD est un peu moins contraignante et se contente d’une annonce au PFPDT s’il y a vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. En cas de risque élevé, le RGPD exige que la personne soit informée. Le droit suisse impose l’information à la personne concernée si elle peut prendre des mesures nécessaires à sa protection. Ce critère n’est pas tellement lié au degré de risque, mais plutôt de savoir ce que peut concrètement faire la personne concernée (qu’il s’agisse de modifier son mot de passe ou informer son entourage préalablement à la publication d’informations).
Il faudra annoncer la nature de la violation (effacement, destruction, perte, modification, etc.), les conséquences sur la personne concernée et les mesures prises pour en réduire les conséquences. Le PFPDT devrait mettre un formulaire à disposition, ce qui facilitera la tâche du responsable du traitement.
Comment s’organise-t-on ?
En revanche, on constate en pratique deux difficultés récurrentes dans la plupart des entreprises (en particulier pour les premières violations auxquelles elles doivent faire face). Premièrement, comment s’organise-t-on ? La question peut paraître triviale, mais bien peu nombreux sont les employés formés pour identifier une violation de la sécurité et à savoir quel est le protocole à suivre dans ce cas. Et même lorsque cette étape est passée, qui doit être impliqué ? Comment les responsabilités sont-elles réparties à l’interne, quelles personnes peuvent et doivent agir dans quel cas ? La gestion d’une violation de la sécurité implique les équipes informatiques (internes et/ou externes), le service juridique (ou un avocat externe), la direction, le service de communication, etc. Dans certains cas, l’intervention de la police et du Centre national pour la cybersécurité (NCSC) sera nécessaire, comme le dépôt d’une plainte pénale.
L’improvisation n’a guère de place ici et une procédure doit être établie, et idéalement testée. Elle intégrera classiquement l’alerte, la réunion des personnes impliquées, l’analyse des informations à disposition, les mesures à prendre (premières mesures urgentes puis suivi régulier de la situation), la communication et l’analyse post mortem de l’incident pour améliorer la sécurité et la gestion d’une future violation.
La seconde question est celle de savoir s’il faut ou non annoncer la violation. Cela pose des questions juridiques et stratégiques pointues. Il faut d’abord établir quelles sont les obligations applicables aux données concernées qu’il s’agisse d’obligations légales (LPD et/ou RGPD) ou d’obligations contractuelles supplémentaires. Il faut ensuite déterminer, sur la base d’informations souvent encore incomplètes, si la violation de la sécurité atteint le niveau de risque pour lequel la loi impose une annonce ou une information. Il s’agit d’une notion juridique indéterminée, à analyser dans chaque cas, en s’appuyant sur les recommandations du PFPDT (il n’y en a pas encore en Suisse), la jurisprudence (il n’y en a pas encore en Suisse et il ne devrait pas y en avoir beaucoup), la littérature juridique, etc.
Les mêmes questions se posent pour l’information des personnes concernées, mais ici s’ajoute encore la question de la manière de les informer (communication générale ou individualisée, par courriel ou par courrier, communiqué de presse, etc.) et de la gestion de la publicité qui y sera liée. En l’absence d’obligation, l’entreprise veut-elle informer ? Elle est alors plus libre sur le moment et la forme, mais doit tout aussi soigneusement peser les avantages et inconvénients, pour elle et pour les personnes concernées.
La peur d’une amende a tendance à pousser les responsables du traitement à annoncer des violations même lorsqu’ils n’y seraient pas tenus. C’est une mauvaise idée, notamment pour les entreprises suisses, car cela les expose à une autorité de contrôle étrangère alors que l’expérience a montré que lesdites entreprises devaient souvent faire face à d’autres non-conformités en matière de protection des données. Sous l’angle de la LPD (en l’absence de risque d’amende) ce sera plutôt l’interdiction d’utiliser dans une procédure pénale le contenu de l’annonce qui servira de motivation à déclarer le cas (encore qu’il n’est pas certain que cette protection s’applique si l’annonce n’était pas obligatoire).
De manière générale, des mesures préventives s’imposent dans toute entreprise. Elles peuvent rester simples et pourtant être efficaces, notamment si elles couvrent un large spectre : des mesures techniques (authentification à deux facteurs, mise à jour rapide des serveurs et postes individuels, etc.), des mesures organisationnelles (conservation uniquement des données nécessaires, limitations des accès, etc.) et une sensibilisation de tout le personnel.
En cas de violation de la sécurité des données, des mesures techniques et juridiques doivent être prises très rapidement, qu’il s’agisse de sécuriser les données, identifier les attaquants, protéger les personnes concernées ou respecter ses obligations légales. Il est essentiel de s’entourer des bonnes personnes dès le départ et il ne faudra pas confondre rapidité et précipitation. La première est nécessaire, la seconde est néfaste.
editor's pick
latest video
news via inbox
Nulla turp dis cursus. Integer liberos euismod pretium faucibua