L'Agence nationale de la sécurité des systèmes d'information (ANSSI) et le ministère de la Justice publient un guide visant à sensibiliser les collectivités et entreprises sur les ransomwares, incluant les témoignages d'institutions ou de marques fortes ayant été récemment piégées.
L'utilisation et la dépendance à l'informatique des entreprises, collectivités et organisations étant de plus en plus importantes, elles conduisent de manière inévitable à l'augmentation des ransomwares, ou rançongiciels. Ces programmes malveillants bloquent le système d'information et l'ordinateur des victimes qui se voient demander une rançon en l'échange d'une récupération théorique de l'accès à leurs données. Pour sensibiliser les entreprises et les collectivités au fléau du ransomware, l'ANSSI et le ministère de la Justice, en partenariat avec la Direction des Affaires criminelles et des grâces (DACG) publient, ce vendredi 4 septembre, le guide Attaques par rançongiciels, tous concernés - Comment les anticiper et réagir en cas d'incident ?, qui distille les bonnes recommandations pour éviter une attaque par rançongiciel ou tout du moins limiter son impact.
Le ransomware, ce ne sont pas que des conséquences financières à court terme
L'ANSSI, dont la veille en la matière est pertinente, indique avoir (déjà) traité 104 attaques par ransomware depuis le début de l'année. « Les attaques par rançongiciels connaissent une augmentation sans précédent », reconnaît l'agence dirigée par Guillaume Poupard, qui rappelle que « les acteurs privés comme publics sont encore trop peu conscients du risque et de leur propre vulnérabilité ». Les cybercriminels misent en effet sur la très faible maturité des personnels qui ont accès au service informatique de leur entreprise ou collectivité, et en profitent, une fois pénétrés dans le réseau, pour renforcer la pression et les faire passer à la caisse, quitte à faire s'écrouler financièrement l'institution, et ce quel que soit son secteur d'activité.
Trois acteurs ont accepté de témoigner, dans le cadre du guide publié par l'ANSSI, sur leur expérience malheureuse passée vécue. En 2019, le groupe M6, Fleury Michon mais aussi le CHU de Rouen furent tous frappés par des rançongiciels qui avaient temporairement paralysé leurs services. S'ils ont su s'en relever, certaines organisations n'ont pas cette chance.
« Aujourd’hui, il est important de rappeler aux organisations du secteur de la santé comme aux autres que l’on n’est pas tout seuls pour faire face à ce type de situations. Il ne faut pas hésiter à se faire assister et solliciter un avis extérieur ».
Cédric Hamelin, responsable adjoint à la sécurité du sytème d'information du CHU de Rouen.
Les conséquences des ransomwares sont de plus en plus importantes pour celles et ceux qui en sont victimes. Il y a bien entendu la perte de données, certes, mais celle-ci est accompagnée d'effets dévastateurs, comme un arrêt de la production, une plongée du chiffre d'affaires, nous le disions, mais aussi des risques juridiques liés aux dispositions du RPGD dès l'instant où des données personnelles sont touchées. Il y a également des effets plus sournois et perfides à long terme. L'ANSSI évoque notamment la perte de confiance des clients (ou des patients), et l'altération de la réputation de la marque, du centre hospitalier ou de la collectivité.
L'ANSSI aide à se prémunir d'une attaque par rançongiciel et à l'affronter lorsqu'elle survient
L'ANSSI, qui s'appuie sur ces témoignages de Fleury Michon, M6 et du CHU de Rouen, délivre les bonnes pratiques de sécurité numérique à adopter lorsqu'on est une victime ou potentielle victime, que ce soit en amont ou devant le fait accompli, lorsque l'attaque se produit.
« Je n’ai pas un, mais trois conseils à partager. 1) Gérer une crise cyber, c’est à la fois mettre en œuvre un plan et jouer une partition non écrite. Sur ces deux volets, rien ne se fait seuls ! 2) Rester calme (ne marche que si l’on n’est pas seuls). 3) D’un point de vue plus organisationnel enfin, cette expérience m’a conforté dans l’idée qu’un Responsable de la sécurité des systèmes d'information doit avoir un accès direct et facilité à tous les acteurs de la gestion de crise – directions et managers compris – pour préparer l’organisation à ces épreuves et y réagir le cas échéant ».
Jérôme Lefébure, CFO, membre du directeur en charge des métiers de support du groupe M6.
Avant de subir une attaque, de nombreux leviers existent pour s'en prémunir et anticiper les conséquences potentielles. Sauvegarder l'ensemble des données est primordial. Et les sauvegardes pouvant être atteintes, mieux vaut les déconnecter du système d'information, pour prévenir leur chiffrement. Typiquement, une sauvegarde sur un disque dur externe est une solution imparable.
Sensibilisation, prévention, protection, communication : des clés essentielles pour limiter les risques et impacts
Plusieurs autres pratiques sont indispensables, comme le maintient à jour des logiciels et des systèmes, que ce soit les navigateurs web, les lecteurs PDF ou multimédia, les services de messagerie électronique, d'hébergement web, etc. L'ANSSI invite également toute organisation à utiliser et maintenir à jour les logiciels antivirus de cette dernière, à cloisonner le système d'information (en mettant en place des dispositifs de filtrage sur différentes zones réseaux du système d'information), ou à limiter les droits des utilisateurs et les autorisations des applications, à maîtriser les accès Internet (par l'instauration d'une passerelle Internet qui bloque les accès et flux illégitimes).
L'agence préconise aussi, et c'est déterminant, de sensibiliser les collaborateurs, d'établir un système de supervision des événements journalisés, d'évaluer l'opportunité de souscrire à une assurance cyber (qui permet à l'organisation de bénéficier d'une couverture financière en cas de piratage), et de réfléchir à une stratégie, un plan de réponse aux cyberattaques. Le groupe M6, suite à l'attaque dont il a été victime, a par exemple mis en place de nouveaux canaux de communication interne, pour prévenir et tenir au courant les collaborateurs les jours suivant cette dernière. Le papier-crayon était alors l'une des solutions sécurisées privilégiées.
« Préparez-vous sera mon dernier conseil ! On ne peut pas s’en sortir tout seul ».
Laurent Babin, responsable de la sécurité du système d'information de Fleury Michon.
Enfin, la communication adoptée en cas de crise cyber est également très importante. Fleury Michon assure par exemple avoir bien maîtrisé la communication externe. En revanche, les choses sont plus nuancées s'agissant de la communication interne. « Un effort reste à faire en matière d'éléments de langage », explique Laurent Babin, qui reconnaît qu'au sein de l'entreprise, « certains déplorent un manque de communication et de coordination ainsi qu’une récupération trop tardive des applicatifs ». D'où l'intérêt de définir une stratégie de communication en conséquence, pour clairement limiter l'impact d'une crise due à un ransomware.
Ici, mieux vaut être accompagné(e) que seul(e)
Lorsqu'une attaque est en cours, tout ce qui a été dit ou fait à titre préventif peut évidemment être appliqué. Mais il y a également de bonnes pratiques à adopter. L'ANSSI conseille, en premier lieu, d'ouvrir une main courante en indiquant tous les éléments qui permettent de tracer les actions ainsi que les événements liés à l'attaque.
« On ne peut pas s'en sortir tout seul », disait Laurent Babin un peu plus haut. Et à juste titre, l'entreprise, l'organisation, la collectivité ne doit pas hésiter une seule seconde à se faire accompagner et à trouver de l'assistance. Certains fournisseurs et éditeurs de solutions sont tout à fait compétents en la matière. La plateforme cybermalveillance.gouv.fr peut aussi être un bon intermédiaire pour vous rediriger vers des prestataires pertinents de proximité. « Il est évident que nous ne pouvions pas faire face seuls à la situation. Le matin du 12 octobre, nous avons donc fait appel à l’ANSSI, à un cabinet forensic pour amorcer l’analyse et au C3N (Centre de lutte contre les criminalités numériques) pour déposer une plainte, sans oublier de déclarer le sinistre à la CNIL et à notre assureur », témoigne le groupe M6.
Face à une demande de rançon, il paraît bon de rappeler que le paiement ne garantit aucunement que l'on puisse récupérer ses données. Cela va de soi également, mais il est fortement recommandé de déposer plainte à la gendarmerie ou dans un bureau de police. Le dépôt de plainte permet la réparation du sinistre ainsi que le déchiffrement des données touchées, si cela est possible.
Enfin, l'ANSSI conseille de réinstaller le système des équipements infectés sur un support connu, puis de restaurer les données depuis les sauvegardes effectuées, le tout à une date qui précède logiquement l'infection du système.