Cybermalveillance.gouv.fr a actualisé sa fiche réflexe sur les ransomwares, ou rançongiciels. Au menu, on retrouve de nouvelles recommandations, des protocoles d'urgence et des mesures préventives, tout pour contrer cette menace grandissante.
Les attaques par ransomware restent l'une des cybermenaces les plus destructrices pour les organisations françaises. Voilà pourquoi Cybermalveillance.gouv.fr a publié, ce mercredi 4 juin, une version actualisée de sa fiche réflexe sur les rançongiciels. Élaboré en partenariat avec l'ANSS, l'agence française cyber, et la Direction des Affaires criminelles du ministère de la Justice, le guide détaille 20 mesures préventives et un protocole d'urgence en 20 étapes pour les entreprises et organisations victimes de ce type d'attaque.
Les ransomwares visent d'abord vos sauvegardes pour vous priver de recours
Une attaque par rançongiciel suit généralement un schéma méticuleux. Les cybercriminels s'infiltrent d'abord en exploitant des failles de sécurité non corrigées, des accès distants mal sécurisés (RDP, VPN, NAS), ou par hameçonnage ciblé. L'objectif des pirates est de compromettre un équipement, pour chiffrer les données et réclamer une rançon en échange de leur restitution.
La stratégie des cybercriminels repose sur la destruction systématique des sauvegardes de leurs victimes, pour les priver de toute alternative. Ils programment leurs assauts durant les périodes de faible surveillance, par exemple en pleine nuit, le week-end ou lors d'un jour férié. Ils maximisent forcément leurs chances de propagation avant détection. Il s'agit d'un élément clé de leur réussite opérationnelle.
Les attaquants modernes pratiquent désormais la « double extorsion », un modèle dont vous avez déjà entendu parler sur Clubic. Ici, les pirates exfiltrent d'abord les données sensibles avant de les chiffrer, en menaçant ensuite de les divulguer publiquement. Certains groupes organisent même des attaques par déni de service (DDoS) contre le site internet des victimes (pour le rendre inaccessible), pour intensifier la pression psychologique et financière exercée sur l'organisation compromise.
Ces réflexes à avoir en cas de compromission
Pour se défendre en cas d'attaque, il faut adopter un premier réflexe vital, soufflé par Cybermalveillance.gouv.fr. Coupez donc immédiatement toutes les connexions internet du réseau attaqué, en éteignant votre routeur ou box internet. Cette action bloque instantanément toute communication entre les attaquants et votre infrastructure interne. Chaque seconde compte dans cette course contre la propagation, alors n'hésitez jamais à appliquer cette mesure drastique, certes, mais salvatrice.
Identifiez et déconnectez physiquement toutes les machines compromises en débranchant leurs câbles Ethernet, ou en désactivant leur connexion Wi-Fi. Si vos sauvegardes sont connectées au réseau, débranchez-les immédiatement pour éviter leur destruction. Attention cruciale : ne jamais éteindre brutalement les machines touchées, au risque d'effacer des éléments de preuve contenus dans leur mémoire vive.
Alertez sans délai votre service informatique ou prestataire spécialisé, puis constituez une cellule de crise pluridisciplinaire. Tenez un registre précis des événements et actions réalisées pour les enquêteurs. La règle d'or absolue est de ne jamais céder au chantage financier. Le paiement ne garantit ni la récupération des données ni la confidentialité des informations dérobées, tout en finançant directement l'activité criminelle.
Pour connaître tous les réflexes à adopter les conseils à suivre, vous pouvez consulter la fiche de Cybermalveillance.gouv.fr sur son site officiel.
