Cyberattaque à Liege : comment se protéger contre le ransomware Ryuk?

Cyberattaque à Liege : comment se protéger contre le ransomware Ryuk?
Audrey Malaise

security on computer screen

Avec l’augmentation constante de la valeur des données et le caractère indispensable des outils informatiques, les pirates multiplient les cyberattaques contre des organisations de toutes sortes. Parmi les différents types d’attaques, les ransomwares (ou rançongiciel en français) sont de plus en plus populaires ; une fois votre système compromis, les pirates le verrouillent et demandent une rançon pour obtenir les clés de décryptage. A l’instar de la ville de Liège, qui a vu une grande partie de ses services bloqués il y a quelques semaines, de nombreuses villes et communes ont récemment été victimes d’un ransomware de type Ryuk.

Atteinte à la réputation, indisponibilité des services, impact financier, les conséquences sont lourdes. Mais comment prévenir ces attaques ? Comment les détecter ? Et comment réagir ? Cet article vous donne les clés pour améliorer la sécurité de votre organisation.

Comment prévenir les attaques par ransomware ?

Les attaques par ransomware exploitent souvent les vulnérabilités courantes d’une organisation ou de ses systèmes. En appliquant les quatre conseils suivants, vous pouvez établir une première couche de défense solide contre les ransomwares. Notez qu’aucun contrôle de sécurité n’est sans faille. Superposez toujours différents contrôles pour minimiser votre niveau de risque.

Tout d’abord, assurez-vous que votre organisation dispose de processus d’authentification rigoureux. En contrôlant correctement les comptes et leur accès, vous pouvez déjà limiter considérablement le risque de cyberattaque. Ce contrôle comprend une politique d’accès périodique afin de s’assurer que les personnes ne conservent pas d’accès au-delà de ce qui est nécessaire.

Deuxièmement, mettez en place des outils de détection appropriés dans votre réseau. Ces outils vous permettent d’identifier les anomalies qui justifient une enquête plus approfondie. Par exemple, si un seul employé est connecté au réseau, le transfert de plusieurs téraoctets de données pourrait être le signe d’une activité suspecte sur le réseau. Si vous constatez ce type d’anomalie, vous devez immédiatement fermer les portes à ce type de flux de données.

Troisièmement, planifiez toujours les sauvegardes selon la stratégie 3-2-1. Pour que votre sauvegarde soit utile, vous devez en effet respecter les trois éléments suivants:

  • Vous devez avoir au moins 3 copies des données.
  • Ces copies doivent être conservées sur au moins 2 supports différents (sur un cloud, sur un disque dur, etc.)
  • L’une de ces copies doit se trouver sur 1 site différent de celui de l’organisation, de sorte qu’elle ne soit pas rattachée à ce réseau de quelque manière que ce soit.

Quatrièmement, appliquez les correctifs nécessaires et mettez vos systèmes à jour. De nombreuses variantes de ransomware utilisent des systèmes obsolètes comme “plateformes de lancement” sur votre réseau. Veillez à établir un processus de gestion des correctifs qui fonctionne pour votre organisation.

Comment détecter les menaces liées au ransomware Ryuk ?

Le ransomware Ryuk est l’une des premières familles de ransomware à identifier et à chiffrer activement les lecteurs et les systèmes connectés au réseau. Le ransomware passe généralement inaperçu pendant des semaines avant de se déployer. Quelques semaines avant l’attaque, les pirates installent un logiciel malveillant, communément appelé “malware” (ou logiciel malveillant en français), sur votre système pour connaître et comprendre son architecture. Dans cette phase de préparation de l’attaque, il est encore temps de prévenir les dommages potentiels pour votre organisation. Il est donc essentiel de mettre en place un système efficace de détection des logiciels malveillants.

La détection des logiciels malveillants nécessite à la fois des moyens humains et des moyens techniques. Des moyens techniques de surveillance du réseau et des logiciels anti-virus d’une part, et des moyens humains capables d’utiliser la technologie de surveillance pour prendre des mesures supplémentaires si nécessaire d’autre part. La détection de ces menaces peut être comparée au travail d’un médecin. Par exemple, le cardiologue a besoin d’un équipement de surveillance du rythme cardiaque, mais sans la réaction appropriée du médecin, l’équipement de surveillance ne sera d’aucune utilité. En surveillant le “rythme” de votre réseau, vous pouvez détecter les activités suspectes avant qu’elles ne se déploient.

Comment réagir en cas d’attaque ?

Commencez par contenir la menace. Isolez immédiatement les systèmes affectés et ne les manipulez pas au-delà de ce qui est nécessaire pour contenir la menace immédiate. Envisagez de notifier les autorités compétentes (le cas échéant) et rassemblez autant d’informations que possible sur la menace. Il est essentiel de disposer d’informations pour prendre les bonnes décisions.

Une fois la menace contenue, il faut passer à l’évaluation et à la récupération. Dans cette phase, l’objectif est d’identifier les types et la sensibilité des données compromises, d’analyser tout le trafic d’entrée et de sortie, de fermer les vecteurs d’attaque possibles et de déployer des sauvegardes si la décision est prise de restaurer les systèmes.

Enfin, il est important de prendre des mesures de remédiation à long terme pour éviter que des incidents similaires ne se reproduisent. Veillez à observer de plus près le réseau et les systèmes compromis. Utilisez toujours les incidents comme des moments d’apprentissage pour trouver les vulnérabilités de votre réseau et de vos systèmes. Vous ne voulez pas laisser des failles que les attaquants pourraient utiliser après le nettoyage.

Mettez en œuvre des mesures de sécurité appropriées pour contrer toute attaque future sur vos systèmes, telles que des exercices d’équipe rouge, des formations de sensibilisation, des plans de réponse aux incidents et des stratégies de sauvegarde. Il ne s’agit là que de quelques exemples qui auront un impact positif sur la posture de sécurité d’une organisation.

Comment est-ce que CRANIUM peut aider votre organisation ?

Lors d’un audit de sécurité, CRANIUM peut cartographier les risques d’une entreprise, établir un plan d’amélioration et accompagner le client dans la mise en œuvre de ces points d’amélioration. Le client peut également compter sur CRANIUM pour une surveillance et un accompagnement continu.