Powered By Blogger

Rechercher sur ce blogue

dimanche 15 septembre 2019

La fin du ransomware n’a pas sonné (et 4 conseils pour les éviter)

La fin du ransomware n’a pas sonné (et 4 conseils pour les éviter)


Sauvegarder toutes les données critiques, ne jamais arrêter les correctifs, se méfier du phishing, supprimer les privilèges ; Ketty Cassamajor explique dans cette tribune comment se méfier de ces attaques devenues incessantes.


Le 16 août dernier, une vaste attaque de ransomwares a visé une vingtaine d’administrations texanes. Une menace qui ne faiblit pas puisque ces derniers mois, plus de 40 villes des Etats-Unis ont été victimes de cyberattaques. Parmi elles, la ville de Baltimore a été paralysée par une attaque massive de ransomware en mai dernier.
Au cours de cette attaque, de nombreux systèmes IT de la ville ont été pris en otage, bloquant des milliers d’ordinateurs des administrations publiques, provoquant des retards dans les ventes immobilières et des perturbations dans le paiement des factures d’eau, et coûtant in fine à la ville plus de 18 millions de dollars.
Le dernier rapport de Verizon indique que les ransomwares représentent près de 24 % de toutes les attaques liées aux logiciels malveillants, tous secteurs confondus. Un autre rapport de 2019, du groupe Beazley, sur les brèches de sécurité, fait état d’une hausse vertigineuse de 105 % des signalements de ransomwares entre le premier trimestre de 2018 et la même période cette année. Les demandes de paiement augmentent également de manière significative. Beazley indique que le paiement moyen au premier trimestre de 2019 – 224 871 dollars – a déjà largement dépassé le total pour l’année 2018, à savoir 116 324 dollars.

Ransomware : + 39 % en 2018

Comme en témoigne l’attaque de Baltimore, les administrations et les municipalités semblent particulièrement vulnérables aux ransomwares. La société de recherche en cybersécurité Recorded Future a récemment publié une étude sur la recrudescence des attaques par ransomware contre les administrations centrales et locales ciblant les opérateurs et organisations d’importance vitale (OIV) : elle révèle que les attaques signalées contre les administrations et les municipalités ont grimpé en flèche de 39 % en 2018. Il en ressort également qu’au moins 169 systèmes des administrations et des municipalités ont fait l’objet d’attaques depuis 2013, dont au moins 45 commissariats de police et bureaux de shérifs dans 48 des 50 États.
A la lumière des dernières attaques qui ont visé le Texas en août 2019, force est de constater que ces menaces ne disparaitront pas de sitôt. Bien qu’il n’existe pas de solution miracle pour les prévenir, les organismes gouvernementaux et les entreprises peuvent prendre un certain nombre de mesures pour réduire considérablement le risque que les malware se propagent et causent d’importants dégâts :

1. Sauvegarder toutes les données critiques

Aussi basique que cela paraisse, il reste étonnant de voir le nombre d’organisations qui ne le font pas régulièrement. Il est important de classer les données essentielles pour son entreprise par ordre de priorité et de les sauvegarder de façon cohérente afin que, si les fichiers sont verrouillés et retenus en otage contre rançon, il soit possible de continuer à gérer l’organisation, même partiellement.

2. Ne jamais arrêter les correctifs

L’application régulière de correctifs aux applications, points d’accès et serveurs réduira considérablement la surface d’attaque, ce qui permettra de limiter sensiblement les failles de sécurité. Cette action est indispensable à la prévention des attaques par ransomware, de même que les mises à jour régulières des antivirus, pare-feu et autres outils de protection des périphériques.

3. Se méfier du phishing

Selon Verizon, le phishing représente 32 % des violations actuelles et 78 % des incidents de cyber-espionnage. Les pirates informatiques commencent souvent leurs attaques par des campagnes de phishing ciblées. C’est pourquoi si un employé – quel que soit son niveau hiérarchique – reçoit un appel, un email, un SMS ou un message instantané non sollicité, il est important qu’il ne réponde, ni ne clique sur le moindre lien – même si la personne prétend provenir d’un service légitime – avant de confirmer sa légitimité. Pour cela, les entreprises doivent relancer régulièrement des campagnes de sensibilisation et de rappel des bonnes pratiques de sécurité.

4. Supprimer les privilèges de l’administrateur local pour contenir et bloquer les attaques

Bien que la sensibilisation des employés au phishing soit importante, elle ne saurait suffire. La suppression des droits d’administrateur local est le fondement d’une sécurité efficace des terminaux. En implémentant une combinaison de politiques de contrôle des privilèges et des applications sur les terminaux et les serveurs dans le cadre d’une approche Zero Trust plus large, les organisations peuvent réduire le risque de propagation de malwares depuis le point d’infection initial. La suppression des droits d’administrateur local, combinée au contrôle des applications et au greylisting, se révèle alors efficace à 100 % pour empêcher les ransomwares de chiffrer les fichiers.
Par ailleurs, les antivirus traditionnels, ceux de nouvelle génération ou les solutions de détection et de réponse aux points d’accès ne peuvent pas bloquer à eux seuls les ransomwares. Ils doivent en effet être combinés à une couche critique de protection pour renforcer l’ensemble des outils de sécurité des terminaux de l’entreprise, permettant aux équipes IT et de sécurité de maîtriser les attaques, comme les malwares et les ransomwares, au niveau des points d’accès. Ainsi, une stratégie prête à l’emploi de protection contre les ransomwares – y compris les contrôles complets des privilèges les plus faibles testés sur des centaines de milliers d’échantillons de malware – permet de bloquer efficacement leur propagation sur le réseau, réduisant ainsi considérablement le temps et les efforts de restauration.
Les attaques, quelle que soit leur nature, sont imminentes et inévitables, c’est pourquoi les entreprises ne peuvent plus se permettre d’être surprises. En prenant des mesures proactives pour protéger les privilèges sur les terminaux et circonscrire les attaques au début de leur cycle de vie, elles seront en mesure de se prémunir contre des mois de récupération de leur image, de leurs finances et de leur stabilité après une cyberattaque.

REF.:

Aucun commentaire: