Un rançonlogiciel, qu'est-ce que c'est ?
Le premier rançonlogiciel date de 1989. Si les rançonlogiciels ont défrayé la chronique avec les perturbations informatiques mondiales de 2017 -Wannacry/NotPetya, jamais ils ne se sont produits à une fréquence telle qu’on la connaît actuellement en 2020.
En France, les rançonlogiciels traités par l’Agence nationale de la sécurité des systèmes d’informations – ANSSI ont enregistré une augmentation de 51% entre 2019 (69 cas) et 2020 (104 cas entre janvier et septembre). De plus, certains secteurs d’activité sont particulièrement touchés : la santé, les collectivités territoriales et les services au top #3 des plus impactés.

Un rapport de l’Agence du numérique en santé récemment publié, fait cas d’une hausse non négligeable de +40% des attaques au rançonlogiciel dirigées contre les établissements de santé en France durant l’année 2019, rappelle-t-on. Ce qui confirme la tendance sectorielle reportée plus haut.
Par ailleurs, la première semaine de confinement dûe au covid-19 réflète d’une hausse significative de +400% de ce genre de virus.

Comme son nom l’indique, un logiciel de rançon ou rançonlogiciel est une attaque informatique dont l’objectif est d’obtenir l’acquittement préalable d’une rançon par la victime, généralement en échange d’une clé de déchiffrement de ses données personnelles ou documents confidentiels, pris en otage par l’attaquant. L’ANSSI considère ce type d’attaque comme le plus grand fléau des années actuelles.
Comment ça marche ?
- La messagerie d’entreprise constitue le véhicule le plus fréquemment exploité par le rançonlogiciel. Typiquement, un salarié au siège de l’entreprise ouvre un e-mail et clique sur une pièce jointe infectée. Un code malveillant est activé. Le virus va se propager et pouvoir infecter l’ensemble du réseau informatique, grâce au jeu des interconnexions entre les réseaux.
- Mais il y a de nombreux autres vecteurs d’attaque par rançonlogiciel :
- une simple navigation sur un site web compromis,
- une vulnérabilité logicielle d’entreprise qui n’a pas été mise à jour (absence d’implémentation de patch de sécurité, par exemple),
- une menace intérieure occasionnée par une erreur humaine, par exemple le cas de la clé USB infectée d’un collaborateur qui permet au virus de circuler dans le système d’information de l’entreprise,
- une intrusion indirecte, par exemple par ingénierie sociale (l’attaquant se fait passer pour un collaborateur de l’entreprise. Il demande à la victime si elle peut par exemple télécharger et installer un correctif d’un logiciel d’usage courant dans l’entreprise, qu’il n’a pas réussi à déployer à distance. Malheureusement, le collaborateur s’exécute et se retrouve piégé, et fautif d’avoir fait rentrer le logiciel malveillant dans le système d’information de l’entreprise).
Comment se caractérise une attaque informatique par rançonlogiciel ?
La singularité de ce virus réside dans sa propriété de transversalité. Ce type d’attaque a rapidement un effet déstabilisateur dans l’entreprise.
Dans les faits, un rançonlogiciel est susceptible de mettre en arrêt des fonctions de communication vitales pour l’entreprise comme : la téléphonie, la messagerie électronique ou les applications métiers. Mais aussi plus gravement, de provoquer rapidement des ruptures dans la chaîne d’approvisionnement ou dans la production de toute l’entreprise et pas seulement celle d’une activité, d’un département ou d’une entité de l’entreprise pris isolément. NotPetya a réussi à se propager à des millions d’utilisateurs, des centaines de milliers de systèmes informatiques et des milliers de postes informatiques à travers le monde, rappelle-t-on.
Malheureusement, ni la taille ni le secteur d’activité de l’entreprise ne sont des critères de dispense face à cette viralité potentielle. La professionnalisation croissante des attaquants illustre cette tendance.
Comment réagir au rançonlogiciel en entreprise ? 8 choses à faire/ 3 choses à ne pas faire
A faire
- Isoler les ordinateurs infectés en les déconnectant du réseau informatique et d'Internet ;
- Réaliser une analyse complète du système à l'aide d' antivirus préalablement mis à jour ;
- Restaurer le système informationnnel à une date antérieure à celle de l'attaque ;
- Signaler immédiatement au service informatique (ou au prestataire informatique si ce service est externalisé) ;
- Identifier la source de l'infection ;
- Déposer plainte à votre commissariat de police ou à votre brigade de gendarmerie de rattachement ;
- Conserver le plus de preuves techniques possibles relatives à l'attaque pour faciliter le travail d'enquête ;
- Bien s'entourer i.e. trouver de l'assistance technique auprès des professionnels qualifiés et référencés (cybermalveillance.gouv.fr, ...) ;
A ne pas faire
-
Ne pas régler la rançon réclamée (malheureusement, le paiement de la rançon ne garantit pas la remise effective de la clé de déchiffrement espérée) ;
- Ne pas communiquer de coordonnées bancaires ;
- Ne pas restaurer les systèmes depuis des accès non-autorisés ;
Quelles sont les mesures gagnantes pour minimiser les facteurs de risque ? 14 plans d'actions déployables avant la réalisation de l'attaque
- Avoir une visibilité complète sur l'ensemble des actifs majeurs qui composent l'environnement informatique et disposer d'une cartographie des risques sur ces actifs ;
- Toujours s'assurer de maintenir à jour systèmes d'exploitation, logiciels antivirus et toutes les applications installées ;
- Mettre en place des audits et des tests d'intrusion annuels (a minima) ;
- Mettre en place des tests de réactions des collaborateurs dans différentes situations à risque (scénarisation) ;
- Effectuer des sauvegardes régulières du système d'information dans le cloud pour garantir l'existence d'une copie des données ;
- Bloquer les programmes de téléchargements de pair à pair ;
- Faire usage de mots de passe complexes (générés par un gestionnaire de mots de passe par exemple) et les changer tous les 3 à 6 mois ;
- Afficher les extensions des noms des fichiers ;
- Eduquer les utilisateurs à bousculer leurs habitudes : ne pas cliquer pour ouvrir des emails malveillants (expéditeurs inconnus, objets de messages inhabituels,...) ;
- Besoin d'installer une nouvelle application ? télécharger les fichiers exécutables sur des sites officiels ;
- Mettre en place une politique de contrôle des supports externes que les collaborateurs utilisent sur les postes de l'entreprise ; de limitation des attributions de comptes administrateurs ; de contrôle des accès Internet ;
- Elaborer une stratégie de continuité d'activité, voire de résilience, la mettre en oeuvre et la tester;
- Anticiper une stratégie de communication en cas de crise de rançonlogiciel
- Sans oublier d'analyser l'opportunité de souscrire une police de cyber assurance

Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.