[Cybermois] – Le rançonlogiciel en 4 questions

Partager sur linkedin
Partager sur twitter
Partager sur facebook
Partager sur email
Partager sur print
Si le rançonlogiciel n'est pas nouveau dans le paysage des attaques informatiques, force est de constater, ces années 2020, que le premier contact avec, s'effectue de plus en plus dans la douleur pour les entreprises. Dans le cadre de la 8ème édition du mois européen de la cybersécurité, Alcees présente en quatre questions, l'essentiel de ce qu'il faut savoir sur ce virus informatique pour contrer ses effets au mieux et accélérer sa transition numérique avec un maximum de sérénité.

Un rançonlogiciel, qu'est-ce que c'est ?

Le premier rançonlogiciel date de 1989. Si les rançonlogiciels ont défrayé la chronique avec les perturbations informatiques mondiales de 2017 -Wannacry/NotPetya, jamais ils ne se sont produits à une fréquence telle qu’on la connaît actuellement en 2020.

En France, les rançonlogiciels traités par  l’Agence nationale de la sécurité des systèmes d’informations – ANSSI ont enregistré une augmentation de 51% entre 2019 (69 cas) et 2020 (104 cas entre janvier et septembre). De plus, certains secteurs d’activité sont particulièrement touchés : la santé, les collectivités territoriales et les services au top #3 des plus impactés. 

 

Un rapport de l’Agence du numérique en santé récemment publié, fait cas d’une hausse non négligeable de +40% des attaques au rançonlogiciel dirigées contre les établissements de santé en France durant l’année 2019, rappelle-t-on. Ce qui confirme la tendance sectorielle reportée plus haut.

Par ailleurs, la première semaine de confinement dûe au covid-19 réflète d’une hausse significative de +400% de ce genre de virus.

Comme son nom l’indique, un logiciel de rançon ou rançonlogiciel est une attaque informatique dont l’objectif est d’obtenir l’acquittement préalable d’une rançon par la victime, généralement en  échange d’une clé de déchiffrement de ses données personnelles ou documents confidentiels, pris en otage par l’attaquant. L’ANSSI considère ce type d’attaque comme le plus grand fléau des années actuelles.

Comment ça marche ?

  • La messagerie d’entreprise constitue le véhicule le plus fréquemment exploité par le rançonlogiciel. Typiquement, un salarié au siège de l’entreprise ouvre un e-mail et clique sur une pièce jointe infectée. Un code malveillant est activé. Le virus va se propager et pouvoir infecter l’ensemble du réseau informatique, grâce au jeu des interconnexions entre les réseaux.
  • Mais il y a de nombreux autres vecteurs d’attaque par rançonlogiciel :
        • une simple navigation sur un site web compromis,
        • une vulnérabilité logicielle d’entreprise qui n’a pas été mise à jour (absence d’implémentation de patch de sécurité, par exemple),
        • une menace intérieure occasionnée par une erreur humaine, par exemple le cas de la clé USB infectée d’un collaborateur qui permet au virus de circuler dans le système d’information de l’entreprise,
        • une intrusion indirecte, par exemple par ingénierie sociale (l’attaquant se fait passer pour un collaborateur de l’entreprise.  Il demande à la victime si elle peut par exemple télécharger et installer un correctif d’un logiciel d’usage courant dans l’entreprise, qu’il n’a pas réussi à déployer à distance.  Malheureusement, le collaborateur s’exécute et se retrouve piégé,  et fautif d’avoir fait rentrer le logiciel malveillant dans le système d’information de l’entreprise).

Comment se caractérise une attaque informatique par rançonlogiciel ?

La singularité de ce virus réside dans sa propriété de transversalité. Ce type d’attaque a rapidement un effet déstabilisateur dans l’entreprise.

Dans les faits, un rançonlogiciel est susceptible de mettre en arrêt des fonctions de communication vitales pour l’entreprise comme : la téléphonie, la messagerie électronique ou les applications métiers. Mais aussi plus gravement, de provoquer rapidement des ruptures dans la chaîne d’approvisionnement ou dans la production de toute l’entreprise et pas seulement  celle d’une activité, d’un département ou d’une entité de l’entreprise pris isolément. NotPetya a réussi à se propager à des millions d’utilisateurs,  des centaines de milliers de systèmes informatiques et des milliers de postes informatiques à travers le monde, rappelle-t-on.

Malheureusement, ni la taille ni le secteur d’activité de l’entreprise ne sont des critères de dispense face à cette viralité potentielle. La professionnalisation croissante des attaquants illustre cette tendance.

 

Comment réagir au rançonlogiciel en entreprise ? 8 choses à faire/ 3 choses à ne pas faire

A faire

A ne pas faire

Quelles sont les mesures gagnantes pour minimiser les facteurs de risque ? 14 plans d'actions déployables avant la réalisation de l'attaque

Carole Njoya

Ceo et fondatrice, Data Privacy Officer conseil, certifiée ISO 27001 Lead Implementer en cybersécurité chez Alcees
e: cnjoya@alcees.com
t : +33(0) 620 731 974