Rançongiciels : les recommandations de sécurité de l’ANSSI

Sodinokibi Windows ransomware

L’Agence nationale de la sécurité des SI livre un guide de bonnes pratiques préventives et réactives aux attaques par ransomwares. Florilège.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI), en partenariat avec la Direction des affaires criminelles et des grâces (DACG) du ministère de la Justice, a publié son guide « Attaques par rançongiciels, tous concernés. »

Programmes malveillants, les rançongiciels chiffrent les données et verrouillent les terminaux d’utilisateurs appelés à verser une rançon. Pour sensibiliser les entreprises et les collectivités en France, l’ANSSI rappelle que leurs conséquences « sont de plus en plus dévastatrices sur la continuité d’activité voire la survie de l’organisation victime. »

L’ANSSI publie, en plus des témoignages du Groupe M6, du CHU de Rouen et de Fleury Michon, tous trois ciblés par des rançongiciels (ransomwares en anglais) en 2019, un ensemble de recommandations pour « réduire » le risque d’attaque, à savoir :

– Sauvegarder les données
– Mettre à jour les logiciels et systèmes
– Utiliser les logiciels antivirus
– Cloisonner le système d’information
– Limiter les droits des utilisateurs et autorisations des applications

– Contrôler les accès Internet
– Superviser les journaux (logs)
– Sensibiliser les collaboreurs à la cybersécurité
– Déployer un plan de réponse à incident de sécurité cyber
– Étudier la possibilité de souscrire une assurance cyber

Que faire en cas d’incident ?

« Ne jamais payer la rançon »

L’Agence propose les conseils suivants pour « réagir » en cas d’incident :

– Trouver de l’assistance technique, notamment par le biais de la plateforme cybermalveillance.gouv.fr mise en place par le gouvernement pour mettre en contact particuliers et entreprises avec des prestataires de proximité.
– Communiquer « au juste niveau » pour accompagner les équipes en interne.
– En cas d’attaque, la tentation de payer la rançon demandée pour reprendre le contrôle de données est forte, mais elle n’est pas la solution. l’ANSSI recommande donc de ne pas payer la rançon.  « Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. » Par ailleurs, a ajouté l’entité, « l’obtention de la clé de déchiffrement ne permet pas toujours de reconstituer l’intégralité des fichiers chiffrés. »
– Déposer plainte.
– Restaurer les systèmes depuis des sources saines.

« Les acteurs privés comme publics sont encore trop peu conscients du risque et de leur propre vulnérabilité », a expliqué Guillaume Poupard, directeur général de l’ANSSI. Or, entre janvier et août 2020, l’agence a déjà traité 104 attaques par rançongiciels rapportées à sa connaissance par ses bénéficiaires ou partenaires. La partie émergée de l’iceberg ?

(crédit photo de une © Shutterstock)