Février 2017 - Vie d'entreprise

Ransomware   |  Sécurité

Les PME en guerre contre les ransomwares

En presque un an, le nombre d’attaques de ransomwares contre les entreprises a triplé. En septembre 2016, l’agence de sécurité Kaspersky Lab enregistrait une invasion de ce type toutes les 40 secondes contre une toutes les 2 minutes en début d’année.

 

iStock-509230826_800_theme1

 

Le ransomware est un type de malware (logiciel essayant d’infecter un ordinateur, un smartphone ou une tablette) qui, après avoir rapidement évolué, est désormais omniprésent sur les réseaux. Deux types principaux existent : les ransomwares à chiffrement et les verrouilleurs.

 

Lorsqu’ils infectent un ordinateur, les ransomwares à chiffrement encodent des données importantes, y compris des documents, photos, sauvegardes de jeux, bases de données, etc. Une fois cryptés, les fichiers ne peuvent pas être ouverts, et l’utilisateur n’y a plus accès. Bien souvent, les cybercriminels à l’origine de l’attaque demandent une rançon en échange de la clé de déchiffrement pour restaurer l’accès aux fichiers. Son montant, est en moyenne de 300€.

 

Les verrouilleurs, comme leur nom l’indique, bloquent, quant à eux, l’accès à l’appareil infecté. Tout le système, et pas seulement les fichiers, devient donc inaccessible. Dans ce cas, la rançon demandée n’est généralement pas aussi élevée que celle d’un ransomware à chiffrement.

Dans le monde, une entreprise sur cinq est concernée

Selon un rapport de l’entreprise de sécurité Kaspersky Lab, entre janvier et septembre 2016, la fréquence des attaques de ransomware contre les entreprises est passée de deux minutes à 40 secondes. Pour le grand public, la situation est encore pire : en septembre, la fréquence des attaques est passée à 10 secondes. Au cours du troisième trimestre de l’année, Kaspersky Lab a détecté 32 091 nouvelles versions de ransomware contre seulement 2 900 en début d’année. Au total, 62 nouvelles familles de malwares de cette catégorie ont été, en 2016, comptabilisées par l’entreprise de sécurité.

 

Des chiffres qui montrent très clairement l’intérêt des cybercriminels pour ce type de malwares dont la réussite reste constante malgré les actions menées par les autorités policières et judiciaires et les outils de décryptage gratuits fournis par les chercheurs et les entreprises de sécurité.

Les petites et moyennes entreprises sont les plus touchées 

Au cours des 12 derniers mois, 42 % des PME ont été victimes d’une attaque. Parmi elles, une sur trois a payé la rançon, une sur cinq n’ayant jamais récupéré ses fichiers après le paiement. « Au total, 67 % des entreprises touchées par un ransomware ont perdu une partie ou la totalité de leurs données d’entreprise et une victime sur quatre a passé plusieurs semaines à essayer de retrouver l’accès à ses fichiers  », ont déclaré les chercheurs de Kaspersky. Cette année, le ransomware les plus populaires sont :

 

  • CTB-Locker, utilisé dans 25 % des attaques,
  • Locky, pour 7 % des attaques,
  • TeslaCrypt, pour 6,5 %

 

Les auteurs d’attaques par ransomware ont également affiné leurs cibles : leurs campagnes de fishing et d’ingénierie sociale visent des entreprises spécifiques ou des secteurs de l’industrie où le manque de disponibilité des données est très dommageable à leur activité.

Recommandations

Afin de se prémunir contre ces risques, les premières protections sont avant tout à considérer au niveau de l’utilisateur final, il est donc recommandé d’effectuer sans tarder les actions de prévention suivantes :

1.     Sensibiliser immédiatement les utilisateurs

La plupart de ces messages sont non sollicités, d’un émetteur inconnu, il est donc vivement conseillé :
  • De ne pas télécharger des programmes inconnus,
  • De ne pas ouvrir des pièces jointes non attendues et/ou d’origine douteuse,
  • De ne pas cliquer sur des liens douteux.

2.     Effectuer la sauvegarde immédiate et régulière des fichiers utilisateurs

Sur des supports hors ligne (clé USB, disque dur externe, DVD).

3.     Effectuer la mise à jour des anti-virus sans plus attendre

4.     Procéder à l’application des correctifs de sécurité

  • Système d’exploitation,
  • Navigateurs Internet,
  • Applications utilisées.

En cas d’infection, il faut immédiatement déconnecter le PC infecté du réseau et l’éteindre.

 

Les entreprises victimes peuvent aller sur le site « No More Ransom » mis en place par des entreprises de sécurité pour voir s’il existe un outil de décryptage disponible qui leur permettrait de récupérer leurs fichiers.

 

Par ailleurs, il est conseillé aux entreprises de ne pas payer la rançon, car elles risquent de devenir des cibles encore plus attractives et inciter les pirates à demander chaque fois des rançons plus élevées. Sans parler du fait que le paiement de la rançon ne garantit pas qu’elles obtiennent in fine la clef de décryptage pour récupérer leurs fichiers.

 

Source : Le Monde Informatique