Comment se protéger des ransomwares ? La CISA a mis à jour son guide !
Comment se protéger des ransomwares ? Pour vous aider à répondre à cette question, l'agence américaine CISA a fait évoluer son guide "#StopRansomware" !
Aux États-Unis, la CISA pour Cybersecurity & Infrastructure Security Agency, c'est en quelque sorte l'équivalent de l'ANSSI en France. Alors, forcément, les guides qui émanent de cette agence peuvent s'avérer intéressants en complément de ceux mis en ligne par l'ANSSI (et qui sont excellents). Il est à noter que le FBI et la NSA sont co-auteurs de ce guide.
Mis en ligne initialement en septembre 2020, la CISA a mis en ligne une nouvelle version de son guide intitulé "#StopRansomware" et qui traite de la question des ransomwares. Ce document de 29 pages recense les conseils de l'agence américaine pour se protéger des ransomwares. Par exemple, la CISA évoque le principe de la double extorsion, ce qui n'était pas le cas dans la première version.
Il est découpé en deux parties :
- Une première partie qui recense les meilleures pratiques en matière de prévention (notamment pour le vecteur d'accès initial)
- Une deuxième partie qui contient une checklist des actions à effectuer lorsque l'on est victime d'une attaque par ransomware
Dans cette nouvelle version, la CISA met en avant la nécessité d'avoir des sauvegardes externalisées dans le Cloud et d'implémenter une architecture Zero Trust.
Ce document est synthétique et donne de nombreux conseils intéressants. La liste est trop longue pour être listée dans cet article donc je vous recommande la lecture du guide (accessible à cette adresse).
Le vol d'identifiants et le phishing
Il y a des conseils classiques comme le fait qu'il soit nécessaire de changer le nom d'utilisateur et le mot de passe du compte "admin" par défaut des machines pour lutter contre la compromission d'identifiants, ou encore le fait qu'il soit indispensable d'utiliser du MFA. Par ailleurs, la CISA recommande de mettre en place une politique de mots de passe qui requiert au moins 15 caractères.
Le volet sur les bonnes pratiques à respecter pour se protéger contre le vol d'identifiants est assez complet. La CISA évoque la nécessité de :
- Mettre en place LAPS (ou plutôt Windows LAPS maintenant),
- Désactiver le gestionnaire de mots de passe dans les navigateurs (voir ici pour Edge et Chrome), car ça doit être interdit d'y enregistrer ses mots de passe !
- Utiliser des comptes séparés pour les différents usages (un compte administrateur et un compte utilisateur)
- Se protéger contre le dump du processus LSASS avec l'activation de Credential Guard
- Etc...
Il y a aussi tout un volet sur la protection contre les attaques de phishing. Dans cette partie, la CISA donne une liste de recommandations parmi lesquelles :
- Identifier clairement les e-mails en provenance de l'extérieur (voir ici pour Microsoft 365)
- Implémenter la vérification DMARC
- Désactiver les macros pour les fichiers Microsoft Office envoyés en tant que pièces jointes
- Désactiver Windows Script Host (WSH)
- Etc.
Les sauvegardes et le Cloud
La recommandation générale de la CISA en ce qui concerne les sauvegardes, est de disposer de sauvegardes chiffrées hors ligne des données critiques. En ce qui concerne les sauvegardes Cloud, la CISA précise que les sauvegardes automatisées dans le Cloud ne sont pas suffisantes : si les fichiers locaux sont chiffrés, cela pourrait altérer la sauvegarde Cloud. Toutefois, c'est vrai pour une version de la sauvegarde, mais pas pour les précédentes (s'il y en a...).
Au sujet des données stockées dans le Cloud, la CISA vous recommande le multi-Cloud pour vos sauvegardes : "Envisagez d'utiliser une solution multi-cloud afin d'éviter la dépendance à l'égard d'un fournisseur pour les sauvegardes de Cloud à Cloud, au cas où tous les comptes du même fournisseur seraient touchés."
Voilà un aperçu des informations que l'on peut retrouver dans ce guide !
Bonne lecture !