L’ANSSI : un nouveau guide sur la gestion des attaques de ransomware
L'Agence nationale de la sécurité des systèmes d'information a diffusé un nouveau guide sur la gestion des attaques de ransomware, où l'on retrouve les bonnes pratiques pour gérer ce type de crise.
Ce n'est pas nouveau : les ransomwares font les gros titres depuis plusieurs années, et ce fût le cas encore cet été. Il y a eu différentes attaques importantes ces derniers mois impliquant un ransomware. Nous pouvons citer l'attaque qui a paralysé les services de Garmin, Bouygues Construction en France ou encore la métropole d'Aix-en-Provence.
Suite à ces nouvelles attaques importantes, l'ANSSI a décidé de publier un nouveau guide de 21 pages intitulé "Attaques par rançongiciels, tous concernés. Comment les anticiper et réagir en cas d'incident ?".
Il y a quelques années, les ransomwares étaient diffusés largement au travers des e-mails sans savoir qui seraient réellement touchés. Aujourd'hui, les choses ont changé : des groupes cybercriminels ciblent des entreprises spécifiques et ayant des moyens financiers importants. Le nombre d'attaques évolue également : en 2019, l'ANSSI est intervenue sur 69 incidents, contre 104 depuis le début de l'année 2020. Et encore, ce chiffre tient compte seulement des incidents sur lesquels l'ANSSI est venue en renfort.
Les sauvegardes ne représentent plus la réponse parfaite à une attaque par ransomware. Voici un extrait très intéressant du guide de l'ANSSI : « Il s’agit de garder à l’esprit que ces sauvegardes peuvent aussi être affectées par un rançongiciel. En effet, de plus en plus de cybercriminels cherchent à s’en prendre aux sauvegardes pour limiter les possibilités pour la victime de retrouver ses données et ainsi maximiser les chances qu’elle paie la rançon. Ces sauvegardes, au moins pour les plus critiques, doivent être déconnectées du système d’information pour prévenir leur chiffrement, à l’instar des autres fichiers. L’usage de solutions de stockage à froid, comme des disques durs externes ou des bandes magnétiques, permettent de protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité. »
Pour réduire le risque d'attaque, il est indispensable d'avoir une stratégie de sauvegarde adaptée, mais le guide mentionne également les recommandations suivantes : maintenir à jour les systèmes et les logiciels, y compris l'antivirus, de cloisonner le système d'information, de gérer les droits des utilisateurs, de maîtriser l'accès à Internet, etc.
N'oubliez pas : « Le paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux »
il faut dire que les solutions comme veeam sont pas super
il fonctionne sous windows et laisse donc accessible les disques à ce genre de logiciel
du coup quand on utilise du windows autant avoir un serveur sous linux t-elle que backuppc ou autre
ca diminue vachement les risques même sont il ne sont pas inexistant
Veeam est egalement installable sous linux..
Peu importe ton system de backup tu auras toujours des disques montes sur le server, et donc des risques que tes lecteurs reseaux soient touches aussi..
Aucun system n’est infaillible, mais seule la securite du server suffit a proteger une entreprise.. c’est pour cela que des formations aux users sont requisent..
Also,…
Super de partager cet article. je tiens a rajouter que l’ANSII mets egalement a disposition des guides pour implementer l’ISO 27001 et je trouve qu’il serait bien d’en mettre les liens, car parler des ransomware c’est bien joli, mais il faut egalement s’en prevenir et leurs guides sont une bonne base pour comprendre les failles de SI.