Il ne se passe pas une semaine sans qu’une entreprise menacée par des virus chiffrants, des ransomwares, ne fasse la une de nos journaux. Ce type de malware, qui chiffre vos données et vous demande un rançon pour les déchiffrer, est de plus en plus fréquent car il rapporte gros à ses créateurs. VeryFrog vous explique comment s’en prémunir à travers plusieurs règles de bonne conduite.

ransomwares : comment s’en prémunir

Ne laisser pas entrer de malwares dans votre entreprise

Au cinéma, les hackers déploient des montagnes d’ingéniosités et de savoir-faire pour pénétrer un système d’information et y déposer une charge virale. La réalité est bien moins enthousiasmante : la plupart des malwares sont simplement envoyés par mail aux cibles via une vulgaire pièces jointes. De ce fait, il suffit simplement d’éduquer les employés aux règles de bases de prudence vis à vis des mails :

  1. N’ouvrez pas les mails des inconnus. Ne les transférez pas et n’y répondez pas.
  2. N’ouvrez jamais les pièces jointes provenant des inconnus
  3. Ne cliquez jamais sur des pièces jointes ayant les extensions: EXE, DLL, VBS, U64, SHS, PIF ou SCR
  4. Communiquez le moins possible votre adresse mail pour éviter les spams et scams
  5. Soyez vigilant voire méfiant des URL réduites telles que https://bit.ly/2VUmh6X

Bien évidemment, il existe bien d’autres règles (se référer à l’ANSSI), mais il s’agit somme toute de bon sens. Il y a également un autre vecteur d’infection par des ransomwares: les supports externes tel que les clés USB. Là encore, agissez avec bon sens. Par exemple, n’utilisez pas de clés provenant de personnes extérieures à votre entreprise, ne stockez que sur des clés achetées par votre société. Au besoins, mettez en place une station de désinfection, isolée de votre réseau informatique, pour scanner un support douteux.

Bien évidemment, il est également absolument nécessaire d’équiper vos poste d’antivirus, afin d’analyser vos mails et les supports externes que vous utilisez. Néanmoins, cela n’est pas suffisant, notamment si vous ne mettez pas à jour votre antivirus !

Le dilemne des comptes administrateurs des postes

Malgré les conseils précédents, des ransomwares peuvent débarquer dans votre système d’information. Le pouvoir de nuisance de ce virus va être directement lié au privilèges de l’utilisateur infecté. Malheureusement dans beaucoup d’entreprise, tous les utilisateurs sont administrateurs de leur postes. Ainsi, ils peuvent installer librement des logiciels, modifier n’importe quel fichiers ou encore paramétrer comme bon leur semble leur système d’exploitation. Sachez dès lors que les ransomwares vont avoir les mêmes droits !

Une bonne politique pour réduire l’impact des malwares est donc de ne pas donner de trop grands privilèges informatiques à vos collaborateurs. Il peut, cependant, être compliqué d’instaurer une telle stratégie du fait de pré-requis de la part de logiciels métiers. Il faudra alors réfléchir à des solutions alternatives dans ces cas précis. Par exemple, ou pourra isoler un progiciel sur un serveur dédié et mettre en place une prise de main à distance.

Mettez à jour vos équipements face aux ransomwares !

Même si vous n’êtes pas administrateur de votre poste, certains ransomwares arriveront quand même à obtenir des privilèges importants. Pour cela, ils exploitent les failles de sécurité de vos programmes et de vos systèmes d’exploitation. Il est donc primordial de maintenir à jours tous les outils informatiques que vous utilisez. En effet, les éditeurs sont la plupart du temps au courant des failles de sécurité découvertes dans leur logiciels. Ils produisent en conséquences des correctifs et des mises à jour qui viennent combler ces failles et ainsi réduire le risque d’élévation de privilèges des ransomwares.

Il peut néanmoins être compliqué de gérer les mise à jour, notamment dans le cas de grands parcs informatiques. On cherchera alors à mettre en place des outils d’automatisations et de gestion de configuration pour faciliter la tâche. Dans le monde Windows, avoir un Active Directory voire un serveur WSUS est une bonne idée. Dans le monde Unix, on pourra se pencher sur les outils Devops comme Ansible ou Puppet par exemple.

Positionnez des droits d’accès à vos ressources

On a vu qu’il n’était pas une bonne idée de donner tous les droits possibles à un utilisateur sur son poste. Pour les mêmes raisons, il faut restreindre les accès aux ressources partagées en réseau. En effet, les ransomwares vont s’exécuter avec l’identité des utilisateurs infectés. Si ces derniers ont un accès complet à tous les fichiers de votre réseau, les malwares aussi ! Et ils n’auront alors aucune difficulté à chiffrer tous les documents accessibles par le réseau.

Pour y remédier, il est nécessaire de bien définir des droits d’accès par typologie d’utilisateurs à vos ressources. Là encore, une gestion d’utilisateurs centralisée, type Active Directory ou LDAP, est un outil particulièrement utile. En affectant ainsi des autorisations à vos utilisateurs (ou groupes d’utilisateurs) pour accéder à vos données, vous restreignez la surface de nuisance des ransomwares.

Cette politique de segmentation doit aussi s’appliquer à votre réseau. Très souvent, les entreprises n’utilisent qu’un seul réseau dans lequel réside tous les équipements et les utilisateurs. Ceci facilite l’accès des ransomwares à vos données. Il est alors plus sage de mettre en place une isolation des réseaux. Par exemple, placez vos utilisateurs sur un ou plusieurs réseaux (classiquement, un réseau filaire et un autre sans fil), vos serveurs sur un autre réseau et vos sortie Internet encore sur un autre. Il est usuel d’utiliser des VLANs pour réussir cela. On veillera alors à contrôler le passage d’un VLAN à un autre grâce à des ACLs ou des Pare-feux.

Ultime recours face aux ransomwares: les sauvegardes

Malgré toutes les protections précédentes, un malware peut arriver à chiffrer certaines de vos données. Pour ne pas avoir à payer la rançon, vous pouvez restaurer vos fichiers depuis un état sain. Pour cela, vous devez absolument avoir des sauvegardes. Ces dernières devront être fonctionnelles. Trop souvent, les entreprises effectuent des backups de leurs données par acquis de conscience. Ce n’est pas suffisant ! Vous devez avoir une réelle politique de sauvegarde avec un choix de rétention, des mécanismes d’externalisation et surtout des procédures de test. Ce dernier point est crucial et rarement implémenté. Pourtant comment être sûr que vos sauvegardes sont cohérentes sans les tester régulièrement ?

On le voit, lutter contre les ransomwares ne se limite pas à installer un antivirus. Des précautions sont à prendre et à mettre en place au niveau de votre infrastructure informatique globale. Pour cela, faîtes vous accompagner par des experts comme les hommes et femmes de VeryFrog. N’hésitez donc pas à nous contacter pour préserver votre activité des malwares ambiants.