Neuf tactiques efficaces pour prévenir les attaques par ransomware

Tribune
Par Renee Tarun (Fortinet) · 25/11/2021

Crédit: Pete Linforth

Fin 2020, ce sont pas moins de 17.200 dispositifs et équipements informatiques qui étaient infectés, chaque jour, par des ransomware (rançongiciels), selon les chiffres publiés dans le rapport Global Threat Landscape” de Fortinet. Les tentatives d’attaque et les piratages de données sont inévitables et aucune entreprise ne désire être forcée de choisir entre payer une rançon ou perdre des données importantes.

La meilleure des options reste bien entendu de ne pas être confronté à un tel choix ! Encore faut-il, pour y parvenir, déployer une sécurité multi-couche, adossée à une veille proactive sur les menaces, pour ainsi protéger le réseau, les end points (terminaux et systèmes d’accès), les applications et les data centers. Dans cette optique, voici neuf recommandations qui pourraient permettre aux entreprises d’avoir de meilleures chances d’éviter les attaques par rançongiciel.

1. Passerelle de sécurité e-mail et sandboxing

Une passerelle de sécurité courriel déploie une protection multi-couche évoluée contre l’ensemble des menaces véhiculées par courriel.
Le sandboxing est une couche supplémentaire de protection: tout courriel filtré au niveau de la passerelle et qui contient encore des liens, provient d’expéditeurs ou est associé à des types de fichier inconnus, peut être testé, en amont du réseau ou du serveur de messagerie.

2. Technologie des pare-feu: sécuriser les applications Web

Un pare-feu d’application Web (WAF, pour Web application firewall) sécurise les applications Web en filtrant et surveillant le trafic HTTP vers et à partir d’un service Web. Le WAF constitue ainsi la première ligne de défense contre les cyber-attaques.

Lorsqu’elles mettent en œuvre de nouveaux projets numériques, les entreprises participent à contribuent la surface d’attaque. Les nouvelles applications Web et API peuvent être exposées à un trafic malveillant, compte tenu notamment des vulnérabilités des serveurs Web ou des plug-ins de serveur. Un WAF permet de sécuriser les applications et les contenus auxquels elles accèdent.

3. Partage d’informations de veille sur les menaces

Les entreprises doivent pouvoir recourir à une veille décisionnelle en temps réel pour maîtriser les menaces inconnues. Cette information doit être à disposition des différents produits et couches de sécurité, afin de mettre ainsi en oeuvre une défense proactive. 

De plus, ce partage d’informations doit être plus large, au-delà du périmètre de l’entreprise, pour s’étendre à la communauté des acteurs de la cyber-sécurité. Le partage rapide d’informations est le meilleur moyen de répondre rapidement aux attaques et de neutraliser la “chaîne de frappe” (kill chain) avant toute propagation de la menace vers des systèmes ou entreprises tierces. 

4. Protection des points d’accès

Les endpoints (points d’accès) doivent être protégés de manière efficace, en faisant appel, par exemple, à une solution EDR (endpoint discovery and response).  Les technologies anti-virus traditionnelles ne peuvent tout simplement pas tenir le rythme des attaques avancées. Elles génèrent également des montagnes de rapports que les équipes de cyber-sécurité déjà surchargées ne peuvent pas traiter en temps voulu. Les solutions EDR traditionnelles risquent également d’augmenter les coûts de sécurité et de ralentir les processus réseau.

En revanche, les outils EDR de nouvelle génération offrent de nombreuses fonctions sophistiquées et temps réel pour protéger les endpoints : veille sur les menaces, visibilité, analyses, gestion et protection des endpoints. Ces solutions EDR ont la capacité de détecter et de désamorcer instantanément les menaces potentielles.

5. Sauvegarde de données et réponse aux incidents

L’entreprise doit pouvoir assurer des sauvegardes de tous ses systèmes, stockées en dehors du réseau de l’entreprise. Ces sauvegardes doivent être testées afin de valider leur utilisation dans un processus de restauration. Chaque entreprise doit disposer d’un plan de réponse à une attaque réussie par rançongiciel.

6. Mise en œuvre de l’accès Zero Trust

Le modèle de sécurité Zero Trust (zéro confiance) part du principe que toute personne ou tout dispositif qui tente de se connecter au réseau constitue une menace potentielle. Avec l’approche Zero Trust, chaque individu ou dispositif qui tente d’accéder au réseau ou à une application doit être identifié de manière stricte avant qu’un accès ne lui soit accordé. Cette vérification utilise une authentification multi-factorielle (MFA) et exige des utilisateurs qu’ils fournissent plusieurs données d’authentification avant que l’accès ne leur soit octroyé. En outre, le contrôle d’accès au réseau (NAC) garantit que les utilisateurs et dispositifs non autorisés ne peuvent pas accéder aux réseaux.

7. Pare-feu et segmentation du réseau

La segmentation devient une pratique commune compte tenu d’une adoption croissante du cloud, notamment au sein des environnements multi-cloud et hybride. Avec la segmentation réseau, les entreprises partitionnent leur réseau selon les besoins métier et en accordent l’accès selon le rôle ou le statut de confiance. Chaque requête sur le réseau est inspectée à l’aune du statut de confiance du requérant. Cette approche permet de contrer les mouvements internes d’une menace qui aurait réussi à s’immiscer sur le réseau en dépit des défenses en place.

Source: IAPP

8. Sensibilisation des utilisateurs et bonnes pratiques de sécurité

Selon le rapport “Data Breach Investigations” 2021 de Verizon, 85% des incidents de données impliquent une action humaine. La formation revêt donc une dimension critique.

Autre recommandation : les formations doivent être (ré-)actualisées et intégrer tout nouveau protocole de sécurité susceptible d’être déployé. De plus, les utilisateurs, et notamment les télétravailleurs, doivent être formés à repérer les demandes suspectes et à mettre en œuvre les outils et protocoles de sécurité de base.

Notons enfin que les entreprises doivent s’assurer que leurs systèmes sont mis à jour et qu’ils disposent des correctifs les plus récents. 

9. Technologies de leurre 

Les entreprises sont invitées à se pencher sur ce type de technologies qui permet de protéger les systèmes contre des cybercriminels qui parviennent à s’immiscer sur le réseau en dépit de la ligne de défense mise en place. Cela permet de piéger les assaillants alors qu’ils pensent, à tort, s’être infiltrés sur le réseau et avoir obtenu l’accès aux ressources critiques de l’entreprise. Cette approche peut être utilisée pour minimiser les dommages et protéger les ressources réelles de l’entreprise. De plus, une technologie de leurre accélère l’identification et la prise en charge des menaces.

Du côté des entreprises, il est temps de repenser la stratégie de sécurité et de la réorganiser. Aujourd’hui, des outils permettent de déployer une protection importante contre les attaques par ransomware. Ces neuf tactiques permettent de réfléchir à ce qu’il est possible de faire différemment pour que les entreprises soient mieux armées pour déjouer cette menace majeure qu’est le rançongiciel. 

Renee Tarun
CISO adjointe et vice-présidente
Information Security chez Fortinet