Les ransomwares restent l’une des principales menaces de cybersécurité auxquelles sont confrontées les organisations aujourd’hui. Ces programmes malveillants cryptent les fichiers et les systèmes et exigent le paiement d’une rançon pour obtenir les clés de décryptage. Récupérer sans payer de rançon nécessite des efforts et des perturbations considérables. Il est de loin préférable d’arrêter les infections avant qu’elles ne se produisent et de limiter les conséquences potentielles grâce à des mesures de prévention globales. Ce guide approfondi détaille
la prévention des ransomwares
les meilleures pratiques pour sécuriser votre organisation contre les intrusions de logiciels malveillants et le cryptage des données. Nous présentons des mesures concrètes pour combler les lacunes en matière de sécurité, limiter les mouvements latéraux et protéger les biens essentiels. Le renforcement des défenses fait des organisations une cible plus difficile et minimise les impacts commerciaux si le ransomware pénètre les défenses. Bien qu’il n’existe pas de méthode unique pour prévenir tous les ransomwares, la sécurité par couches et la vigilance réduisent considérablement les risques. Évaluez les points faibles de votre organisation et commencez à mettre en œuvre des contre-mesures :
Etape 1 : Mettre à jour les systèmes d’exploitation, les logiciels et les microprogrammes
Les failles non corrigées sont les vecteurs les plus courants permettant aux ransomwares d’obtenir un accès initial aux réseaux, car elles permettent l’exécution de codes à distance :
- Cataloguez tous les appareils et toutes les versions de logiciels utilisés, en identifiant les systèmes en fin de vie à remplacer et en conservant un inventaire pour rationaliser les correctifs.
- Vérifiez régulièrement auprès des fournisseurs les mises à jour de sécurité pour les systèmes d’exploitation, les applications, les pilotes, les plugins et les microprogrammes. Inscrivez-vous pour recevoir les notifications de publication.
- Testez d’abord les correctifs dans des environnements de développement afin d’éviter les impacts imprévus avant de les déployer à grande échelle. Donner la priorité aux infrastructures critiques et aux systèmes en contact avec le public.
- Séparer les systèmes d’essai des réseaux de production pendant l’évaluation. Si les correctifs sont impossibles à mettre en œuvre, il convient d’isoler les systèmes patrimoniaux particulièrement vulnérables.
- Automatisez la gestion des correctifs à l’aide d’outils tels que Microsoft SCCM ou d’autres solutions tierces pour garantir un déploiement rapide. Surveillez les points d’extrémité non corrigés.
Étape 2 : Le courrier électronique sécurisé comme vecteur initial d’infection
Le courrier électronique reste le principal vecteur d’infection des ransomwares par le biais de messages d’hameçonnage et de pièces jointes malveillantes :
- Sensibilisez continuellement le personnel à identifier les techniques d’ingénierie sociale, à éviter de cliquer sur les liens contenus dans les courriels et à signaler tous les messages suspects. Effectuez de véritables simulations d’hameçonnage.
- Bloquez les pièces jointes inutiles telles que .js, .wsf ou .rar qui n’ont aucune utilité professionnelle. Interdisez l’envoi par courrier électronique de macros dans les fichiers Office.
- Filtrez les liens et les pièces jointes malveillants au niveau de la passerelle de messagerie en utilisant les renseignements sur les menaces pour détecter les nouvelles campagnes de spam. Mettez en quarantaine les courriels suspects.
- Utilisez un service de filtrage hébergé dans le nuage pour une protection amplifiée superposée aux environnements Exchange ou Office 365 sur site.
- Avertissez les utilisateurs des signaux d’alerte des ransomwares, tels que les extensions de fichiers .exe et les moyens de pression incitant à une action immédiate. Encouragez l’examen minutieux des expéditeurs.
- Limitez les aperçus Outlook qui peuvent exécuter un code malveillant sans même que les pièces jointes soient ouvertes. Désactivez l’utilisation de Flash dans les clients de messagerie.
Étape 3 : Passerelles Web sécurisées et filtrage DNS
Le ransomware exploite également la navigation sur le web par le biais de publicités, de scripts et de téléchargements malveillants sur les sites infectés :
- Configurez les solutions de passerelles web sécurisées (SWG) pour filtrer les sites autorisés et les contenus malveillants sur la base de renseignements sur les menaces. Bloquez l’accès aux adresses IP suspectes.
- Activez le filtrage DNS pour arrêter les connexions vers des domaines malveillants connus, utilisés pour l’infrastructure de commande et de contrôle. Tenir à jour les listes noires.
- Paramétrez les navigateurs pour qu’ils bloquent les Flash, les pop-ups, les JavaScript provenant de sources non fiables et les téléchargements qui se lancent automatiquement.
- Utilisez des bloqueurs de publicité et désactivez les plugins inutiles. N’installez que des extensions et des applications de confiance dont on a vérifié qu’elles n’étaient pas malveillantes.
- Pour les sites à haut risque comme le courrier électronique personnel, isolez l’accès via des serveurs de saut étroitement contrôlés qui empêchent les infections de pénétrer dans les réseaux de l’entreprise.
- Sensibilisez le personnel à la sécurité en ligne, à la sécurisation des réseaux domestiques, aux risques liés à l’utilisation des réseaux Wi-Fi publics et mettez en place une authentification multifactorielle partout où cela est possible.
Étape 4 : Segmenter et micro-segmenter les réseaux internes
Une fois à l’intérieur des réseaux, le ransomware tente de se propager rapidement à travers les systèmes connectés afin de maximiser le chiffrement :
- Segmentez les réseaux en sous-réseaux en fonction des rôles, des départements et des besoins d’accès. Limitez les communications entre chaque zone.
- Les réseaux à micro-segmentation se poursuivent ou utilisent des périmètres définis par logiciel pour isoler les systèmes en groupes ayant des exigences d’accès communes.
- Restreignez la communication entre les postes de travail au moyen de règles basées sur l’hôte et de politiques de contrôle d’accès au réseau afin d’empêcher l’exploration latérale.
- Mettez en œuvre des contrôles d’accès basés sur les rôles pour les identités afin de limiter les comptes et les informations d’identification utilisables pour les mouvements latéraux entre les systèmes.
- Définissez les règles du pare-feu et du NAC pour n’autoriser que les ports/protocoles essentiels en interne, en bloquant les exploits SMB et RPC.
- Virtualiser les serveurs pour mieux les séparer du matériel et des autres systèmes virtuels. Placez les systèmes très ciblés dans des vlans privés.
Étape 5 : Désactiver les services et protocoles inutiles
Les services actifs fournissent aux rançongiciels des voies d’accès aux systèmes et aux entrepôts de données à chiffrer :
- Répertoriez tous les services des points d’extrémité et désactivez ceux qui sont inutiles et couramment exploités par les logiciels malveillants, tels que le partage de fichiers SMBv1.
- Si possible, bloquez entièrement le trafic Server Message Block (SMB) entre les points d’extrémité. S’il s’agit toujours d’une activité critique, surveillez attentivement et limitez les connexions aux seules connexions autorisées.
- Désactivez le protocole de bureau à distance (RDP) en externe et limitez-le aux seules connexions internes figurant sur la liste blanche, surveillées et authentifiées par plusieurs facteurs.
- Désactivez PowerShell et limitez l’utilisation d’outils d’accès à distance tels que PsExec aux serveurs de saut contrôlés. Si possible, supprimez-les entièrement.
- Fermez les ports internet tels que RDP (3389) et le partage de fichiers (445) sur les terminaux et les pare-feu afin d’empêcher l’accès externe à distance.
Étape 6 : Mise en œuvre du principe de moindre privilège et suppression des droits d’administrateur local
Les autorisations étendues accordées aux utilisateurs permettent aux logiciels rançonneurs d’accéder aux systèmes et aux informations d’identification et de se propager rapidement :
- Adoptez des modèles d’accès à moindre privilège, avec des droits limités à ceux qui sont nécessaires pour les fonctions du personnel. Procéder à des examens périodiques de l’accès.
- Supprimez entièrement les privilèges d’administrateur local des utilisateurs si cela est possible. Utiliser les outils de gestion des accès privilégiés en fournissant une élévation temporaire si nécessaire.
- Utilisez des hôtes de saut privilégiés dédiés aux tâches d’administration, en isolant l’accès aux systèmes critiques et l’exposition aux informations d’identification. Faites une rotation fréquente des titres de compétences.
- Sécurisez les comptes d’administrateurs de domaine dans des coffres-forts et mettez en place un pare-feu pour les hôtes de saut privilégiés. Contrôlez strictement leur utilisation.
- Désactivez les autorisations héritées sur les partages de fichiers et limitez-les aux seuls groupes d’utilisateurs autorisés. Contrôlez soigneusement l’accès en écriture.
- Configurez les outils IPS et antimalware pour qu’ils signalent les tentatives d’escalade des privilèges, les mouvements latéraux entre les systèmes et l’utilisation suspecte d’informations d’identification indiquant la présence d’un ransomware.
Étape 7 : Déployer les outils de protection contre les ransomwares sur les postes de travail
Les outils spécialisés pour les terminaux fournissent des défenses qui se chevauchent contre plusieurs comportements des ransomwares :
- Tirez parti de la détection et de la réponse des points finaux (EDR) pour identifier rapidement les intrusions de ransomware grâce à l’analyse comportementale et contenir immédiatement les impacts.
- Activez les modules anti-ransomware inclus dans de nombreuses solutions antivirus pour surveiller les activités de chiffrement et les arrêter à l’aide de recherches de réputation.
- Envisagez des technologies de déception comme les honeyfiles qui détectent les tentatives de cryptage de ransomware sur les fichiers appâts et alertent instantanément les équipes de sécurité.
- Utilisez les listes blanches d’applications et les « gold builds » pour empêcher l’exécution d’exécutables non autorisés. Associé à la notion de moindre privilège, ce système contient des logiciels malveillants.
- Explorez les technologies émergentes telles que les systèmes de fichiers protégés par la blockchain, qui permettent de détecter les ransomwares en surveillant les tentatives de chiffrement non autorisées sur les registres distribués.
Étape 8 : Sauvegardez régulièrement et testez la restauration
Si l’idéal est la prévention, les sauvegardes constituent une assurance qui permet de récupérer les systèmes et les données cryptés si le ransomware échappe aux défenses :
- Maintenez des sauvegardes régulières des systèmes critiques, en stockant des copies hors ligne et sous air si possible. Assurez la gestion des versions pour les restaurations de fichiers et des périodes de conservation multiples.
- Testez régulièrement la restauration à partir des sauvegardes pour valider la facilité d’utilisation. Veillez à ce que la vitesse réponde aux objectifs de récupération. Recherchez les lacunes dans les champs d’application des sauvegardes, qui laissent les systèmes sans protection.
- Mettez en œuvre des processus de reprise après sinistre qui englobent les scénarios de ransomware en particulier, et pas seulement les événements naturels. Exécutez des simulations d’incidents de ransomware pour évaluer la réponse.
- Utilisez le stockage en nuage avec la prise en charge des versions et la rétention d’objets immuables pour préserver l’intégrité des données en cas de suppression ou de cryptage.
- Séparer les systèmes de sauvegarde des environnements de production et des autres infrastructures afin d’empêcher les mouvements latéraux de compromettre la disponibilité lors de la reprise.
Étape 9 : Évaluer la maturité de la cybersécurité
La visibilité des vulnérabilités permet d’établir une feuille de route pour la prévention des ransomwares :
- Effectuez des tests d’intrusion reproduisant des attaques réelles afin d’identifier de manière proactive les lacunes à combler avant les incidents. Tenter un mouvement latéral et une escalade des privilèges.
- Effectuer des analyses de vulnérabilité et des audits en comparant les configurations aux meilleures pratiques en matière de prévention des ransomwares afin de mettre en évidence les points à améliorer.
- Évaluer la maturité globale du programme de sécurité par rapport aux normes de l’industrie afin de mettre en évidence les lacunes en matière de capacités. De nombreux domaines tels que la formation à la sensibilisation ou le moindre privilège permettent d’améliorer la résilience aux ransomwares de manière générale.
- Participez aux programmes d’échange de renseignements sur les cybermenaces afin de rester au fait des nouvelles menaces de ransomware, de l’infrastructure des adversaires et des nouvelles techniques de propagation.
Conclusion :
En conclusion, se défendre efficacement contre les ransomwares est un défi permanent et dynamique qui exige une stratégie de sécurité à plusieurs niveaux, comme le souligne notre guide complet. Bien que chacune des étapes que nous avons présentées joue un rôle crucial, il est essentiel de se rappeler que la cybersécurité n’est pas une solution prête à l’emploi et à oublier. La mise à jour et la réévaluation régulières de votre dispositif de sécurité sont essentielles à la prévention des ransomwares.
Pour les directeurs informatiques, les cadres supérieurs et les administrateurs de systèmes, il est impératif de rester informés et proactifs. En faisant appel à des experts en cybersécurité, vous obtiendrez des informations et des stratégies sur mesure, adaptées aux besoins et aux vulnérabilités propres à votre organisation. Si vous souhaitez approfondir des stratégies spécifiques de prévention des ransomwares ou si vous avez besoin de conseils adaptés au contexte de votre organisation, notre équipe d’experts est prête à vous aider. Nous vous encourageons à nous contacter pour discuter de vos préoccupations en matière de cybersécurité et explorer des solutions personnalisées.
En outre, il est essentiel de se tenir informé des derniers développements en matière de cybersécurité. Nous proposons une multitude de ressources et d’analyses approfondies sur notre site web. Pour une exploration plus détaillée des mesures de défense proactives, telles que les tests d’intrusion, et de la manière dont elles peuvent fortifier votre organisation contre les ransomwares, consultez notre page dédiée aux services de tests intrusion.
