De nombreuses entreprises pensent que leurs sauvegardes les protègent contre les ransomwares. La logique simple et tentante derrière cela : si vous pouvez récupérer toutes vos données, vous ne pouvez pas être victime de chantage. Par Ali Carl Gulerman, PDG et directeur général, Radar Cyber Security.
Mais cela ne suffit pas : même avec une récupération réussie après une attaque, des informations sensibles telles que les données client ou la propriété intellectuelle peuvent toujours avoir été volées. De plus, le risque d'attaque demeure : les pirates peuvent rester dans le réseau ou y accéder à nouveau en installant une porte dérobée. Dans certains cas, les rançongiciels sont utilisés par les cybercriminels comme une pure tactique de diversion, par exemple pour injecter des logiciels espions dans le réseau de l'entreprise. Les dommages causés par une attaque par rançongiciel peuvent être considérables, voire existentiels, même si les données ont été restaurées avec presque aucun temps d'arrêt.
La question n'est donc pas seulement de savoir quels logiciels malveillants les attaquants placent dans une entreprise, mais comment ils ont infiltré l'entreprise. Étant donné que les rançongiciels ont pu pénétrer le réseau, il existe évidemment des lacunes dans la défense. Et celui-ci doit être définitivement fermé.
Stratégie globale contre les cyberattaques
Produits, processus et experts
Les organisations qui souhaitent empêcher l'infiltration par des pirates ont besoin des bons produits, processus et experts en sécurité. Dans ce qui suit, donc, tout d'abord, les meilleures pratiques de base pour prendre des précautions :
1. Identifiez les données et les actifs les plus importants de l'entreprise
Qu'il s'agisse de propriété intellectuelle, de secrets commerciaux, d'identifiants de connexion ou de données clients : c'est ce que recherchent les attaquants. Les entreprises doivent donc identifier leurs données les plus sensibles et savoir exactement où elles se trouvent. Une fois les données classées, elles doivent être étiquetées et leur accès restreint. Si les responsables savent exactement lesquelles de leurs données sont particulièrement précieuses, ils peuvent les protéger contre les attaques.
2. Former les employés contre l'ingénierie sociale
L'éducation et la sensibilisation des employés sont l'une des mesures les plus importantes pour la sécurité de l'entreprise. Le phishing par e-mail reste le moyen le plus courant de diffuser des ransomwares. Il est donc important que les employés sachent reconnaître les tentatives de phishing. Les entreprises doivent définir des processus simples que les employés peuvent utiliser pour les signaler aux responsables de la sécurité de l'entreprise.
3. Technologies de sécurité
Les filtres de sécurité des e-mails, les logiciels antivirus et les pare-feu aident à bloquer les souches de logiciels malveillants connus et répandus. Les entreprises doivent également déployer des solutions Endpoint Detection and Response (EDR) et Advanced Threat Protection (ATP) pour rationaliser la détection et le blocage des ransomwares.
4. Gardez les systèmes d'exploitation et les applications à jour
Les systèmes d'exploitation et les applications non corrigés sont des proies faciles pour les attaquants et une tête de pont pour de nouvelles attaques. Par conséquent, les entreprises doivent s'assurer que leurs systèmes d'exploitation et logiciels sont toujours mis à jour avec les dernières mises à jour.
5. Désactiver les macros
Un certain nombre de souches de rançongiciels sont envoyées sous forme de pièces jointes Microsoft Office. Lorsqu'un utilisateur ouvre la pièce jointe, il est invité à activer les macros pour voir le contenu du document. Une fois que l'utilisateur active les macros, la charge utile réelle du ransomware est téléchargée et exécutée. Par conséquent, les macros doivent être désactivées par défaut et les employés informés que leur demander d'activer les macros est un signal d'alarme.
6. Gérer les droits d'accès
Les utilisateurs ne doivent disposer que du nombre de droits d'accès dont ils ont besoin pour effectuer leurs tâches. Les droits administratifs doivent être limités autant que possible. Il convient également de s'assurer que les utilisateurs administratifs doivent confirmer toutes les actions nécessitant des droits élevés.
7. Segmenter les réseaux
La segmentation du réseau permet de limiter les dommages en cas d'infection par un ransomware. Cela empêche le malware de se propager sur le réseau de l'entreprise.
8. Tests de pénétration
Les tests d'intrusion offrent aux entreprises la possibilité de trouver des vulnérabilités dans le système et de les corriger avant qu'elles ne puissent être exploitées par des attaquants. Les tests de pénétration doivent être effectués au moins une fois par an. Un test d'intrusion peut également être utile lorsqu'une modification majeure est apportée au réseau de l'entreprise, comme un changement de système d'exploitation ou l'ajout d'un nouveau serveur.
9. Sauvegarde en dernier recours
Les sauvegardes effectuées régulièrement et dont la fonctionnalité est testée font partie intégrante de l'architecture de sécurité. Ils contribuent également à la disponibilité des processus métier. La stratégie bien connue 3-2-1 est recommandée pour les sauvegardes : elle recommande trois copies des données à protéger sur deux types de supports de stockage différents. L'une des copies est hors site ou hors ligne. Cependant, les sauvegardes ne sont que le dernier filet de sécurité lorsque tout le reste a déjà mal tourné et ne constituent en aucun cas une stratégie de sécurité satisfaisante en soi.
10. Pratiquez la vraie chose
Les entreprises doivent exécuter un incident de ransomware simulé et pratiquer les processus de récupération. Enfin et surtout, l'objectif est de déterminer combien de temps l'organisation a besoin avant qu'elle ne soit à nouveau pleinement opérationnelle. Ces exercices montrent aux managers sur quoi se concentrer pour améliorer leurs processus de récupération. Souvent oubliée : se préparer à une urgence passe aussi par l'élaboration d'une stratégie de communication interne et externe. Quiconque communique clairement en cas d'urgence est perçu comme un partenaire et un fournisseur fiable.
Des agents de sécurité 24h/7 et XNUMXj/XNUMX renforcent la cyber-résilience
Radar Cyber Security, Ali Carl Gülerman, PDG et directeur général (Image: Radar Cyber Security).
Lorsqu'il s'agit de se protéger contre les cyberattaques, la plupart des organisations manquent aujourd'hui principalement de personnel et d'expertise. Pour une prévention complète contre de telles attaques, y compris les ransomwares, et une réponse rapide, les entreprises devraient donc envisager leur propre centre de cyberdéfense ou CDC en tant que service, car cela peut renforcer massivement leur cyber-résilience. Des milliers de cybermenaces sont créées chaque minute. La technologie peut filtrer bon nombre des menaces connues. Mais seul un centre de cyberdéfense 24h/7 et XNUMXj/XNUMX peut aider les organisations à analyser le grand nombre d'alertes, de nouvelles menaces et d'anomalies identifiées par l'infrastructure de sécurité technique.
Centre de cyberdéfense ou SOC
Un centre de cyberdéfense - également appelé centre d'opérations de sécurité (SOC) - met en relation les experts, les processus et les technologies de la sécurité informatique. Au CDC, des experts formés examinent en permanence le trafic Internet, les réseaux, les ordinateurs de bureau, les serveurs, les terminaux, les bases de données, les applications et les autres systèmes informatiques à la recherche de signes d'incident de sécurité. En tant que centre de commandement de la sécurité d'une entreprise, le CDC est responsable de la surveillance, de l'analyse et de l'optimisation continues de la situation de sécurité afin de détecter rapidement les attaques et d'initier les contre-mesures appropriées en cas d'atteinte à la sécurité.
Les ransomwares resteront l'un des plus grands risques de sécurité pour les entreprises. Une mesure seule ne suffit pas pour se protéger. Mais avec une approche multicouche de formation continue des employés, des processus robustes pour assurer la continuité des activités, des technologies modernes et l'aide professionnelle d'experts en sécurité, les risques et les conséquences possibles des attaques d'extorsion peuvent être considérablement réduits.
Plus sur RadarCS.com
À propos de Radar Cyber Security
Radar Cyber Security exploite l'un des plus grands centres de cyberdéfense d'Europe au cœur de Vienne, basé sur la technologie propriétaire Cyber Detection Platform. Poussée par la forte combinaison d'expertise et d'expérience humaines, associée aux derniers développements technologiques issus de dix années de travail de recherche et développement, la société combine des solutions complètes pour les défis liés à la sécurité informatique et OT dans ses produits RADAR Services et RADAR Solutions. Le cœur est la meilleure plate-forme de cyberdétection, la plate-forme RADAR, qui utilise l'orchestration, l'automatisation et la réponse pour surveiller quotidiennement l'infrastructure des leaders du marché dans toutes les industries et dans le secteur public. Une approche holistique est poursuivie qui couvre à la fois les paysages IT et OT des entreprises et des autorités. Cela fait de Radar Cyber Security un centre de savoir-faire unique en matière de cybersécurité au centre de l'Europe.