Les rançongiciels (ou ransomware)

Ce type d’attaque est généralement consécutif à une intrusion suite à l’exploitation de failles de sécurité ou d’une sécurisation insuffisante des systèmes exposés sur Internet (NAS, RDP, VPN…), ou encore par la compromission d’un compte ou d’une machine du système d’information suite à un hameçonnage (phishing) ou l’infection par un programme malveillant (virus).

Durant l’attaque, les cybercriminels cherchent souvent à détruire les sauvegardes de la victime pour l’empêcher de restaurer ses données.

Les attaques sont généralement déclenchées durant une période de moindre activité de la victime (la nuit, le week-end…) pour maximiser les chances qu’elles ne puissent pas être détectées rapidement et interrompues.

Les attaquants peuvent mettre en œuvre d’autres moyens de pression sur la victime : revendication publique de l’attaque, attaque en déni de service (DDoS) contre son site Internet…

Une attaque par rançongiciel peut conduire à paralyser complètement l’activité de l’organisation qui en est victime.

• Coupez les connexions à internet du réseau attaqué.

• Déconnectez les machines touchées du réseau informatique.

• Débranchez vos sauvegardes du réseau si elles y sont connectées.

• N’éteignez pas les machines touchées au risque de détruire des éléments d’investigation. privilégiez une mise en veille prolongée si le chiffrement est en cours.

• Ne démarrez pas les machines éteintes pour éviter qu’elles ne soient à leur tour compromises.

• Alertez immédiatement votre service ou prestataire informatique si vous en disposez.

• Pilotez la crise :

• Constituez une équipe de gestion de crise avec les différents acteurs concernés ;

• Tenez un registre des évènements et actions réalisées ;

• Gérez votre communication avec le juste niveau de transparence ;

• Mettez en œuvre des solutions de secours (plan de continuité d’activité – plan de reprise d’activité…).

• Ne payez pas la rançon réclamée car vous n’êtes pas certain que les cybercriminels tiendront parole et vous financeriez leur activité.

• Conservez ou faites conserver les preuves par un professionnel (journaux, copies ou disques des matériels touchés…) qui seront des éléments d’investigation.

• Déposez plainte avant la réinstallation des équipements touchés (et dans les 72 heures si vous disposez d’une assurance « cyber »).

• Déclarez le sinistre auprès de votre assureur qui peut vous dédommager, voire vous apporter une assistance selon votre niveau de couverture.

• Notifiez l’incident à la Cnil dans les 72 heures si des données personnelles ont pu être consultées, modifiées ou détruites par les cybercriminels.

• Identifiez l’origine de l’attaque et prenez les mesures nécessaires pour qu’elle ne puisse pas se reproduire.

• Identifiez les activités de l’attaquant au sein de votre système informatique.

• Évaluez et vérifiez l’étendue de l’intrusion à d’autres équipements de votre système informatique. identifiez les informations perdues ou compromises.

• Réalisez une analyse antivirale complète (scan) des équipements touchés.

• Recherchez si une solution de déchiffrement existe. le site No More Ransom propose des solutions qui peuvent fonctionner dans certains cas.

• Réinstallez les systèmes touchés puis restaurez les données depuis une sauvegarde antérieure à l’attaque réputée saine.

• Changez tous les mots de passe d’accès aux équipements et systèmes qui ont pu être compromis.

• Mettez à jour l’ensemble de vos logiciels et équipements après leur réinstallation et avant de les remettre en service.

• Faites une remise en service progressive et contrôlée en surveillant son fonctionnement pour pouvoir détecter toute nouvelle attaque.

En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

• Atteinte à un système de traitement automatisé de données (STAD) : article 323-1 du code pénal ;

• Extorsion de fonds : article 312-1 du code pénal ;

• Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite : article 226-18 du code pénal.