Le CHU de Rouen, le groupe M6, l’entreprise Fleury Michon… Le point commun entre ces trois entités aux activités totalement différentes ? Au cours de l’année 2019, elles ont été victimes d’une cyberattaque bien particulière : un rançongiciel. Après avoir bloqué tout ou partie de leurs systèmes informatiques causant pour certains un arrêt de la production, les cyberpirates ont exigé le paiement d’une rançon pour apporter le remède informatique. Et, chose rare dans le domaine de la cybersécurité, ces entreprises ont décidé de témoigner de leur expérience pour aider à la prise de conscience sur les dangers de ce nouveau fléau informatique.
Elles ont participé à l’élaboration d’un guide pratique réalisé par l’ANSSI et la direction des affaires criminelles et des grâces (DACG) du ministère de la Justice. L'ouvrage "Attaques par rançongiciels, tous concernés. Comment les anticiper et réagir en cas d’incident", est rendu public ce vendredi 4 septembre.
Il y a urgence. Selon l’ANSSI, parmi les actes de cybercriminalité recensés, les rançongiciels représentent aujourd’hui la menace la plus sérieuse. "Ils augmentent en nombre, en fréquence, en sophistication et peuvent être lourds de conséquences sur la continuité d’activité voire la survie de l’entité victime", soulignent les auteurs dans la préface de leur guide. Depuis le début de l’année, l’agence de cybersécurité a compté sur son périmètre 104 cas d’attaques par rançongiciels. Soit une forte augmentation par rapport à 2018 avec 69 incidents comptabilisés.
Des rançons de plusieurs millions d'euros
Le phénomène est évidemment mondial avec des entreprises et des institutions touchées dans tous les pays, comme le démontre une autre l’étude de l’ANSSI ("Etat de la menace rançongiciel", février 2020). En mars 2019, l’industriel norvégien producteur d’aluminium Norsk Hydro a été forcé d’arrêter une grande partie de ses usines suite à une attaque de cette nature. En mai 2019, c’était le tour de la ville de Baltimore aux Etats-Unis d’être la cible d’un ransomware l’empêchant de fournir de nombreux services et bloquant sa plateforme de paiement en ligne.
La facture pour les entreprises ciblées peut être très salée. Si le montant habituel des rançons s’élève à plusieurs centaines ou milliers d’euros, il peut atteindre jusqu’à plusieurs millions d’euros en fonction des moyens financiers de l’entité victime. Les préjudices sont multiples. Une attaque de ce type peut entraîner un arrêt de la production, une chute du chiffre d’affaires, des risques juridiques liés au RGPD et également une perte de confiance des clients…
Déconnecter les systèmes infectés
Dans leur guide, l’ANSSI et la DACG du ministère de la Justice précisent plusieurs recommandations pour réduire le risque d’attaque. En priorité, les entreprises doivent impérativement sauvegarder leurs données et mettre à jour leurs systèmes antivirus. Une bonne sécurité passe également par la maîtrise des accès Internet. La mise en oeuvre d’une passerelle Internet sécurisée permet ainsi de bloquer les flux illégitimes. Quand un salarié navigue sur un site web compromis, il peut provoquer à son insu l’installation automatique du programme malveillant sur son poste de travail.
Le guide récapitule également les bons réflexes à adopter pour réagir en cas d’attaque. La réactivité est cruciale. "Les premières actions techniques proposées, quand elles sont mises en oeuvre rapidement, permettent de réduire les pertes liées à une telle attaque", détaille le document. La priorité : éviter la propagation du rançongiciel au reste des équipements informatiques. Comment ? En isolant les équipements infectés du système d’information et en déconnectant au plus vite du réseau les supports de sauvegardes.
Faut-il payer ou non la rançon ? Le guide conseille de ne jamais payer le rançonneur. D’une part, car le paiement ne garantit pas que le pirate apportera la solution de déchiffrement des données et d’autre part, ce paiement incite les cybercriminels à poursuivre leurs activités frauduleuses. Il est par contre fortement recommandé de déposer plainte auprès des services de police ou de gendarmerie. "Le dépôt de plainte permet de réaliser une enquête suivie d’une « chasse aux clés » à l’issue de laquelle il sera éventuellement possible de déchiffrer les données altérées", indique le guide.
