Les cyberattaques ont explosé au troisième trimestre avec une hausse de 50 %. Avec le télétravail, les attaques aux ransomwares contre les collectivités et les entreprises sont, en effet, plus nombreuses. Elles ont pour but de demander des rançons contre la restitution des données essentielles rendues inaccessibles par chiffrement. Les victimes souhaitant récupérer leurs données rapidement paient les rançons. Or, rien ne leur garantit qu’elles récupèrent leurs données. L’ANSSI, ou Agence Nationale de la Sécurité des Systèmes d’Information, déconseille fortement de payer les rançons. D’ailleurs, il est possible de récupérer les données, redémarrer l’activité et limiter les dommages, sans payer. Voici 4 conseils pratiques, en ce sens.
Identification du malware et isolation
Une fois qu’on constate que le système est infecté, il faut tout déconnecter (appareils mobiles, ordinateurs, périphériques) et réunir les preuves. Cela évite l’extension de l’attaque aux appareils sains. En effet, le rançongiciel peut pénétrer par plusieurs téléphones et ordinateurs. Il peut aussi s’activer plus tard, comme un virus dormant. Tout dépend de l’ampleur et de la portée de l’incident. L’objectif est d’accélérer le retour à la normale et de minimiser les dégâts. Pour ce faire, il faut préserver l’accès utilisateur, identifier le virus pour connaître son mode propagation, comprendre son impact en évaluant les zones infectées. Cela permet de déterminer les options de désinfection et les types de fichiers chiffrés.
Gestes pratiques et efficaces
Quand un système est infecté par un ransomware, il faut éviter de redémarrer l’ordinateur, car il risque de chiffrer les fichiers. Après déconnexion du système, il est préférable de le mettre en veille. Les exécutables peuvent être bloqués et redémarrer. Le responsable informatique doit suspendre la maintenance automatique des systèmes, pour éviter qu’ils se mélangent aux fichiers indispensables à l’enquête. Cela inclut les fichiers temporaires du ransomware ou journaux sur le point initial d’infection. Il faut aussi éviter de restaurer le système, car les sauvegardes peuvent avoir été contaminées.
Cellule de crise
Créer une cellule de crise est primordial pour reprendre l’activité rapidement. Dirigée par le responsable informatique, elle rassemble les collaborateurs, les membres de la direction de la communication, financière et générale. Ensemble, ils imaginent les impacts du rançongiciel pour anticiper les actions de contre-attaque adaptées. Une communication régulière en interne est essentielle pour faire part des consignes de sécurité aux collaborateurs et les rassurer sur les fuites ou pertes de données. Une bonne communication externe est aussi importante (médias, partenaires, clients) pour anticiper les questions qu’ils pourront poser. Au besoin, prévoyez des communiqués de presse factuels. Cela évite les rumeurs. L’image de l’entreprise sera ainsi protégée, ce qui rassure le marché et freine l’élan des médias.
Recourir aux services des experts
L’avis d’un expert est vivement requis au début de l’attaque au ransomware. Vous pouvez vous adresser à la CNIL, à l’ANSSI, aux assureurs ou à des experts en récupération de données, reprise d’activité et cybersécurité. Cela offre une vision globale de l’attaque. L’entreprise peut également faire appel à un prestataire informatique pour la réintégration des données et l’identification des sauvegardes infectées.
