Victime d’un ransomware : comment réagir ?

Lorsqu’une entreprise est victime d’un ransomware, elle doit évaluer la situation pour savoir s’il faut payer, ou pas, la rançon. Les forces de l’ordre ne négocient pas avec les criminels, mais les entreprises doivent tout de même prendre en compte certains éléments. Il est important d’envisager toutes les possibilités, et d’essayer de prévoir la suite : par exemple, comment vont réagir les rançonneurs à vos mesures, et comment se positionner pour faire face aux possibles attaques suivantes. Si votre entreprise est victime d’une demande de rançon, voici 7 règles fondamentales à suivre.

1. Il faut tenir compte du contexte. L’utilisation de ransomware est une source de profit importante pour les pirates. D’après les analyses, l’utilisation de ransomware aurait rapporté plus d’un milliard de dollars aux rançonneurs en 2016. Au cours de cette année, la compagnie Maersk a estimé que l’attaque via le ransomware NotPetya leur a coûté 300 millions de dollars. Dans le même temps, WannaCry a touché plus de 300 000 personnes dans 150 pays différents.

2. Il est important de considérer toutes les options, et de n’en écarter aucune. Pour vous aider, vous pouvez vous poser les questions suivantes : Quelle est la valeur des données qui ont été perdues ? Existe-il des sauvegardes de ces données ? A quel point les données perdues étaient importantes pour l’entreprise ? Est-ce que la perte de ces données peut menacer la vie de certaines personnes ? (par exemple, dans le cas où le dossier médical d’une personne aurait été perdu.)

3. Il est nécessaire de comprendre tout ce qu’implique le fait de payer une rançon. Votre objectif doit être la mise en place d’une posture de sécurité suffisamment résiliente pour que vous n’ayez plus jamais à payer une rançon. Cependant, il existe des cas extrêmes où payer est la seule solution raisonnable. Par exemple, les hôpitaux peuvent faire le choix de payer, si la vie d’un patient est en jeu.

4. Dans le cas où vous décideriez de payer une rançon, il faut demander aux rançonneurs une preuve montrant qu’ils sont capables de décrypter vos données. Pour cela, il faut leur demander de décrypter une petite partie de vos données. Il est important de vérifier que les pirates disposent des capacités techniques nécessaires à la restauration de vos données. En effet, il est possible que le ransomware utilisé soit défectueux. Dans le cas où la routine de cryptage n’a pas été mise en place correctement, il sera techniquement impossible de décrypter vos données.

5. N’hésitez pas à essayer de négocier. Les pirates ont tendance à négocier avec leurs victimes. Par exemple, lorsque Nayana Communication a été victimes d’une demande de rançon, leur PDG a réussi à obtenir une réduction. Nayana devait payer 1,6 million de dollars, mais après négociations ils n’ont payé qu’un million de dollars. Des cas différents montrent que trois groupes de pirates sur quatre ont accepté d’accorder des délais supplémentaires, ou de diminuer un peu la rançon après avoir été contacté par des chercheurs qui se faisaient passer pour des victimes. Si votre société décide de payer, prenez donc en compte qu’il est possible de marchander.

6. Attention, le fait de payer une rançon ne garantit pas la récupération de vos données. Certains pirates vous permettront de récupérer vos données, mais ce ne sera pas le cas de tous. Selon une étude récente réalisé par Ponemon, 45% des pirates n’ont pas fourni de clef de décryptage après le paiement de la rançon. Et même s’ils venaient à respecter leur parole, rien ne les empêche de revenir vous rançonner puisque dorénavant, ils savent que vous paierez.

7. Menez une analyse forensique (analysez votre système d’information après incident). Ce type d’analyse essaiera de trouver un moyen de restaurer vos données. Cependant, il faut garder à l’esprit que cela demandera du temps et conduira à des résultats limités si les rançonneurs ont bien réalisé leur attaque. Dans la majorité des cas d’attaques via ransomware, les analyses forensiques seront en mesure de découvrir comment les attaquants sont entrés, mais ne seront pas capables de restaurer les données cryptées. Il est conseillé aux entreprises souhaitant utiliser cette solution d’aller visiter le site web No more Ransom Project. Ce site dispose de la plus grande liste d’outils de décryptage disponible.

Quelle que soit la décision prise pour gérer cette attaque, il est capital de mettre immédiatement en place un plan pour renforcer votre sécurité afin de limiter les risques d’être à nouveau victime d’une attaque.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: