Protégez et sécurisez vos données contre les cyberattaques
Protection des données
Sécurité des données
Connaissances des données
Les 5 étapes de la cyber-résilience
Cloud et SaaS
Entreprise
Secteurs d’activité
FICHE CONSEILS
Même si vous disposez d’un plan de reprise après sinistre, la réponse à des cyberattaques destructrices nécessite une approche différente. La raison : Vous devez être en mesure de réagir rapidement, d’enquêter efficacement sur l’origine de l’attaque et de neutraliser les menaces afin d’assurer une reprise en toute sécurité.
Composez tout d’abord une équipe interfonctionnelle avec toutes les parties prenantes et chargez-la de la résilience face aux ransomwares. Les incidents liés aux ransomwares affectent l'ensemble de l'entreprise. Il est donc essentiel que chacun connaisse son rôle en cas de cyberattaque. Envisagez de réaliser un exercice de simulation réaliste avec l’ensemble des parties prenantes, d’élaborer une politique organisationnelle sur les ransomwares (et de la maintenir à jour), ainsi que de définir vos stratégies de sauvegarde cyber et de résilience opérationnelle.
Étudiez les opérateurs de ransomwares ainsi que leurs outils, leurs techniques et leurs procédures (TTP) en collectant les renseignements issus de votre secteur d’activité ou de votre zone géographique Consignez et conservez les coordonnées de tous les membres de votre équipe de réponse, de préférence via un canal de communication hors bande. Mettez en place un canal dédié pour signaler tout comportement suspect s’apparentant à une attaque par ransomware. Constituez une équipe de réponse aux crises de cybersécurité et, si nécessaire, faites appel aux services d’une entreprise spécialisée dans la réponse aux incidents.
Identifiez et corrigez les vulnérabilités des ressources critiques. Renforcez vos systèmes en donnant la priorité aux systèmes critiques et aux vecteurs d’attaque utilisés par les groupes de ransomware. Veillez à ce que les identifiants et les droits d’accès sur l’ensemble des systèmes soient gérés selon le principe du moindre privilège. Segmentez le réseau pour limiter la propagation des ransomwares et augmenter vos chances de détecter les mouvements latéraux. Identifiez les référentiels de données mal sécurisés qui contiennent des données sensibles au sein de votre entreprise.
Assurez-vous que les systèmes de sauvegarde sont suffisamment isolés par air-gap, que leurs tâches sont séparées et que les magasins de données sont immuables pour empêcher des acteurs malveillants de les corrompre ou de les supprimer. Utilisez l’authentification multifacteur (MFA) sur les comptes administrateur de sauvegarde et le contrôle d’accès basé sur les rôles (RBAC). Créez et maintenez des images de référence (« golden master ») des systèmes critiques pour accélérer la reconstruction. Assurez-vous également que votre système de sauvegarde est capable de prendre en charge les fonctions de cybersécurité nécessaires pour répondre à un incident de type ransomware.
Identifiez les lacunes de vos mesures actuelles de prévention et de détection contre les techniques ATT&CK utilisées par les gangs de ransomware. Mettez en place des mécanismes pour détecter les anomalies sur les systèmes de fichiers des terminaux qui correspondent à des attaques par ransomware ou de type wiper, notamment le chiffrement ou la suppression de fichiers Déployez des filtres de passerelle de messagerie pour bloquer les e-mails contenant des indicateurs malveillants connus Utilisez des applications qui permettent de répertorier/d’établir une liste blanche des ressources critiques pour vous assurer que seuls les logiciels autorisés peuvent s’exécuter.
Effectuez de manière proactive des recherches dans les données historiques afin de détecter d’éventuelles compromissions. Mettez en place un mécanisme pour détecter les changements inhabituels dans l’utilisation du processeur (CPU) et du disque. Identifiez les protocoles réseau inhabituels, notamment I2P ou TOR, qui sont connus pour être utilisés par les groupes de ransomware. Identifiez également les connexions réseau qui utilisent des ports ou des destinations connus pour servir aux activités de commande et de contrôle en cas d’attaque par ransomware ou de type wiper.
Identifiez et regroupez les alertes similaires liées aux ressources impactées. Faites une première estimation des pertes (périmètre d’impact) liées à l’incident. Identifiez les environnements de test utilisés pour l’exfiltration de données et isolez les hôtes infectés des réseaux filaires et sans fil. Activez la salle blanche, restaurez la dernière sauvegarde des systèmes impactés et redéployez des outils de détection/réponse fiables sur les systèmes présents dans cet environnement sécurisé. Recherchez des preuves des mécanismes de persistance laissés par les attaquants et identifiez les vulnérabilités des systèmes qui ont été exploitées lors de l’attaque.
Communiquez avec les parties prenantes internes, avec la presse pour éviter toute spéculation préjudiciable, avec les personnes concernées par les données compromises conformément aux obligations réglementaires et légales, ainsi qu’avec les autorités de régulation elles-mêmes. Informez votre compagnie d’assurance, les forces de l’ordre, ainsi que l’équipe CERT nationale ou sectorielle compétente.
Lisez le livre blanc
9100083-001-FR
