8 bonnes pratiques pour une cyber-résilience efficace

1. Soyez prêts

Composez tout d’abord une équipe interfonctionnelle avec toutes les parties prenantes et chargez-la de la résilience face aux ransomwares. Les incidents liés aux ransomwares affectent l’ensemble de l’entreprise. Il est donc essentiel que chacun connaisse son rôle en cas de cyberattaque. Organisez un exercice de simulation réaliste avec toutes les parties prenantes, élaborez une stratégie relative aux ransomwares à l’échelle de l’entreprise (et tenez-la à jour), et définissez vos stratégies de sauvegarde et de résilience opérationnelle en cas de cyberattaque.

2. Soyez proactif

Étudiez les opérateurs de ransomwares ainsi que leurs outils, leurs techniques et leurs procédures (TTP) en collectant les renseignements issus de votre secteur d’activité ou de votre zone géographique. Consignez et conservez les coordonnées de tous les membres de votre équipe de réponse, de préférence via un canal de communication hors bande. Mettez en place un canal dédié pour signaler tout comportement suspect s’apparentant à une attaque par ransomware. Constituez une équipe de réponse aux crises de cybersécurité et, si nécessaire, faites appel aux services d’une entreprise spécialisée dans la réponse aux incidents.

3. Réduisez la surface d’attaque

Identifiez et corrigez les vulnérabilités des ressources critiques. Renforcez la sécurité de vos systèmes en privilégiant les systèmes critiques et les vecteurs d’attaque que les groupes de ransomwares utilisent. Veillez à ce que les identifiants et les droits d’accès sur l’ensemble des systèmes soient gérés selon le principe du moindre privilège. Segmentez le réseau pour limiter la propagation des ransomwares et augmenter vos chances de détecter les déplacements latéraux. Identifiez les référentiels de données mal sécurisés qui contiennent des données sensibles au sein de votre entreprise.

4. Protégez vos sauvegardes

Assurez-vous que les systèmes de sauvegarde sont suffisamment isolés par air-gap, que leurs tâches sont séparées et que les magasins de données sont immuables pour empêcher des acteurs malveillants de les corrompre ou de les supprimer. Utilisez l’authentification multifacteur (MFA) sur les comptes administrateur de sauvegarde et le contrôle d’accès basé sur les rôles (RBAC). Créez et maintenez des images de référence (« golden master ») des systèmes critiques pour accélérer la reconstruction. Assurez-vous également que votre système de sauvegarde est capable de prendre en charge les fonctions de cybersécurité nécessaires pour répondre à un incident de type ransomware.

5. Renforcez votre protection contre les ransomwares

Identifiez les lacunes de vos mesures actuelles de prévention et de détection contre les techniques ATT&CK utilisées par les gangs de ransomware. Mettez en place des mécanismes pour détecter les anomalies sur les systèmes de fichiers des terminaux qui indiquent des attaques par ransomware ou de type wiper, notamment le chiffrement ou la suppression de fichiers. Déployez des filtres de passerelle de messagerie pour bloquer les e-mails comportant des indicateurs malveillants connus. Utilisez des applications qui permettent de répertorier/d’établir une liste blanche des ressources critiques pour vous assurer que seuls les logiciels autorisés peuvent s’exécuter.

6. Renforcez votre système de détection des ransomwares

Recherchez de manière proactive dans les données historiques pour trouver des compromis. Mettez en œuvre un mécanisme pour détecter les changements inhabituels dans l’utilisation du processeur et du disque. Identifiez les protocoles réseau inhabituels, notamment I2P ou TOR, qui sont connus pour être utilisés par les gangs de ransomware. Identifiez également les connexions réseau qui utilisent des ports ou des destinations connus pour servir aux activités de commande et de contrôle en cas d’attaque par ransomware ou de type wiper.

7. Répondez à l’incident

Identifiez et regroupez les alertes similaires liées aux ressources impactées. Faites une première estimation des pertes (impact) liées à l’incident. Identifiez les environnements de test utilisés pour l’exfiltration de données et isolez les hôtes infectés des réseaux filaires et sans fil. Activez la salle blanche, restaurez la dernière sauvegarde des systèmes impactés et redéployez des outils de réponse/détection fiables sur les systèmes présents dans cet environnement sécurisé. Recherchez des preuves des mécanismes de persistance laissés par les attaquants et identifiez les vulnérabilités des systèmes qui ont été exploitées lors de l’attaque.

8. Communiquez

Communiquez avec les parties prenantes internes, avec la presse pour éviter toute spéculation préjudiciable, avec les personnes concernées par les données compromises conformément aux obligations réglementaires et légales, ainsi qu’avec les autorités de régulation elles-mêmes. Informez votre compagnie d’assurance, les forces de l’ordre, ainsi que l’équipe CERT nationale ou sectorielle compétente.

Lisez le livre blanc

© 2025 Cohesity Inc. Tous droits réservés.
Cohesity, le logo Cohesity, SnapTree, SpanFS, DataPlatform, DataProtect, Helios et les autres marques de Cohesity sont des marques commerciales ou des marques déposées de Cohesity, Inc. aux États-Unis et/ou dans le monde. Les autres noms d’entreprises et de produits peuvent être des marques déposées des entreprises respectives auxquelles ils sont associés. Ce document (a) est destiné à vous fournir des informations sur Cohesity, ses activités et ses produits ; (b) est réputé véridique et exact au moment de sa rédaction, mais peut être modifié sans préavis ; et (c) est fourni « EN L’ÉTAT ». Cohesity décline toute responsabilité quant aux conditions, déclarations ou garanties, expresses ou implicites, de quelque nature que ce soit.

cohesity.com
1-855-926-4374
2625 Augustine Drive, Santa Clara, CA 95054
9100083-001-FR