Les recommandations de l’ANSSI ou du FBI sur la façon de combattre ces logiciels de rançon sont aujourd’hui plus que jamais d’actualité. Voici comment les décoder et les mettre en œuvre.

1. Déployez les correctifs de sécurité, et sans attendre !
Les éditeurs de logiciels publient régulièrement des correctifs visant à combler des failles de sécurité repérées dans leurs systèmes. Leur déploiement devrait être votre première ligne de défense contre les logiciels de rançon. Et ce, sans attendre ! Les pirates informatiques misent en effet bien souvent sur la faible réactivité des entreprises en la matière, et exploitent des failles identifiées pour lesquelles des correctifs existent mais n’ont pas encore été installés.

2. Mettez à jour vos logiciels antivirus
Les experts en sécurité savent désormais que la plupart des logiciels de rançon ne peuvent être stoppés par des solutions antivirus traditionnelles. Cependant, il serait dommage d’être la victime d’une menace d’ores et déjà identifiée et gérable par votre fournisseur d’antivirus. Pour ce faire, vous devez régulièrement vous assurer que la base de données de définition de virus est à jour sur tous vos postes de travail.

3. Octroyez le minimum nécessaire de privilèges
Tous vos salariés n’ont pas besoin de privilèges administrateur pour réaliser leurs tâches quotidiennes, loin de là ! C’est même potentiellement dangereux : le ransomware Petya, par exemple, nécessitait des privilèges administrateur pour s’exécuter, et était totalement inoffensif dans le cas contraire. Les solutions de gestion des privilèges pourront vous aider à trouver le bon équilibre entre privilèges accordés, productivité de l’utilisateur et sécurité de l’entreprise. En réduisant au plus juste l’accès aux ressources IT de l’entreprise, vous luttez contre la cybercriminalité.

4. Contrôlez les accès des utilisateurs, mais aussi des applications
Les solutions qui ne gèrent que le contrôle d’accès des utilisateurs aux données ne sont pas suffisantes. Un utilisateur aura toujours le droit de modifier au moins un document dans un espace de stockage partagé : une porte ouverte pour les logiciels de rançon, par laquelle s’infiltrer et contaminer l’ensemble des fichiers. Une approche différente du contrôle d’accès doit être adoptée, qui empêche les applications non autorisées à modifier un document. Il s’agira par exemple de ne permettre qu’à Microsoft Word de modifier les documents en .doc et .docx.

5. Définissez des règles d’utilisation des logiciels
Lutter contre les ransomware passe également par la définition, le déploiement et l’application de règles qui gouverneront le comportement de vos logiciels. Ces règles peuvent limiter leurs capacités à exécuter, créer, modifier ou simplement lire des fichiers situés dans certains dossiers, y compris les dossiers temporaires des navigateurs web. Attention cependant à ne dégrader l’expérience de vos utilisateurs, qui ont parfois besoin, pour travailler correctement, de décompresser ou exécuter des fichiers, ou d’activer des macros.

6. Désactivez les macros de vos fichiers Microsoft Office
Désactiver les macros des fichiers Microsoft, pour tous les utilisateurs qui n’en ont pas besoin, va bloquer de nombreux types de logiciels malveillants, y compris les logiciels de rançon. Le ransomware Locky, par exemple, qui se propage principalement au travers de la pièce jointe d’un spam, incite l’utilisateur à activer les macros d’un document Word qui va ensuite introduire le logiciel malveillant sur la machine.

7. Définissez une liste blanche d’applications
La définition d’une liste blanche permet de s’assurer que seules les applications connues et reconnues comme fiables peuvent s’exécuter sur les postes de travail. Les logiciels de rançon n’en faisant pas partie, ils sont inefficaces. Le défi réside ici dans la création d’une liste à la fois exhaustive pour les utilisateurs et sécurisée pour les entreprises, et dans sa mise à jour régulière.

8. Confinez les utilisateurs dans un environnement virtualisé ou conteneurisé
Dans la plupart des cas, un logiciel de rançon est distribué via la pièce jointe d’un email. En confinant les utilisateurs au sein d’un environnement virtualisé ou conteneurisé, tout logiciel malveillant qui parvient à atteindre le système de l’utilisateur sera stoppé net dans sa lancée. Il ne pourra en effet pas remonter à son environnement de travail principal et l’affecter.

9. Effectuez régulièrement des sauvegardes de vos données sensibles
La sauvegarde fréquente et régulière de vos données sensibles vous permettra d’assurer un retour rapide à la normale, et donc la continuité de vos opérations, en cas d’attaque de ransomware. Ce qui a très peu de chance de se produire si vous avez correctement appliqué les conseils précédents.

Par Jean-Benoît Nonque, Vice-Président France, Europe du Sud, Moyen-Orient et Afrique, Ivanti