Face aux attaques des entreprises par des logiciels de rançonnage, l’Etat tire la sonnette d’alarme

Face à l’augmentation sans précédent des attaques par rançongiciels (ransomware), l’Agence nationale en charge de la sécurité des systèmes d’information (Anssi) et le Ministère de la justice publient un guide afin de sensibiliser les entreprises et les collectivités. Les organisations – depuis le comité exécutif jusqu’aux collaborateurs – doivent se saisir de ces questions.

1 attaque d’entreprise par rançonnage tous les 2 jours

Depuis le début de l’année, l’Anssi a traité 104 attaques par rançongiciels, soit 1 attaque tous les 2 jours. Dès lors, l’Agence en partenariat avec la Direction des Affaires criminelles et des grâces (DACG) du Ministère de la Justice, publie le guide de sensibilisation et de prévention « Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? »

« Les acteurs privés comme publics sont encore trop peu conscients du risque et de leur propre vulnérabilité »

Dans ce guide, le Groupe M6, le CHU de Rouen et Fleury Michon, tous trois victimes d’un rançongiciel en 2019, livrent leur témoignage. Les attaques augmentent en nombre, en fréquence et en sophistication. Les conséquences sont de plus en plus dévastatrices, sur la continuité d’activité, voire pour la survie de l’organisation victime. « Les acteurs privés comme publics sont encore trop peu conscients du risque et de leur propre vulnérabilité » estime Guillaume Poupard, directeur général de l’Anssi. « Il est urgent de mettre en œuvre des mesures pour prévenir les attaques par rançongiciels et d’apprendre à bien réagir lorsqu’il est trop tard » propose François Deruty, sous-directeur Opérations de l’Anssi.

Le guide s’adresse en particulier aux dirigeants, ainsi qu’aux responsables informatiques des entreprises et des collectivités. Parmi ses recommandations, le guide insiste sur l’importance du dépôt de plainte en cas d’attaque par rançongiciel. « Le dépôt de plainte auprès des services de police ou de gendarmerie permet l’ouverture d’une enquête qui sera supervisée par des magistrats spécialisés et à l’issue de laquelle il sera éventuellement possible de déchiffrer les données altérées » explique Catherine Pignon, directrice de la DACG. « Déposer plainte peut surtout permettre d’identifier, interpeller et présenter les auteurs de l’attaque à la Justice, afin de mettre un terme au sentiment d’impunité des cyberdélinquants » ajoute-t-elle.

Des attaques opportunistes sur les entreprises faiblement protégées

Pour l’Anssi, l’immense majorité des attaques est opportuniste et profite du faible niveau de maturité en sécurité numérique des organisations victimes. Depuis 2018, l’Anssi observe une recrudescence des attaques par rançongiciels ciblant des organisations aux moyens financiers importants ou aux activités particulièrement critiques. L’importance de ces cibles fait entrer les rançongiciels dans la catégorie des attaques dites « Big Game Hunting ».

Les rançons demandées dans le cas du « Big Game Hunting » peuvent atteindre plusieurs millions d’euros

L’agence constate par ailleurs que certains groupes criminels menacent en outre de publier des données sensibles. Ils accentuent ainsi la pression exercée sur leurs victimes pour les amener à payer la rançon. Alors que les montants habituels s’élèvent à plusieurs centaines ou milliers d’euros, les rançons demandées lors des attaques de type « Big Game Hunting » sont à la mesure des moyens financiers de la victime. Elles peuvent atteindre des sommes allant jusqu’à plusieurs millions d’euros. Les récentes attaques par rançongiciels ciblant des entreprises clés d’un secteur et leurs sous-traitants, entraînent un risque de déstabilisation générale de l’ensemble d’un secteur.

Les différents témoignages confirment un point clé : peu importe le secteur d’activité, les cyberattaques n’épargnent personne. « Aujourd’hui, il est important de rappeler aux organisations du secteur de la santé comme aux autres qu’il ne faut pas hésiter à se faire assister et solliciter un avis extérieur » souligne Cédric Hamelin, Responsable adjoint à la sécurité du système d’information du CHU de Rouen.

Le responsable sécurité doit avoir accès à tout le monde

Chez M6, on retient 3 enseignements. « Gérer une crise cyber, c’est à la fois mettre en œuvre un plan et jouer une partition non écrite. Sur ces deux volets, rien ne se fait seul ! Il faut rester calme, et cela ne marche que si l’on n’est pas seul. D’un point de vue plus organisationnel, cette expérience m’a conforté dans l’idée qu’un Responsable de la sécurité des systèmes d’information doit avoir un accès direct et facilité à tous les acteurs de la gestion de crise – directions et managers compris – pour préparer l’organisation à ces épreuves et y réagir le cas échéant » conseille Jérôme Lefébure, CFO, membre du directoire en charge des métiers de support du Groupe M6.

« Préparez-vous! On ne peut pas s’en sortir tout seul »

Même appel à la réaction collective chez Fleury Michon. « Préparez-vous! On ne peut pas s’en sortir tout seul » pointe Laurent Babin, Responsable de la sécurité du système d’information de Fleury Michon. L’objectif du guide est de proposer des mesures préventives issues du Guide d’hygiène informatique de l’Anssi. Les appliquer doit permettre d’éviter qu’un rançongiciel n’atteigne l’organisation ou, a minima, de réduire les pertes liées à une telle attaque.

Afin de réduire les risques d’attaque par rançongiciels, l’Anssi conseille de sauvegarder les données ; maintenir à jour les logiciels et systèmes ; utiliser et maintenir à jour les logiciels antivirus ; cloisonner le système d’information ; limiter les droits des utilisateurs et les autorisations des applications ; maîtriser les accès internet ; mettre en œuvre une supervision des journaux d’historiques des équipements et des logiciels (logs) ; sensibiliser les collaborateurs ; évaluer l’opportunité de souscrire à une assurance cyber ; mettre en œuvre un plan de réponse aux cyberattaques ; penser à sa stratégie de communication en cas de crise cyber.

Ne pas payer la rançon

Le guide présente également des mesures techniques pour réagir face à une attaque par rançongiciel afin de réduire les pertes liées à une telle attaque. Il s’agit de piloter la gestion de la crise cyber ; faire appel à de l’assistance technique ; communiquer au juste niveau ; ne pas payer la rançon ; déposer plainte ; restaurer les systèmes depuis des sources saines.