Ransomware : pourquoi tout se joue durant la première heure

Alexandre Boero
Chargé de l'actualité de Clubic
27 avril 2023 à 11h55
10
© Who is Danny / Shutterstock
© Who is Danny / Shutterstock

Alors que les attaques au ransomware restent très régulières, la stratégie de la réponse rapide et efficace à l'incident semble au moins tout aussi importante que la protection et la sensibilisation en amont.

En France et dans le monde, le ransomware reste un fléau pour de nombreuses entreprises et organisations, et de multiples services publics comme les hôpitaux. La fréquence des attaques est si importante qu'il n'est jamais certain à 100 % de pouvoir éviter les pièges tendus par les cybercriminels. La question est aujourd'hui davantage de savoir comment et quand réagir. Pour Jean-Pierre Boushira, vice-président South EMEA, Benelux et Nordics de Veritas Technologies, « les actions menées durant la première heure qui suit une attaque sont cruciales ». Il explique pourquoi.

Ransomware : la première heure est déterminante

Durant l'heure suivant l'attaque, il est possible de contenir les dégâts et de limiter l'impact financier ainsi que les dégâts causés sur la réputation de l'entité frappée, mais aussi d'assurer une reprise d'activité qui puisse être rapide et efficace. « Ce laps de temps, particulièrement court, doit être consacré à deux actions clés si les entreprises veulent se tirer à bon compte d'une attaque », explique Jean-Pierre Boushira.

D'abord, il est impératif d'isoler les systèmes touchés par le rançongiciel du réseau. Cela évite la propagation du virus. Puis, il faut immédiatement mener une enquête afin de déterminer l'origine de la cyberattaque et ainsi comprendre s'il s'agit d'une faille humaine (c'est souvent le cas) ou technologique.

En théorie, les entreprises taillées pour lutter disposent d'un service IT avec des ressources humaines et matérielles suffisantes. Elles sont censées avoir la capacité de détecter au plus vite une attaque et disposer de solutions consacrées à la gestion des données. Elles « peuvent changer la donne », nous dit J-P Boushira, car elles permettent « d'isoler rapidement la source de la contamination et de lancer des restaurations ciblées, rapides et sécurisées ».

© Nicescene / Shutterstock
© Nicescene / Shutterstock

Aider les collaborateurs à devenir des lanceurs d'alerte, avec un gain de temps qui peut être déterminant

L'une des clés, c'est d'être paré à toute éventualité. Sensibiliser ses employés sur les e-mails de phishing et l'ingénierie sociale, c'est bien, mais largement insuffisant. « Une structure peut disposer d'autant d'outils qu'elle le souhaite, si l'ensemble des collaborateurs n'est pas mobilisé et/ou sensibilisé, ces efforts seront vains », souligne à juste titre Jean-Pierre Boushira. Il invite chaque organisation à instaurer une « culture de confiance » qui permettrait à chaque salarié de se muer en potentiel lanceur d'alerte en cas de détection d'une activité anormale ou tout simplement d'attaque. Tout gain de temps peut être salvateur.

Outre le facteur humain, il y a le facteur technologique. On pense aux solutions de gestion et de récupération de données, mais aussi aux solutions de protection qui servent des objectifs de visibilité, de sauvegarde et de support nécessaires. Par exemple, une vision de l'information en temps réel sur des espaces de stockage permet de détecter rapidement une attaque en cours.

Les sauvegardes vont « servir de filet de sécurité aux systèmes de prévention », sans que cela soit infaillible pour autant. Un système de sauvegarde doit rester résilient et fiable, et les canaux et méta-serveurs doivent communiquer entre eux de façon sécurisée. Ces dimensions « doivent être prises en compte dès la conception de l'architecture par les équipes IT », explique Jean-Pierre Boushira. « Sans quoi la fonctionnalité de restauration des données risque de ne pas être disponible » lors d'une attaque.

Source : Veritas Technologies

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (10)

jvachez
Maintenant les auteurs sont malins, ils lancent leurs attaques de nuit ou le Dimanche quand personne ne sera là pour voir ce qu’il se passe.
gamez
les antivirus n’ont pas la capacité d’analyse heuristique pour détecter les comportements suspects des ransomwares?
Baxter_X
La plupart du temps non.
pinkfloyd
De plus les derniers en date ne chiffre que le debut du fichier ( largement suffisant ) et dans des dossiers aleatoires avec une pause aléatoire.<br /> Bien plus difficile a detecter que les anciens process qui s’amusait a modifier tout les fichiers a la suite dans chaque dossier.
Aatlass57
Etant technicien informatique dans un service IT, quand je vois ransomware, ça me donne des sueurs froide…
userresu
Oui car comme précisé, le ransomware « rentre » souvent dans les systèmes à cause d’une faille liée à l’humain<br /> Avec des backups et des anti-virus récents , on peut bloquer le ransomware (ou au moins limiter la casse) mais le temps passé par le Service IT pour restaurer ce qui aura été touché par l’attaque sera lui aussi très impactant pour la société.<br /> Sans compter certains utilisateurs qui auront lancé la PJ contenant le ransomware qui viendront « gueuler » contre le service IT en lui disant que c’est de sa faute et d’une protection insuffisante si les fichiers ont été chiffré (oui OK Captain Clever ; le point de départ c’est quand même toi qui a exécuté le fichier hein… --")
Aatlass57
c’est tout à fait ça
Yasakar
Ce qui manque dans les entreprises ce sont des campagnes de piegeage des gens qui ont du mal à comprendre que la PJ d un expediteur inconnue est très suspecte.<br /> Un coup de piege et de convocation pour mise au point entre 4 yeux, ya rien de mieux.<br /> Apres si la boite à un service IT composé d un gars dont la competence est d installer Office, là ca n aide pas.<br /> Les ransomwares dans les hopitaux viennent aussi du fait que les users pensent que leur PC de boulot c est comme à la maison, on peut faire n importe quoi… meme le meilleur service IT du monde ne pourra pas faire de miracle…<br /> Sauf à coder une interface « clique là » « ne clique pas là » « pas touche »
BernardB
&amp; après les sueurs froides, il fait quoi le Technicien ?
wackyseb
LA Faille se trouve toujours entre la chaise et le bureau !!!
Feunoir
Franchement au boulot je ne comprends pas qu’on puisse lancer un executable comme les .com .exe .bat .cmd .ps1 .scr … Tout ce qui est potentiellement executable cela ne devrait pas être « associé » donc pas possible à « ouvrir ».<br /> Tu as tes outils de boulots si tu as besoin d’un outil c’est via les admin que cela s’installe.<br /> Et port USB verrouillé pas de stockage utilisable sur ces ports<br /> Une fois cela dégagé il ne resterait que les failles dans les librairies/soft utilisés via les fichiers non exécutable.<br /> Il n’y a peut être que les fichiers avec macro comme les fichier d’office qui devraient poser problème
Aatlass57
les fois ou j’ai rencontré se problème, heureusement c’était sur un pc qui n’était pas en réseau, donc formatage, basta.
BernardB
Ouai bien, &amp; on perd tout, ok mauvaise limonade.<br /> Idem dans restauration de Windows, je format le disk et remet l’image de l’Ordi je j’ai crée en sauve garde avec le disk de réparation + plus l’mage système avec tout le C: sauvegarder au préalable.
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Directive NIS2 : tout ce qu'il faut savoir sur le nouveau texte de référence de la cybersécurité européenne Directive NIS2 : tout ce qu'il faut savoir sur le nouveau texte de référence de la cybersécurité européenne
Guerre en Ukraine : entre cyber-propagande Russe et hacktivisme... de nouvelles formes d'attaques émergent Guerre en Ukraine : entre cyber-propagande Russe et hacktivisme... de nouvelles formes d'attaques émergent
Pour booster le développement de médicaments grâce à l'IA, BioNTech (le fameux) avale InstaDeep Pour booster le développement de médicaments grâce à l'IA, BioNTech (le fameux) avale InstaDeep
Usurpation d'identité : Comment un antivirus peut vous aider ? Usurpation d'identité : Comment un antivirus peut vous aider ?
Comment rendre son smartphone intraçable ? Comment rendre son smartphone intraçable ?