En partenariat avec la Direction des Affaires criminelles et des grâces du ministère de la Justice, l'Agence nationale de la sécurité des systèmes d'information (Anssi) publie un guide de sensibilisation aux attaques par rançongiciels (PDF).

Un rançongiciel (ou ransomware) est ce type de programme malveillant avec pour objectif d'obtenir d'une victime prise pour cible le paiement d'une rançon. Lors d'une attaque et d'une infection, des fichiers sont par exemple chiffrés, parfois jusqu'à rendre un système inutilisable.

Pour déchiffrer les données avec une clé idoine, les cybercriminels exigent fréquemment le paiement d'une rançon en cryptomonnaie. Une attaque par ransomware peut également se doubler d'une exfiltration de données qui est un autre moyen de pression et chantage avec une menace de divulgation d'informations confidentielles.

ransomware

Selon l'Anssi, les groupes cybercriminels ciblent de plus en plus des entreprises avec de gros moyens financiers, voire des organisations en lien avec des activités critiques. Des attaques dites Big Game Hunting avec un niveau de sophistication de plus en plus élevé.

Depuis le début de l'année, l'Anssi indique avoir traité 104 attaques par rançongiciels, alors que sur toute l'année dernière il n'avait été question que de 54 attaques. " Il est urgent pour les entreprises et les collectivités de mettre en œuvre des mesures pour prévenir les attaques par rançongiciels et d'apprendre à bien réagir lorsqu'il est trop tard ", déclare François Deruty, sous-directeur Opérations de l'Anssi.

C'est l'objet du guide avec plusieurs bonnes pratiques - qui font écho au Guide d'hygiène informatique de l'Anssi - et mesures ultérieures à prendre. Il est ponctué de témoignages de responsables informatiques de l'hôpital de Rouen, du groupe M6 et du groupe Fleury Michon qui ont tous été touchés en 2019 par des attaques par rançongiciels.

Les conseils de sauvegarde des données, mises à jour du parc logiciel, limitation des droits de utilisateurs et sensibilisation, cloisonnement du système d'information, politique de journalisation sur les diverses ressources du système d'information sont notamment répertoriés.

En cas d'attaque, le guide oriente par exemple vers une déconnexion au plus tôt des supports de sauvegardes non infectés, de l'assistance technique avec des prestataires spécialisés (notamment via la plateforme cybermalveillance.gouv.fr), tandis que les données chiffrées doivent être conservées sachant que des solutions de déchiffrement peuvent être rendues publiques (voir le projet No More Ransom).

L'Anssi recommande en tout cas de déposer plainte auprès des services de police ou de gendarmerie, et… de ne pas payer la rançon. " Le paiement ne garantit pas l'obtention d'un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient ce système frauduleux. […] L'expérience montre que l'obtention de la clé de déchiffrement ne permet pas toujours de reconstituer l'intégralité des fichiers chiffrés ", peut-on lire.

Outre-Atlantique, le FBI recommande également de ne pas payer la rançon, mais a un message plus flou en disant comprendre que " les entreprises évalueront toutes les options pour protéger leurs actionnaires, leurs employés et leurs clients. "