{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
Johannes Dohren
Partner, Cybersecurity and Privacy, PwC Switzerland
Le déroulement d’une attaque par ransomware est toujours identique, même si les détails des différentes étapes peuvent diverger. Il se compose de quatre phases : préparation, attaque, propagation et infection. Dans le cadre de cette série publiée sur notre blog, nous illustrons ces phases à l’aide d’un scénario imaginaire qui adopte le point de vue d’un exploitant de ransomwares. De plus, nous montrons quelles sont les mesures de protection les plus efficaces et abordons les aspects juridiques du paiement des rançons.
Série d'articles de blog
Voici les points abordés aujourd’hui :
61 % des cadres suisses s'attendent à une recrudescence des incidents par ransomware en 2022.
Cybersécurité et protection des données
Les cyberattaques représentent une menace permanente pour les entreprises issues de tous secteurs d'activité. Nous vous aiderons à identifier les risques et à les combattre.
Phase 4 : l’infection
Lors de cette phase, le hackeur ou la hackeuse collecte toutes les données potentiellement pertinentes. Il s’agit, entre autres, de documents, d’extraits de bases de données ainsi que d’informations de connexion et de coordonnées. Lors de cette extraction, les coordonnées et les données de clients présentent également un intérêt. Elles peuvent être revendues ou utilisées pour lancer d’autres attaques contribuant à cette chaîne de valeur du ransomware. L’extraction prend du temps : elle requiert généralement plusieurs jours. Les systèmes de fichiers et les bases de données sont explorés de façon automatisée et les résultats sont directement téléchargés, cependant l’accès doit souvent être établi manuellement. Notre attaquant-e ne peut pas s’en charger seul-e, c’est pourquoi il ou elle fait souvent appel à d’autres cybercriminels spécialisés dans cette tâche.
Lorsque les données sont exfiltrées, le hackeur ou la hackeuse active le véritable logiciel malveillant et crypte les données. Ce cryptage met sous pression l’entité attaquée et constitue dans le même temps la preuve que l’attaque a été menée avec succès. Le travail de la quatrième phase est à présent terminé : le hackeur ou la hackeuse transmet éventuellement le « statut de traitement » à un autre cybercriminel qui se charge de la communication avec ce « nouveau client » et notre hackeur ou hackeuse peut se consacrer à sa prochaine cible.
Gestion des crises de cybersécurité
Nous disposons d’une large gamme de solutions flexibles, dont des paquets complets qui vous aideront à planifier et à vous préparer aux cyberincidents.
Que pouvez-vous faire à ce stade ?
Si les cybercriminels sont arrivés jusque-là, vous ne pouvez plus déjouer l’attaque. Mais il est encore possible de l’endiguer et de limiter les dommages, et notamment l’ampleur du travail qui s’ensuivra. S’il est judicieux de réagir d’un point de vue économique, il est également indispensable de réagir rapidement pour rétablir la confiance dans les systèmes informatiques de votre entreprise.
Surveillance, détection et réponse aux incidents (IDR)
- Surveillez le plus possible les actifs critiques de votre réseau. Si vous constatez, par exemple, de très nombreux accès – en lecture uniquement – à des jeux de données sur une très courte période, une extraction de bases de données depuis le même compte et une hausse brutale du trafic sortant, une alarme doit être déclenchée. Sous le concept de « l'identification des anomalies », les fabricants de solutions de sécurité promettent monts et merveilles à cet égard, cependant il convient de tester régulièrement ces solutions dans la réalité.
- Dès que l’attaque est constatée, le processus IDR préalablement établi doit être appliqué. Veillez à une mise en œuvre rapide des mesures d’isolement et d’endiguement (Isolation & Containment), ainsi qu’à l’implication des parties prenantes pertinentes et, si nécessaire, signalez la brèche aux autorités nationales en charge de la protection des données. Ce dernier point n’est en aucun cas une mesure de défense contre l’attaque mais le signalement doit intervenir dans les délais prévus par la loi afin d’éviter d’éventuelles amendes et demandes de compensation.
- Ces processus ainsi qu’une compréhension claire des rôles de toutes les parties prenantes doivent faire partie intégrante de votre Système de Management de Sécurité de l’Information (SMSI) ou de votre Système de Management de la Cybersécurité (SMCS) et être régulièrement testés. Il serait également judicieux pour les groupes et grandes entreprises d’associer ces mesures au red teaming, c’est-à-dire la simulation d’attaques informatiques effectuées par des équipes de sécurité indépendantes.
Sauvegarde et restauration des données (Backup & Restore)
- Plus vous disposez de compétences élevées en sauvegarde et restauration des données, plus vos temps d’arrêt et donc les pertes dus au ransomware seront réduits. En fonction de votre gestion des risques, vous avez déjà préalablement défini des points de restauration, enregistré des sauvegardes en dehors de votre réseau et également pratiqué la restauration en situation de crise. Les succès obtenus grâce au Backup & Restore sont d’ailleurs l’une des raisons qui ont conduit les cybercriminels à faire évoluer le ransomware.
#social#
La confiance, facteur clé de réussite
Chez PwC, nous sommes une communauté qui formule des solutions afin de vous aider, avec le renfort de la technologie, à protéger tout ce qui est important pour vous.
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
Nous contacter
Partner, Leader Digital Assurance and Cybersecurity & Privacy, PwC Switzerland
Tel : +41 58 792 84 59
