Vous êtes victime d’un rançongiciel quand des cybercriminels encodent vos données et vos documents et exigent un dédommagement pour les décoder. Une fois vos données cryptées, vous ferez face à un choix difficile : devriez-vous payer? Si vous le faites, récupérerez-vous réellement vos données? Dans ce texte, nous vous donnerons quelques conseils sur les mesures à prendre dans cette situation.

Qui payez-vous?

Existe-t-il un moyen de vous assurer que la rançon versée en cryptomonnaie (il s’agit le plus souvent de la devise exigée par les cybercriminels) parviendra à la personne en mesure de décrypter vos fichiers? Que faire si les criminels récidivent et exigent des sommes supplémentaires? Se peut-il qu’une fois votre paiement versé, on vous réponde qu’il n’existe pas de moyen de décrypter vos fichiers et que vos données sont toujours inutilisables? Et qu’en est-il si vous payez et que vous ne recevez aucune réponse?

Combien devez-vous payer?

Combien devez-vous payer?

Le montant de la rançon variera en fonction de la taille de votre organisation, de la quantité de données touchées et des réactions qu’ont eu les gens dans votre situation par le passé. Les proies faciles et fortunées reçoivent généralement une facture plus élevée, tandis que ceux qui refusent de payer sont normalement moins à risque d’être ciblés. S’ils le sont, le montant de la rançon sera une simple contrariété, et non l’équivalent d’un versement hypothécaire.

  NOUS POUVONS RÉDUIRE LES RISQUES DE DEVOIR FAIRE UN PAIEMENT ET COUPER AINSI LES VIVRES AUX FRAUDEURS.

Quelles seraient les répercussions?

Comme nous l’avons signalé dans un récent billet de blogue sur l’ajout de l’insidieux utilitaire KillDisk à l’arsenal des rançonneurs, il est maintenant possible non seulement que vos données soient verrouillées, mais que votre disque dur entier soit à tout jamais inutilisable (à moins de faire appel à un expert en récupération de données). Si un seul de vos appareils est infecté, les conséquences seront beaucoup moins graves que celles d'une attaque par un rançongiciel moderne, qui verrouille des données sur l’ensemble d’un réseau interne.

Quelle est la politique de votre organisation?

De plus en plus d’organisations ajoutent les attaques par rançongiciel aux plans de reprise après catastrophe qu’elles adoptent. Si vous n’avez pas de plan, vous pourriez utiliser les modèles et documents standard fournis par des organisations comme le NIST, qui formulent des recommandations générales. Heureusement, plusieurs organisations se sont déjà penchées sur la question et peuvent vous conseiller sur les mesures concrètes à prendre dans cette situation.

La qualité de vos sauvegardes peut influencer votre décision face à un rançongiciel

Quelle est la qualité de vos sauvegardes?

Si vos sauvegardes sont à portée de main, hors ligne et faciles à restaurer, vous pouvez pousser un soupir de soulagement : vous avez relevé le défi haut la main. Par contre, si vous devez restaurer des données en masse sur votre réseau à partir du nuage ou d’un poste éloigné, le canal de communication du réseau peut constituer un facteur important. Il peut être plus facile d’envoyer un coursier ou un service de messagerie de nuit ayant pour tâche de récupérer une boîte de disques durs. Malgré cela, si vous avez accès à un jeu de données relativement récent et dans son format original, vous aurez une longueur d’avance sur ceux qui ont été moins prévoyants.

  SI VOS SAUVEGARDES SONT À PORTÉE DE MAIN, HORS LIGNE ET FACILES À RESTAURER, VOUS POUVEZ POUSSER UN SOUPIR DE SOULAGEMENT.

Quelles sont les données d’une grande importance?

Les données sensibles devraient être plus difficiles d’accès et, donc, être moins exposées aux attaques que si elles se trouvaient sur l’ordinateur personnel d’un représentant sur le terrain, par exemple. Cela signifie que si la sécurité d’un de vos ordinateurs portables est compromise, il pourrait être plus simple de restaurer une image système et vos données et de reprendre vos activités.

Savoir reconnaître les arnaques

Plusieurs attaques par rançongiciel utilisent les courriels d’hameçonnage comme porte d’entrée. Informer les utilisateurs leur permet de les repérer, mais ces courriels peuvent parfois être très convaincants. C’est pourquoi il peut être avantageux d’utiliser une passerelle de courrier électronique en amont, ou même au point d’extrémité (selon votre environnement), qui pourra repérer les courriels frauduleux avant qu’ils ne causent des dommages.

Tant et aussi longtemps qu’ils généreront des profits, les rançongiciels continueront à se répandre. En adoptant ces mesures, nous pouvons réduire les risques de devoir faire un paiement et couper ainsi les vivres aux fraudeurs. Dès que cette source d’argent se tarira, ces derniers cesseront leurs activités.