Les rançongiciels sont des programmes informatiques qui prennent en otage des données en échange d’une rançon. Quel est l’état de menace pour les PME et comment se protéger? Entretien avec Mathieu Simonin, analyste pour la centrale fédérale MELANI.
La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI réunit des partenaires qui travaillent dans le domaine de la sécurité des systèmes informatiques et de l'internet, ainsi que dans celui de la protection des infrastructures critiques.
Elle dispose d’un site internet, qui s'adresse aux particuliers utilisateurs d’un ordinateur et d’internet, ainsi qu'aux petites et moyennes entreprises de Suisse. Après avoir été victime d’une attaque, ce site permet notamment de l’annoncer via un formulaire en ligne. Un outil important pour permettre aux équipes de la Confédération de mesurer l’intensité d’une nouvelle attaque.
Qu'est-ce qu'un rançongiciel ou ransomware?
Mathieu Simonin: C’est un type de logiciel malveillant, qui rend inaccessibles les données d’une entreprise ou de particuliers en les chiffrant. Le but est d’extorquer de l’argent en échange du déchiffrement de ces données. En 2013, le premier outil de ce type ayant causé des dégâts importants en Suisse, se nommait Cryptolocker. Depuis quelques années, le phénomène a connu une accélération.
A-t-on une idée de combien d’entreprises sont touchées par ce phénomène?
MS: Il n’existe pas de statistiques valides en la matière. Nous sommes mis au courant lorsque les entreprises nous l’annoncent. Mais toutes ne le font pas et elles ne déposent pas non plus une plainte pénale: annoncer un incident n’est pas obligatoire en Suisse. Nous présumons cependant que le "chiffre noir" est très élevé. Pour les cybercriminels, des groupes très dynamiques qui ont développé, au fil des années, des modes opératoires efficaces, c’est un marché juteux et vaste.
Pourquoi certaines PME peuvent-elles être touchées?
MS: Potentiellement, toute machine peut être infectée et le nombre de victimes est illimité. Mais viser une entreprise peut avoir un impact financier beaucoup plus lourd que l’attaque d’un particulier.
En outre, les PME ne sont pas toutes suffisamment sensibilisées et n’ont pas toutes des procédures de gestion des risques bien établies. Au sein de l’entreprise, certaines fonctions sont particulièrement à risques: comme par exemple les ressources humaines, habituées à recevoir des mails, avec des pièces jointes, de destinataires inconnus. Or, souvent les rançongiciels procèdent à travers des e-mails contenant une pièce jointe pour installer un "maliciel" sur une machine.
Comment se passe concrètement l’infection d’un ordinateur?
MS: Il y a plusieurs possibilités. Si l’infection par e-mail est la pratique la plus courante, une autre possibilité consiste à compromettre un site web en le chargeant de propager l’infection lors d’une simple visite. La plupart du temps, le logiciel malveillant profitera de la présence de logiciels n’étant pas à jour pour s’installer sur la machine de l’utilisateur. Enfin, certains rançongiciels ciblent également les protocoles d’accès à distance insuffisamment protégés.
Que faire en cas d’infection? Faut-il payer la rançon ou pas?
MS: Nous déconseillons de payer, car le business des cybercriminels a besoin du paiement des victimes pour se développer et s’améliorer.
Le montant de la rançon est variable et dépend de la cible, certains pirates demandent de très grosses sommes et laissent la possibilité de négocier. Par ailleurs, paiement ne signifie pas toujours restitution des données volées: parfois le chantage peut continuer.
Dans tous les cas, si vous constatez l’infection –souvent on la remarque car l’accès à certaines données est impossible, ou car une demande de rançon survient-, déconnectez votre ordinateur du système et du réseau pour éviter le risque de propagation. Nous conseillons ensuite de réinstaller le poste. Par la suite, il sera nécessaire de restaurer les données sur la base des sauvegardes.
En tant qu'entreprise, vaut-il mieux compter sur des mesures techniques ou une formation accrue des employés pour se protéger?
MS: L’un ne va pas sans l’autre. Il est clair que des employés bien formés, qui prennent à cœur la sécurité, est la ligne de défense la plus efficace. Une culture de sécurité doit régner dans l’entreprise. Dans de nombreux cas, les rançongiciels fonctionnent car des utilisateurs ne mesurent pas la portée fâcheuse de leurs actes. Or un employé formé peut mieux détecter un email suspect et éviter un incident.
Sur le plan technique, il faut mettre en place des sauvegardes sur un support externe connecté uniquement le temps de la manipulation. Si possible, dans une PME, c’est au responsable IT de gérer les risques. Il est aussi important que la cybersécurité soit prise en compte au niveau du management, qui doit insuffler de bonnes pratiques.
Quelles sont ces bonnes pratiques ?
MS: Il faut se doter d’une stratégie contre les risques liés à l’utilisation des moyens informatiques. Cela passe par différentes étapes: connaître ses systèmes et données, ainsi que la valeur différente de chacune. Une question que tout chef d’entreprise devrait se poser est de savoir de quel processus dépend l’informatique et quel sera le coût si le système venait à être bloqué.
Ensuite, il faut thématiser ces risques auprès des personnels et éventuellement pratiquer des tests de compréhension. Il est aussi nécessaire de mettre en place des procédures pour faire remonter et traiter les incidents. Il faut enfin identifier qui, au sein de l’entreprise, a le droit de procéder à des paiements et comment les protéger, ou mettre en place des signatures collectives par exemple.
