L’une des principales préoccupations des entreprises est de voir leurs données sensibles ou celles de leurs clients divulguées à des tiers. Aujourd’hui, les brèches de sécurité des données sont devenues un phénomène quotidien et qui figure dans les actualités du monde entier.
Les pirates peuvent par exemple profiter de ces fuites de données pour les tenir en otage. Autrement dit, les entreprises ne peuvent les récupérer que si elles acceptent de payer une rançon.
Quelle que soit la source de violation de données, sachez qu’il existe des mesures que vous pouvez prendre pour faire face à la situation.
Suivez le plan d’intervention en cas de fuite de données dans votre entreprise
Il ne fait aucun doute que votre entreprise a déjà mis en place un plan pour les tremblements de terre, les incendies et les inondations.
En plus de ces éventuels sinistres, le plan d’intervention en cas de violation de données devrait également tenir compte des catastrophes d’origine humaines, comme les atteintes à la sécurité. En effet, les données doivent être considérées comme un actif commercial à part entière et qu’il faut protéger autant que possible.
Si vous devez formuler un plan d’intervention en cas d’incident, vous pouvez vous inspirer des nombreux modèles qui sont proposés sur Internet. Assurez-vous toutefois de conserver une copie de votre plan hors site, sous forme imprimée.
1. Communiquez avec les personnes appropriées
L’équipe ou la personne qui est en charge d’assurer la sécurité des données doit être contactée immédiatement dès qu’un problème de sécurité informatique se produit.
Assurez-vous donc que tous les employés savent à qui ils pourront s’adresser en cas de besoin. Le service de dépannage informatique doit également rester vigilant pour détecter les signes révélateurs d’une infraction comme :
Les faux messages antivirus
Les barres d’outils du navigateur non souhaitées
Les installations inattendues de logiciels
Les pop-ups de rançon
2. Mener une enquête préliminaire
Une fois le problème détecté, l’équipe de sécurité doit mener une enquête préliminaire dans le but de déterminer son ampleur approximative. Cela ne devrait prendre que quelques minutes.
Selon la politique adoptée par votre entreprise, le réseau peut être désactivé immédiatement pour empêcher tout virus de se propager et d’infecter d’autres équipements.
3. Définir l’incident
L’étape suivante dépend du type d’incident de sécurité. S’il est facile à contenir et à corriger et qu’aucune violation de données ne s’est produite, l’équipe de sécurité se contentera d’informer la direction à propos de l’incident.
Par contre, si un email de phishing a été détecté, il est recommandé d’envoyer à tous les employés des informations sur l’email afin qu’ils puissent éviter de provoquer un nouvel incident.
4. Faites participer les intervenants
Assurez-vous de toujours impliquer deux types d’intervenants, à savoir l’équipe de direction et les gestionnaires d’affaires dont les données peuvent être affectées par l’incident.
5. Lois sur la notification des violations de la sécurité
La loi intervient s’il y a eu une violation de données. Aux États-Unis, 47 États ont des lois sur la notification des violations de la sécurité, dont beaucoup exigent des rapports aux clients ainsi qu’aux organismes de réglementation.
Au Canada par exemple, la province de l’Alberta exige la notification. En ce qui concerne les données de l’UE, le Règlement général sur la protection des données (RGPD) exige que les atteintes à la protection des données soient divulguées dans les 72 heures à compter de 2018.
Selon l’industrie, la Health Insurance Portability and Accountability Act (HIPAA), la loi Sarbanes-Oxley ou une autre loi fédérale étatique ou locale peut imposer l’établissement d’un rapport supplémentaire concernant la violation. Cette tâche incombe au responsable de la conformité de la société.
Le FBI encourage les entreprises à signaler les cyberincidents à son Centre de plaintes pour les crimes sur Internet (www.ic3.gov). Par ailleurs, il est recommandé de produire et de déposer un rapport concernant l’incident auprès du service de police local. Le service juridique devrait être impliqué dans ces activités.
Vous disposez maintenant d’une équipe d’intervention complète. Il est important de tenir tous les membres au courant des progrès réalisés en matière de remédiation.
6. Analyse et mesures correctives contre une fuite de données
L’équipe de sécurité doit travailler rapidement pour analyser le réseau et les points d’extrémité, en examinant en détail les hôtes les plus compromis. Une fois que les causes de la compromission sont trouvées, l’équipe établira rapidement un plan de remédiation.
En général, elle peut déterminer un ou plusieurs des éléments suivants :
Signature du virus
Adresse IP de l’attaquant
Hashage MD5 d’un fichier malveillant
URL ou nom de domaine d’un serveur de commande et de contrôle de botnet
Les pare-feu, les systèmes de détection d’intrusion et/ou les logiciels antivirus devraient être mis à jour pour se défendre contre les menaces cybercriminelles.
De même, il faut que les dispositifs affectés soient remis en état. Si nécessaire, des sauvegardes de données peuvent être utilisées pour restaurer le système à une date précise avant l’attaque. Ces étapes peuvent prendre des heures, des jours ou même des semaines.
7. Qu’arrive-t-il à l’entreprise pendant cette période ?
Selon la gravité de la compromission, le service réseau peut être non opérationnel ou restreint pendant la phase d’analyse et de restauration. Pire encore, les entreprises dont les activités sont essentiellement basées sur des sites web peuvent être durement touchées puisque leurs revenus proviennent de clients en ligne.
D’autres types d’entreprises peuvent également être fortement touchés, comme l’a montré la récente attaque de ransomware contre le Hollywood Presbyterian Medical Center, un hôpital privé situé à Los Angeles :
Sans pouvoir accéder au service de messagerie électronique, les médecins et les infirmières devaient communiquer par fax ou en personne.
Les antécédents de traitement des patients n’étaient pas disponibles puisque les dossiers médicaux étaient conservés en ligne.
Les résultats des tests ne pouvaient pas être facilement partagés au sein de l’hôpital ou avec des entités externes.
Des dossiers papier ont dû être utilisés pour l’enregistrement des patients. Ce système ne pouvait pas traiter le volume habituel de patients, et certains d’entre eux ont dû être transférés dans d’autres hôpitaux.
L’hôpital n’avait aucune sauvegarde de données utilisable pour pouvoir restaurer les opérations. Elle était restée dans cette situation difficile pendant 10 jours et a dû finalement payer plus de 15 000 euros aux cybercriminels pour obtenir les clés leur permettant de déchiffrer leurs propres données.
8. L’incident de sécurité pourrait ne pas être que la pointe de l’iceberg
Il n’est pas rare qu’au cours de l’enquête, l’équipe découvre qu’il y a d’autres problèmes de sécurité. Le système peut avoir été compromis pendant des mois ou même des années. Prenons le cas du virus Heartbleed. Il a été introduit dans un logiciel en 2012, mais n’a été rendu public qu’en avril 2014.
L’incident de sécurité dont il est question pourrait en fait être le prélude à une attaque plus importante. C’est notamment le cas si des emails de phishing sont impliqués. Une petite attaque pourrait faire perdre du temps et des efforts au personnel de sécurité pendant qu’une attaque plus importante se faufile sous leur radar.
Les piratages ne sont pas toujours perpétrés par des personnes extérieures. Les rapports de diverses organisations de sécurité indiquent qu’au moins 15 % des attaques proviennent d’un initié qui peut avoir accès à des informations d’identification pour attaquer le système de manière répétée.
Bien entendu, certains incidents sont le résultat d’erreurs commises par des employés. La formation et l’attribution de justificatifs d’identité selon le principe du moindre privilège sont donc les meilleurs remèdes dans ce cas.
L’incident de sécurité aurait peut-être pu être évité si des logiciels, paramètres logiciels ou matériels appropriés étaient en place. Envisagez d’utiliser un logiciel de filtrage des emails tel que SpamTitan Cloud, une solution robuste pour la sécurité des emails.
Pour les menaces Internet générales, optez pour WebTitan Cloud, un service de filtrage web qui vous permet de surveiller, contrôler et protéger votre entreprise et vos utilisateurs contre les menaces en ligne.
9. Leçons apprises – Revue complète
Dans la semaine suivant le rétablissement d’une brèche, l’équipe devrait se réunir pour déterminer ce qui a bien fonctionné et ce qui a mal fonctionné. Le plan d’intervention en cas d’incident devrait être mis à jour pour tenir compte des leçons apprises.
Étant donné le caractère inévitable des attaques, l’entreprise sera mieux préparée lorsque (et non pas si) une prochaine attaque se produira.
Ces derniers mois, les villes et les organismes gouvernementaux ont été la cible d’une série d’attaques de ransomware. Les établissements de soins de santé sont les plus touchés, mais ce ne sont pas les seules industries visées.
Les écoles, les collèges et les universités sont des cibles de choix pour les pirates informatiques et les attaques de ransomware sont courantes. Une attaque récente se distingue par son ampleur et la demande massive de rançon qui a été émise.
Le Monroe Collège est la nouvelle victime d’attaque de ransomwares
Les attaquants ont exigé 170 bitcoins (environ 17,9 millions d’euros) contre les clés qui permettaient de déchiffrer le réseau.
Le Monroe Collège à New York a été attaqué à 6 h 45 le mercredi 10 juillet 2019.
Le ransomware s’est rapidement répandu dans son réseau, créant la panne des systèmes informatiques de ses campus de Manhattan, New Rochelle et Sainte-Lucie et détruisant le site web du collège.
Le collège est passé au papier et au crayon et travaillait à la recherche d’une solution pour contourner le problème et pour s’assurer que les étudiants qui suivent des cours en ligne reçoivent leurs devoirs.
Le Monroe Collège n’a pas encore annoncé si les fichiers pourront être récupérés à partir des sauvegardes ou s’il devra payer la rançon.
Il s’agit de l’une des nombreuses attaques récentes de ransomwares aux États-Unis. Bien qu’elles semblent avoir perdu la faveur des cybercriminels en 2018, elles sont de nouveau en vogue et le nombre d’attaques de ransomware est en forte hausse.
170 bitcoins est peut-être un montant particulièrement élevé, mais il y a eu plusieurs attaques récentes impliquant des demandes de rançon de centaines de milliers de dollars. Dans plusieurs cas, les victimes ont dû payer la rançon.
La ville de Riviera Beach City en Floride a été par exemple attaquée. Elle a dû payer une rançon d’environ 537 000 euros pour pouvoir accéder à ses fichiers et remettre ses systèmes informatiques en service.
Lake City en Floride a également payé une rançon importante, de l’ordre de 447 000 euros, tandis que le comté de Jackson a dû payer une rançon de plus de 358 000 euros après une attaque.
Il y a eu plusieurs cas où les rançons n’ont pas été payées. Entre autres, la ville d’Atlanta a été ciblée et environ 45 000 euros ont été exigés par les pirates.
Atlanta a refusé de payer, mais pour réparer les dommages créés par l’attaque, sa facture a déjà dépassé les 2,6 millions d’euros. Avec des coûts aussi élevés, il est clair de voir certaines victimes qui choisissent de payer la rançon.
Protégez votre établissement scolaire des attaques de ransomwares
Dans tous les cas susmentionnés, le coût de la mise en œuvre de solutions de cybersécurité pour se protéger contre les principaux vecteurs d’attaque n’aurait coûté qu’une infime fraction du montant de la rançon ou des coûts d’atténuation après une attaque.
Pour moins de 1,8 euros par employé, vous pouvez vous assurer que votre système de messagerie est sécurisé et que vous êtes bien protégé contre les attaques sur le web. Pour en savoir plus, appelez TitanHQ dès aujourd’hui.
De fausses alertes emails, récemment découvertes, demandent aux utilisateurs de mettre à jour leurs navigateurs Firefox « pour des raisons de sécurité », et incluent un lien de téléchargement vers la fausse mise à jour.
Celle-ci inclut un cheval de Troie qui vole des mots de passe. Alors, ne cliquez pas sur ce lien, sinon risquez de vous faire voler vos mots de passe. D’ailleurs, les utilisateurs doivent toujours faire preuve de prudence lorsqu’ils cliquent sur un lien dans un email.
Dans le passé, SpamTitan a averti à plusieurs reprises ses lecteurs, mais cela vaut toujours la peine d’être répété : N’ouvrez pas les pièces jointes aux emails qui arrivent dans votre boîte de réception et auxquelles vous ne vous attendiez pas.
Si vous ne vous attendiez pas à recevoir un email, le mieux serait d’y répondre et d’attendre la réponse, sans ouvrir la pièce jointe. De cette façon, vous pouvez vous assurer que l’adresse de l’expéditeur n’est pas fausse.
Fausses alertes de sécurité Firefox : SpamTitan recommande aux utilisateurs de :
Maintenir à jour leur logiciel antispam et antivirus pour s’assurer que ces types de messages soient bloqués avant d’arriver dans leurs boîtes aux lettres.
Il est également important de se rappeler que si vous n’avez pas demandé la réinitialisation de votre mot de passe, ignorez simplement un email (probablement un spam) qui cherche à réinitialiser vos mots de passe.
Pour plus d’informations sur les meilleures pratiques en matière de sécurité web et de la messagerie, pourquoi ne pas télécharger notre nouveau livre blanc, conçu en collaboration avec Ostermann Research.
En février dernier, l’attaque contre l’hôpital presbytérien de Hollywood a fait la une des journaux.
Après avoir perdu l’usage de leur système informatique interne et l’arrêt de leurs activités, les cadres supérieurs ont pris la décision de payer une rançon négociée de plus de 15 000 euros. À l’époque, une telle somme semblait choquante.
Le coût d’une attaque de ransomware a atteint plus de 895 000 euros
Le 10 juin 2017, la société d’hébergement web sud-coréenne Nayana a été victime d’une attaque de ransomware appelé Erebus.
Bien qu’à l’origine, le ransomware ait été conçu pour compromettre le système d’exploitation Windows, il a été récemment modifié pour cibler les serveurs web Linux.
La façon dont le malware a infecté le système n’a pas été identifiée. Ce qui est certain, c’est qu’aucun des 153 serveurs Linux qui composaient l’infrastructure d’hébergement web n’a été correctement mis à jour.
La société Nayana étant complètement fermée, la direction est venue à la table des négociations pour conclure un accord avec les pirates.
Le prix final convenu était de plus de 895 000 euros, soit nettement moins que le prix demandé à l’origine, à savoir de plus de 39,4 millions d’euros. La rançon est payée en trois versements et chaque versement a permis de déchiffrer un lot de serveurs de la société.
Le paiement de rançon pour les entreprises est souvent de l’ordre de 8 900 à plus de 22 000 euros. Pourtant, les pirates derrière cette attaque ont exigé 550 bitcoins pour déchiffrer les accès aux réseaux, soit environ 1,45 millions d’euros.
Le 14 juin 2017, la société Nayana a signalé qu’elle avait négocié un paiement de 397,6 bitcoins, soit plus de 905 000 euros, ce qui est en fait d’elle l’un des plus grosses rançons jamais signalées et payées.
Vous avez bien lu, plus de 905 000 euros. Pourtant, cet incident aurait pu être évité si la société avait mis en œuvre le correctif approprié.
Anatomie d’une attaque de ransomware
Un mois plus tard, une entreprise canadienne a également été frappée par une attaque de ransomware et elle doit s’estimer chanceuse, car elle n’a dû payer qu’environ 380 000 euros.
L’équipe de la direction n’a pas eu d’autres choix que de payer, car l’attaque permettait aux pirates de chiffrer toutes les sauvegardes de l’entreprise.
Une équipe médico-légale qui enquête sur les conséquences de l’attaque pense que les pirates savaient exactement où se trouvaient les serveurs de base de données et les sauvegardes.
Le malware a été lancé par une attaque de phishing visant six cadres supérieurs de l’entreprise. Des e-mails malveillants ont été envoyés par les pirates.
Ils semblaient provenir d’une entreprise de messagerie et avaient pour objet des factures impayées. Les soi-disant factures étaient jointes aux messages au format PDF.
Deux cadres étaient tombés dans le piège et la charge utile malveillante contenue dans les pièces jointes s’est rapidement répandue dans tout le réseau de l’entreprise.
Bien entendu, si l’entreprise avait appliqué la stratégie de sauvegarde 3-2-1, qui consiste à faire 3 copies de toutes les données dans 2 formats différents, avec une copie hors site, le paiement par extorsion aurait peut-être été évité.
Devriez-vous payer ou ne pas payer la rançon en cas d’attaque ?
Avec des rançons d’un montant aussi épique, le conseil logique peut être de ne pas payer la rançon. C’était l’état d’esprit du centre médical du comté d’Erié à New York lorsqu’il a été victime d’une attaque de ransomware en avril dernier.
Au début, l’attaque visait le serveur web de l’hôpital, mais elle a finalement mis hors service 6 000 ordinateurs.
Une fois que les pirates ont obtenu l’accès à distance au serveur du centre médical, ils ont commencé à lancer une attaque de bourrage d’identifiants pour avoir accès au système.
Le compte compromis n’était protégé que par un mot de passe par défaut et c’est ce qui leur a permis de compromettre le réseau.
Les attaquants se sont alors connectés au système de l’entreprise et ont commencé à tout chiffrer de façon à compliquer la capacité du centre à restaurer ses données.
Plus tard, les cybercriminels ont exigé une rançon de plus de 26 000 euros pour le déchiffrement des données, mais l’équipe de direction du centre n’a pas décidé de payer une telle somme.
Après trois mois, l’organisation a dû dépenser près de 895 000 euros pour réparer les dommages.
Selon une source d’information de l’HIPAA, environ la moitié de cette somme a été consacrée au matériel informatique, aux logiciels et à l’assistance nécessaire pour éviter les représailles des pirates.
L’autre moitié a été allouée à la rémunération des heures supplémentaires du personnel et au recouvrement de pertes de revenus liés à l’arrêt du système.
De plus, l’hôpital a dû débourser environ 223 000 euros par mois depuis l’apparition de cet incident pour mettre à niveau sa technologie et pour améliorer la formation de ses employés en matière de cybersécurité.
La décision de payer une rançon pour obtenir les clés de déchiffrement des données est une question complexe. Du point de vue des coûts et de la productivité, elle peut s’avérer moins coûteuse.
D’un autre côté, il n’y a aucune garantie que les pirates vont donner les clés une fois la rançon payée.
Certains affirment également que les victimes d’une attaque de ransomware subissent souvent des attaques répétées, car les pirates savent que l’organisation sera toujours prête à payer.
Selon une étude réalisée par Symantec en avril 2017, 64 % des victimes d’attaques cybercriminelles aux Etats-Unis affirment être prêtes à payer la rançon, contre 34 % à l’échelle internationale.
La somme d’argent demandée lors de ces différentes attaques est considérable. En réalité, une seule attaque peut désormais mettre une entreprise en faillite. Ce qui est encore plus bouleversant, c’est que ces attaques ont pu être évitées grâce à de simples mesures de sécurité.
Des mesures de sécurité simples permettent de se protéger contre les attaques de ransomware
La première chose à faire est de sauvegarder régulièrement vos fichiers. Aucune stratégie de sauvegarde n’est à 100 % infaillible, mais la méthode 3-2-1 est celle la plus solide possible.
L’autre conseil est de ne pas activer les macros qui sont souvent envoyées par des e-mails. Ces messages tentent de convaincre l’utilisateur d’activer les macros pour pouvoir lancer une attaque. L’administrateur système devrait donc mettre en place une politique d’utilisation acceptable pour empêcher les employés d’activer eux-mêmes des macros contenus dans des e-mails dont la source n’est pas fiable.
N’ouvrez pas les pièces jointes aux e-mails non sollicitées. Si vous utilisez une solution de sécurité antispam comme SpamTitan, les fichiers chargés de malwares seront automatiquement mis en quarantaine avant d’atteindre votre ordinateur. Quoi qu’il en soit, tous les utilisateurs doivent suivre une règle simple, à savoir de ne pas ouvrir les pièces jointes ou les e-mails inattendus provenant d’expéditeurs inconnus.
Mettez à jour régulièrement vos systèmes et applications. Les équipes informatiques doivent intégrer la redondance dans leur infrastructure. En effet, lors de l’application d’une mise à jour, un système peut tomber en panne. Un autre devrait donc être opérationnel et prendre le relai pendant ce temps.
Sensibilisez vos employés concernant les menaces cybercriminelles. Bien que la plupart des organisations fournissent à leurs employés un manuel de sécurité, un guide de sécurité est tout aussi important. Ce document devrait comprendre des conseils sur l’hygiène des e-mails, les politiques de l’entreprise en matière de mots de passe, la politique BYOD et les informations concernant les menaces auxquelles les employés doivent être conscients et où ils peuvent obtenir de l’aide au besoin.
Les cybercriminels préfèrent s’attaquer aux réseaux ouverts et non segmentés. Une fois à l’intérieur d’un réseau non segmenté, ils peuvent voler vos données sensibles et mener d’autres attaques sur votre système. Vous aurez donc intérêt à segmenter le réseau de votre entreprise.
Vous êtes un professionnel de l’informatique et vous souhaitez vous assurer que vos données et périphériques sensibles soient protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
Pour les cybercriminels, tous les moyens sont bons pour se faire de l’argent. Actuellement, les établissements scolaires constituent l’une de leurs principales cibles pour mener des attaques de ransomware ou de phishing.
Le Centre de partage et d’analyse de l’information multi-états (MS-ISAC), une division de la Sécurité intérieure des États-Unis, a lancé une alerte le 4 décembre 2017 à tous les districts scolaires de la maternelle à la 12e année (K12).
Voici comment se présente le résumé de l’alerte :
« Les attaquants utilisent des attaques de phishing pour capturer les identifiants de connexion des employés de l’école qui accèdent à leurs comptes de dépôt direct.
Ils utilisent ensuite les identifiants de connexion qu’ils ont capturés pour modifier les informations de dépôt direct et charger des cartes prépayées qu’ils peuvent utiliser à leur tour. »
Les cybercriminels lancent leurs attaques de la façon suivante :
Ils envoient des emails de phishing aux employés du district scolaire. Le message contient un document Microsoft Office qui capture l’adresse email du destinataire et envoie d’autres messages de phishing à ses contacts. Le malware est lancé via la fonction de prévisualisation de Microsoft Office et ne nécessite pas que l’utilisateur ouvre le document.
L’email usurpe l’identité du service de la paie et informe le personnel qu’il met à jour le portail de paiement en ligne. Un lien est intégré au message afin que les membres du personnel puissent mettre à jour leurs informations de dépôt direct et leurs justificatifs d’identité. Le message inclut également le logo de l’établissement scolaire pour qu’il ait l’air authentique.
Le lien redirige les utilisateurs vers un domaine tiers géré par les pirates informatiques qui saisissent ensuite les données d’identification de l’utilisateur, après quoi, l’email s’efface automatiquement.
Les cybercriminels utilisent ensuite les informations capturées pour se connecter aux comptes compromis et rediriger les paiements vers une série de cartes prépayées.
Patch de mise à jour contre les attaques de phishing visant les écoles
Cette nouvelle forme d’attaque présente un avantage et un inconvénient. L’avantage est qu’elle peut être atténuée si votre logiciel Microsoft Office est entièrement patché, car la menace tire parti d’une vulnérabilité dans la fonction d’aperçu de Microsoft Office.
Si vous gardez vos systèmes entièrement patchés, vous pouvez donc contrer plus efficacement la majorité des cyberattaques.
L’inconvénient est que les districts scolaires sont des cibles faciles.
Souvent, le personnel informatique est peu nombreux ; ou bien, il est trop occupé par les tickets, le dépannage et la maintenance ; ou encore parce qu’il n’a pas le temps ni la base de connaissances nécessaire pour garantir la cybersécurité.
Selon la revue académique « The Journal », il faut en moyenne 221 jours aux K12 pour identifier une brèche et 83 jours pour la contenir, alors qu’il faut respectivement 155 et 34 jours pour les professionnels dans le secteur financier.
Force est de constater que les districts scolaires disposent souvent de plus d’informations sur les personnes que la plupart des entreprises.
Les pirates informatiques ciblent les districts scolaires pour pénétrer dans leurs systèmes d’information afin de voler les renseignements personnels des élèves et du personnel, comme les numéros de sécurité sociale et les renseignements fiscaux.
Dans certains cas, il peut s’écouler des années avant que les victimes apprennent que leurs renseignements personnels ont été compromis.
Les données sur les adolescents sont particulièrement attrayantes pour les pirates informatiques. C’est pour cette raison qu’ils sont assez patients pour attendre que ces élèves commencent à établir leur crédit plus tard dans leur vie.
Un certain nombre d’écoles ont déjà été la cible d’attaques de ransomware. Ces établissements constituent d’excellentes cibles puisque la plupart d’entre eux sont complètement dépendantes de la technologie pour l’enseignement en classe.
Les écoles doivent même s’inquiéter des attaques d’élèves qui tentent de modifier les notes ; de voler des tests ou de mettre en œuvre des attaques DDoS afin de perturber les tests en ligne.
Puisque les districts scolaires sont considérés comme des cibles faciles à atteindre, ils sont parfois utilisés comme moyen de s’introduire dans d’autres institutions gouvernementales.
En octobre dernier, un groupe de pirates informatiques a pénétré dans quatre districts scolaires de Floride pour tenter de pénétrer dans d’autres systèmes gouvernementaux sensibles, notamment les systèmes de vote de l’État.
Compte tenu des failles dans la sécurité web des districts scolaires, il n’est pas surprenant que 445 incidents de sécurité aient eu lieu dans le secteur de l’éducation. C’est ce que le rapport d’enquête de Verizon sur les atteintes à la sécurité des données a rapporté l’an dernier.
Les résultats d’une récente enquête menée par le Consortium for School Networking (SoSN) et l’Education Week Research Center sont aussi surprenants.
Selon ledit rapport, seulement 15 % des responsables dans établissements scolaires ont déclaré avoir mis en place un plan de cybersécurité dans leur propre district.
Voici quelques-uns des résultats :
37 % ont affirmé que les escroqueries de phishing constituent une menace importante, tandis que 11 % les ont identifiées comme une menace très importante
27 % ont déclaré que les malwares et les virus constituent une menace importante, tandis que 6 % les ont identifiés comme une menace très importante
20 % considèrent les ransomwares comme une menace importante, tandis que 7 % les ont identifiés comme très importants
12 % des répondants considèrent les attaques DDoS comme une menace importante, tandis que 6 % les ont identifiées comme une menace très importante
10 % affirment que le vol d’identité constitue une menace importante, tandis que 6 % l’ont qualifié de menace très importante.
Les recommandations du MS-ISAC pour contrer le phishing visant les écoles
Utiliser une authentification à deux facteurs pour l’accès aux sites web de dépôt direct des employés
Les environnements Microsoft Office ne doivent pas être configurés pour une connexion mobile sans vérification du système ou de l’adresse IP
Tapez manuellement l’adresse du site web de votre compte de dépôt direct. Ne vous fiez pas aux hyperliens intégrés dans les emails non sollicités qui prétendent provenir de votre site web de dépôt direct
Les changements apportés au site web de dépôt direct pour les employés devraient comprendre une question de contestation
Ne fournissez pas de renseignements personnels ou financiers en réponse à une demande par email
Les districts scolaires ont reconnu la valeur de l’intégration de la technologie dans l’apprentissage. De la même manière, ils doivent aussi reconnaître les risques que peuvent représenter les vulnérabilités du monde numérique.
Le fait de ne pas sécuriser chaque appareil qui se connecte au réseau de l’école offre l’ultime espace ouvert aux pirates informatiques. Alors, ne les laissez pas franchir la porte d’entrée de votre établissement scolaire.
Vous êtes un professionnel de l’informatique dans une école ? Vous souhaitez vous assurer que les données et les périphériques sensibles des élèves et du personnel sont protégés ? Parlez à un spécialiste ou envoyez-nous un email à info@titanhq.com pour toute question.
Si votre ordinateur a été infecté par Petya, WannaCry ou un autre ransomware similaire, il n’est pas certain que vous allez pouvoir récupérer vos fichiers et données, même si vous payez la rançon.
La plupart d’entre nous savent que les pirates peuvent utiliser le ransomware pour chiffrer vos données et demander ensuite un paiement pour les déchiffrer.
Mais ce que vous devez aussi noter, c’est que le nombre d’attaques de ransomware a atteint son plus haut niveau historique en avril 2016, soit une augmentation de 159 % par rapport à mars, selon Enigma Software.
Bien qu’il s’agisse d’une hausse inhabituelle, les attaques de ransomware augmentent de 9 à 20 % par mois depuis un certain temps. Il y a plusieurs raisons à cela :
Les attaquants profitent de la panique causée par chaque nouvelle attaque.
Les technologies de chiffrement de haut niveau, comme la version 2048 bits de l’algorithme cryptographique RSA, sont de plus en plus répandues.
Les innovations dans le traitement des devises numériques telles que Bitcoin ont rendu encore plus difficile la traçabilité des transferts.
Les attaquants n’ont plus besoin d’avoir une connaissance approfondie sur les nouvelles technologies pour mener une attaque. La plupart des ransomwares sont disponibles sous forme de kits d’exploitation prêts à être utilisés.
Quelle est l’ampleur de la menace que représentent les ransomwares ?
L’attaque de ransomware est aujourd’hui l’une des plus grandes menaces de cybersécurité. De nouvelles variantes sont publiées en permanence, ce qui rend les attaques plus difficiles à contrer, et le nombre d’attaques ne cesse d’augmenter.
En 2017, les spécialistes prévoyaient que les cybercriminels s’attaqueront aux serveurs et PC critiques des entreprises.
En retenant ces dispositifs sensibles en otage, les cybercriminels pouvaient exercer des pressions au bon moment dans le but d’obtenir des rançons, et ce, le plus rapidement possible.
Les entités publiques paniquaient déjà lorsque les gouvernements américain et canadien ont lancé conjointement une alerte aux demandes de rançon en mars 2016. En mai 2016, un sous-comité judiciaire du Sénat des États-Unis a tenu une audience pour étudier la question.
Rappelons que le Hollywood Presbyterian Medical Center en Californie a été paralysé par une attaque de ransomware de grande envergure pendant dix jours. Il n’est donc pas surprenant que l’État ait rédigé une loi visant à établir des sanctions spécifiques pour les ransomwares.
Le paiement de la rançon est une décision d’affaires
Dans une récente étude menée par BitDefender, la moitié des victimes des ransomwares ont déclaré qu’elles avaient payé la rançon, et les deux cinquièmes des personnes interrogées ont déclaré qu’elles seraient prêtes à le faire si jamais elles se trouvaient une telle situation.
Payer la rançon n’est pas une décision de sécurité, mais une décision commerciale. Récupérer des fichiers à partir d’une sauvegarde prend du temps et des efforts. De plus, cela peut entraîner une perte de revenus pour les entreprises victimes de l’attaque.
Devriez-vous payer la rançon ?
La réponse est non ! Nous vous recommandons de ne jamais le faire. Une telle pratique soutient les criminels, perpétue leurs cycles d’attaque et les encourage à continuer.
En ce qui concerne le ransomware Petya, comme tout autre ransomware, il y a de fortes chances que vous ne récupériez pas vos données même si vous acceptez de payer la rançon.
Avec Petya, l’adresse e-mail utilisée pour la demande de rançon n’était plus accessible. Elle avait été fermée par le fournisseur de messagerie.
Si vous constatez une infection avant l’apparition d’une demande de rançon, éteignez immédiatement votre machine. En aucun cas, vous ne devriez pas la redémarrer, car il est possible que tous vos fichiers et données ne soient pas encore chiffrés.
Et même si vous payez, les attaquants peuvent choisir de ne pas vous fournir une clé valide ou un code de déverrouillage approprié pour déchiffrer vos fichiers.
Selon le FBI, la plupart des organisations qui paient la rançon n’arrivent pas toujours à retrouver l’accès à leurs données. C’est entre autres le cas de l’hôpital du Kansas Heart. Le 18 mai 2016, l’hôpital a été victime d’une attaque de ransomware et a payé la rançon.
Pourtant, les attaquants ont exigé plus d’argent pour la clé de déverrouillage. L’hôpital a refusé de payer à nouveau.
Il y a un autre problème avec la variante du ransomware Cerber. Il s’agit d’un ransomware qui peut potentiellement « dormir » dans le réseau ciblé.
Plus tard, il pourra être converti en botnet et lancer des attaques par déni de service distribué (DDoS). Grâce aux caractéristiques du botnet, les victimes devaient payer une rançon, encore et encore.
Pouvez-vous faire confiance aux criminels pour déverrouiller vos données ?
Comme pour toute entreprise, il est en fait dans son intérêt de tenir ses promesses. Les attaquants de CryptoWall sont connus pour déchiffrer les fichiers après le paiement de la rançon.
Ils ont même guidé leurs victimes dans la procédure d’obtention de Bitcoins et leur ont accordé des prolongations du délai pour le règlement de la rançon. Mais d’autres auteurs de ransomwares ont une réputation moins fiable.
Les professionnels de l’informatique sont contre le paiement de la rançon
Le FBI a publié un avis en juin au sujet des ransomwares. Le Bureau fédéral d’enquête conseille aux victimes de communiquer avec les représentants du FBI dans leur localité au cas où leurs données feraient l’objet d’une demande de rançon.
Mais certains agents du FBI ont averti qu’ils ne peuvent pas, le plus souvent, déchiffrer les données compromises. Un agent a même déclaré : « La façon la plus simple pour sortir de la situation est peut-être de payer la rançon. »
Cependant, certains professionnels suggèrent que le fait de payer la rançon encourage les criminels à attaquer de nouveau et à demander un montant plus élevé.
Dans la foulée, certaines victimes affirment avoir décidé de payer la rançon afin d’éviter que les pirates causent plus de dommages en représailles.
La communauté informatique en général est contre le fait de payer. Dans un sondage mené auprès de la communauté Spiceworks, un réseau en ligne de professionnels de l’informatique, il y a eu une quasi-unanimité contre le paiement de la rançon.
Cette opinion était même partagée par les membres dont les réseaux avaient été infectés.
Ces victimes ont déclaré que la plupart des données étaient récupérables à partir des sauvegardes, bien qu’elles aient subi une perte de données en raison des sauvegardes ratées, non surveillées, et de la perte des données dans les 24 heures qui suivent leur dernier cycle de sauvegarde.
En effet, votre organisation a le choix de payer la rançon ou non en cas d’attaque de ransomware. Mais si vous ne disposez pas de sauvegardes non affectées, vous n’aurez pas d’autre choix que de le faire.
Donnez plusieurs options à votre organisation
Il y a beaucoup de mesures que vous pouvez adopter pour atténuer les dommages causés par une attaque de ransomware, voire pour en empêcher une de se produire ou de réussir. Inscrivez-vous à notre blog si vous souhaitez recevoir notre prochain article directement dans votre boîte de réception.
