Blog

Comment se protéger contre les attaques de ransomwares ?

par Editeur | Sep 11, 2019 | Ransomware

Les attaques de ransomwares sont de plus en plus fréquentes, mais vous pouvez vous protéger !

Les ransomwares sont une variante moderne de malwares, qui combinent des tactiques sophistiquées et basiques. Les cybercriminels ne demandent généralement pas de montants exorbitants, étant donné que la rançon se situe généralement entre 300 $ et 1 000 $.

Cependant, sachez que le Hollywood Presbyterian Medical Center a dû payer 17 000 $ à cause d’une attaque impliquant l’accès à ses propres données. À cela s’ajoutaient la perte de revenus et la perte de réputation de l’entreprise suite à l’attaque, le temps que le centre puisse se redresser.

Il n’existe aucun paquet ou ensemble de pratiques uniques qui immunisera un réseau contre une attaque de ransomwares. De plus, les auteurs de malwares modifient continuellement leur « produit ». Par exemple, une infection commence habituellement par des e-mails de phishing. Cela se produit lorsqu’un utilisateur clique sur un lien JavaScript dans un e-mail ou télécharge un document joint contenant des macros qui lancent le ransomware.

À l’origine, les ransomwares utilisaient exclusivement des documents Microsoft Office avec des scripts VBA malveillants. Maintenant, n’importe quelle application et tout document qui exécute le code JavaScript peuvent lancer l’attaque. Cependant, il existe de nombreuses mesures qu’une organisation peut prendre pour atténuer les dépenses liées aux rançons, voire prévenir une attaque de ransomwares.

Mesures générales de sécurité pour se protéger contre les ransomwares

Les petites organisations peuvent éventuellement utiliser des listes blanches pour restreindre l’accès à un nombre limité de sites web et d’applications.

C’est une excellente solution, mais elle est peu pratique pour la plupart des grandes entreprises.

Restriction des privilèges pour se protéger des ransomwares

L’une des mesures souvent négligées consiste à limiter les privilèges de l’utilisateur. Cela devrait être fait sur une base régulière, que ce soit pour se protéger des ransomwares ou non. La fréquence requise dépend du taux de roulement et de mutation au sein de l’organisation.

Les privilèges d’utilisateur « Runaway » peuvent provoquer la propagation de n’importe quel malware comme une traînée de poudre sur le réseau, ce qui le rend difficile à éliminer.

Certes, un audit complet des privilèges des utilisateurs représente une tâche ardue. Mais pour commencer, vous pouvez attribuer des privilèges aux utilisateurs pour les tâches administratives telles que la sauvegarde, les serveurs et le support réseau. Pour réduire au minimum l’utilisation des comptes administratifs, n’autorisez pas ces comptes à recevoir des e-mails et assignez à des employés ayant des rôles administratifs leurs propres comptes restreints habituels pour une utilisation quotidienne.

Configuration du pare-feu contre les ransomwares

Utiliser un pare-feu moderne est essentiel pour protéger votre réseau. Comme les menaces évoluent en permanence, vous devriez donc utiliser un service de mise à jour qui bloque automatiquement les dernières menaces connues.

De nombreux sites web non classés par catégorie sont utilisés dans le cadre de campagnes de phishing ciblées qui distribuent des malwares. Ainsi, il importe de configurer votre pare-feu/proxy, de manière à ce qu’il nécessite l’interaction des utilisateurs finaux — par exemple en intégrant un bouton « continuer » —, qui communiquent avec des sites web non catégorisés.

Comment se protéger contre les attaques de ransomwares ?

• Maintenez vos logiciels à jour. Cela n’empêchera pas les kits d’exploitation « zéro-day » d’attaquer votre organisation, mais corrigera les vulnérabilités logicielles les plus récentes.
• Déployez un « endpoint » qui empêche les appareils contenant des malwares, des logiciels manquants d’accéder au réseau et maintenez les correctifs à jour.
• Désactivez les scripts et macros Microsoft Office. Dans un environnement Microsoft Server, cela nécessite la modification de la stratégie de groupe Active Directory. Avant de mettre en œuvre cette politique, vérifiez qu’aucun département ne serait affecté. Certains bureaux utilisent des templates et des applications avec Visual Basic comme substitut aux logiciels de comptabilité et de vente.
• Les services informatiques devraient bloquer les réseaux informatiques superposés (TOR) puisque le réseau et les serveurs mandataires des TOR sont couramment utilisés par la majorité des ransomwares.
• Pour les lecteurs Dropbox, Google, OneDrive et iCloud, chaque utilisateur doit, autant que possible, mettre en pause la synchronisation. Beaucoup d’utilisateurs ne savent pas comment le faire. Envoyez un mémo ou un e-mail ou ajoutez les étapes à votre bannière de connexion pour former les utilisateurs.
• Implémentez plusieurs produits antimalware pour augmenter vos chances d’empêcher une infection de se produire. À noter qu’aucune solution antimalware ne détecte à elle seule toutes les infections possibles. L’utilisation d’une combinaison de produits réputés renforce grandement votre défense. Assurez-vous également d’implémenter des paquets compatibles entre eux (bien entendu, tous les paquets ne le sont pas).
• Installez un filtre antispam avancé pour les e-mails. Les attaques de ransomwares commencent par un e-mail de phishing. Une solution filtrage de spams peut donc constituer votre première ligne de défense.

Conception d’une stratégie de sauvegarde pour minimiser l’impact des ransomwares

Si votre organisation dispose d’un bon ensemble de sauvegardes, elle aura le choix de payer ou non la rançon en cas d’attaque de ransomware. Sinon, vous n’aurez pas d’autre choix que de payer.

La seule façon de savoir si vous disposez d’un bon ensemble de sauvegardes est de les tester en effectuant une restauration. Dans le cadre d’une maintenance mensuelle, testez la restauration de vos données à partir des solutions de sauvegarde différentes.

Il n’est pas rare que les sauvegardes soient mal configurées ou incomplètes en raison d’une augmentation inattendue de la taille du support requis. En même temps, assurez-vous de vérifier les privilèges de l’utilisateur pour la sauvegarde.

Au sein de la communauté Spiceworks, les professionnels de l’informatique ont discuté de la façon dont ils ont changé leur stratégie de sauvegarde face aux menaces des ransomwares. La plupart des participants ont mis en place plus de procédures de sauvegarde, notamment en stockant leurs données dans plus d’endroits qu’auparavant.

Heureusement, les options de sauvegarde sont plus nombreuses que jamais. La déduplication est par exemple essentielle pour les organisations qui disposent d’un volume considérable de données. La technologie Snapshot (avec des sauvegardes adéquates) peut aussi vous permettre de mettre à jour les données de votre entreprise en un clin d’œil.

Sur ce point, voici quelques conseils à prendre en compte :

Sauvegardez souvent les données

• Respectez la règle 3-2-1, en conservant au moins trois copies de vos données dans deux formats différents, dont une copie est stockée hors site. Mieux encore, considérez 4 copies, 3 supports différents et gardez 2 copies hors site.
• Certains ransomwares n’infectent que les lecteurs réseau locaux et mappés. (Rappelez-vous que les lecteurs réseau mappés peuvent inclure Dropbox, Google Drive, etc.). Utilisez la sauvegarde dans le cloud, telle qu’AWS, en guise d’assurance en cas d’attaque ou de sinistre.
• Dans le cas d’une attaque massive de malwares, les PC utilisateurs devraient faire l’objet d’une réflexion après coup. Des ressources informatiques sont nécessaires pour la restauration des données critiques. Si ces données se trouvent sur un seul PC, profitez-en pour les transférer sur un lecteur réseau.

La formation des utilisateurs est une étape importante

Si seulement Sally n’avait pas cliqué sur ce lien dans son courrier électronique, il n’y aurait pas de rançon à payer ! C’est vrai, la plupart des ransomwares sont livrés par messagerie électronique. Les thèmes typiques incluent les arnaques sur les factures et les avis d’expédition. Il est logique que le meilleur moyen de protéger votre organisation consiste former les utilisateurs finaux sur les menaces et les bonnes pratiques liées au phishing.

Dites NON au ransomware. Empêchez les e-mails de ransomwares d’atteindre vos utilisateurs avec SpamTitan.

Le ransomware Locky se propage via des spams de fausses factures à un rythme alarmant

par Editeur | Sep 9, 2019 | Ransomware

Le ransomware Locky est distribué via des spams contenant des pièces jointes infectées et des liens vers des sites web malveillants. Cette nouvelle souche de ransomware utilise l’extension de fichier Locky lorsque tous vos fichiers importants ont été chiffrés.

Alors que nous entrons dans le deuxième trimestre de 2016, les demandes de rançon distribuées par le biais des spams de fausses factures continuent de faire les gros titres en matière de sécurité informatique. De nouvelles souches apparaissent chaque jour et leurs méthodes d’infection changent. Le dernier-né, Locky, tente de brouiller de nombreux fichiers sur tous les disques qu’il peut trouver. Cela inclut les lecteurs amovibles, les partages réseau et les lecteurs mappés sous Windows, Linux ou MAC OSX.

Comme pour tous les ransomwares, vous ne pouvez déchiffrer vos fichiers qu’une fois que vous avez payé la rançon. Les victimes sont invitées à visiter le dark-web et à payer les escrocs en bitcoins, après quoi la clé de déchiffrement est fournie.

Cela dit, l’attaque semble similaire à celles des autres ransomwares. La différence ici est la façon dont le logiciel malveillant est distribué.

La principale source d’infection est spam, la plupart du temps déguisé en fausses factures. La pièce jointe est un document Word contenant le vénérable vieux porteur de virus : la macro. C’était la méthode de prédilection des auteurs de virus à la fin des années 1990 et, en tant que telle, elle avait été reléguée à l’histoire une fois que Microsoft avait pratiquement désactivé la fonction d’exécution automatique.

Toutefois, avec Locky, le destinataire est invité à activer l’édition dans le document, ce qui permet l’exécution du malware. Cette pratique a été assez efficace pour persuader le lecteur innocent de cliquer sur le bouton jaune « Enable Editing ».

Une fois la macro exécutée, elle télécharge le ransomware, qui commence alors le chiffrement de tous vos précieux fichiers.

A propos du Ransomware locky

Locky est apparu en 2016 lorsque des experts en sécurité ont constaté que les auteurs de malwares délivrent ce ransomware via un e-mail, demandant un paiement via une facture jointe à un document Microsoft Word malveillant qui exécute des macros infectieuses.

Le document – lorsqu’il est ouvert par un employé – ne serait pas dans un format lisible. Une boîte de dialogue s’ouvre avec une phrase « Activer la macro si l’encodage des données est incorrect. » Il s’agit d’une simple technique d’ingénierie sociale utilisée comme appât pour tromper vos employés et leur transmettre l’infection.

Lorsqu’un employé active les macros, les pirates exécutent un fichier binaire qui installe ensuite le cheval de Troie de chiffrement qui verrouille tous les fichiers ayant des extensions spécifiques. Ensuite, les noms de fichiers sont remplacés par une combinaison de lettres et de chiffres.

Une fois les fichiers chiffrés, le malware demande de télécharger le navigateur Tor et d’accéder à un site Web spécifique qui est en fait malveillant. Il demande aussi de payer une rançon pour déverrouiller le fichier chiffré.

Qui est visé par Locky ?

Locky est une menace très dangereuse, capable d’infecter une variété de formats de fichiers, notamment les fichiers créés par les concepteurs, les développeurs, les ingénieurs et les testeurs. La particularité de Locky est qu’il cible essentiellement les petites entreprises.

Les principaux pays touchés par Locky sont les États-Unis, l’Allemagne, la Grande-Bretagne, l’Espagne, la France, l’Italie, la République tchèque, le Canada et la Pologne.

En fait, d’où vient Locky ?

Les auteurs du malware transmettent l’infection via des spams accompagnés de pièces jointes malveillantes comprenant des fichiers .doc, .xls. ou zip.

Les experts en matière de sécurité ont trouvé des preuves que le ransomware Locky a été développé par les pirates qui ont développé ArcTitan. Le ransomware Locky pourrait également provenir de la Russie et il cible tous les ordinateurs du monde entier, sauf la Russie.

Comment détecter le ransomware ?

Les e-mails infectés par Locky semblent authentiques, ce qui rend difficile pour les utilisateurs finaux d’identifier les e-mails malveillants. L’objet des e-mails ressemble souvent au suivant : « Paiement à venir – préavis d’un mois ». Ils peuvent aussi être accompagnés d’un document Microsoft Word contenant des macros malveillantes.

Si le ransomware s’exécute et infecte les fichiers de vos employés, il sera difficile de les récupérer. Ils seront informés qu’ils doivent payer une rançon pour déverrouiller les fichiers.

Comment supprimer le ransomware locky ?

• Au cours du processus de démarrage de votre ordinateur, appuyez sur la touche F8 de votre clavier jusqu’à ce que le menu « Options avancées » de Windows apparaisse, sélectionnez « Mode sans échec » avec invite de commande dans la liste des menus, puis appuyez sur « Entrée ».
• Lorsque le mode « Invite de commande » se charge, tapez sur « cd restore » et appuyez sur « Entrée ».
• Tapez ensuite sur « rstrui.exe » et appuyez sur « Entrée ».
• Cliquez sur « next » dans la fenêtre ouverte.
• Sélectionnez les points de restauration et cliquez sur « next » afin de restaurer votre système avant l’infiltration de locky ransomware sur votre ordinateur.
• Cliquez ensuite sur « YES » dans la fenêtre qui s’ouvre.
• Une fois que votre ordinateur est restauré, scannez le système via un logiciel antivirus efficace et recommandé. Supprimez tous les fichiers locky ransomware restants.

Les campagnes de spams Locky sont bien pourvues en ressources

Des rapports suggèrent que les campagnes de spams de Locky étaient bien financées, à une échelle beaucoup plus grande que la plupart des autres attaques. De nombreux e-mails avaient un sujet qui commençait par « ATTN: Invoice… » ou « Tracking documents ».

Le malware s’est répandu très rapidement — ce qui a surpris de nombreux éditeurs de logiciels antivirus — et a frappé des entreprises qui n’avaient aucune politique de mises à jour régulières et fréquentes de leur sécurité informatique.

Les victimes ont reçu un message de ce type sur leurs ordinateurs :

Malgré sa notoriété, le ransomware n’est qu’un autre type de malware qui menace les données de votre entreprise, votre réputation ou votre solde bancaire. Ce qui est inquiétant, c’est le fait que les criminels utilisent des escroqueries de plus en plus convaincantes pour persuader leurs victimes d’ouvrir des pièces jointes malveillantes ou de suivre des liens vers des sites web douteux.

Malgré toutes les informations et les avertissements destinés à rendre les utilisateurs d’ordinateurs méfiants face aux e-mails non sollicités, les cybercriminels trouvent davantage de moyens efficaces qui rendent leurs messages aussi légitimes et innocents que possible.

Les campagnes de spam semblent aujourd’hui plus localisées, c’est-à-dire qu’elles sont lancées dans le pays ou même la région de la victime. Les sujets sont familiers et le message, ainsi que la pièce jointe, prétendent concerner les processus et les services communs au destinataire. Les e-mails provenant des entreprises, des services publics, des organisations partenaires et des fournisseurs légitimes sont couramment utilisés pour tromper les gens à ouvrir le document ou à cliquer sur le lien fourni. Même la personne la mieux informée et intentionnée pourrait donc être dupée.

Tout cela signifie qu’un simple antivirus et une base d’utilisateurs bien informés ne suffisent plus pour vous protéger et pour protéger vos données.

Mieux vaut donc prévenir que guérir, surtout lorsque la guérison ne sera pas possible sans payer les criminels.

Votre meilleure protection est un ensemble de défenses à plusieurs niveaux

Vous ne pouvez plus vous fier à un ou deux systèmes pour vous protéger d’un attaquant déterminé. Au lieu de cela, vous devriez disposer de plusieurs systèmes pour défendre à nouveau les multiples « vecteurs d’attaque » pouvant être utilisées par les criminels.

Jetons un coup d’œil aux solutions que vous devriez mettre en place :

Sauvegarde

C’est votre dernière ligne de défense contre les ransomwares.

Les sauvegardes hors site vous sauveront non seulement en cas d’attaque de malwares, mais aussi dans de nombreuses situations désastreuses.

Utilisez des sauvegardes chiffrées pour sécuriser vos données.

La principale raison d’une sauvegarde de données est de disposer d’une archive sécurisée de vos informations importantes, qu’il s’agisse de documents confidentiels pour votre entreprise ou de photos précieuses de votre famille. Ceci vous permet de restaurer votre appareil rapidement et sans problème en cas de perte de données.

Pourtant, 30 % des employés ne sauvegarde jamais leurs données dans leurs appareils. Cela peut sembler peu jusqu’à ce que vous le mettiez en perspective, avec la fréquence des pertes de données.

Selon les données de Norton.com ;

• 113 téléphones sont perdus ou volés chaque minute. (Données fournies lors de la Journée mondiale de la sauvegarde) ;
• Les ransomwares attaquent les entreprises toutes les 14 secondes, selonCybercrime Magazine ;
• Chaque mois, 1 ordinateur sur 10 est infecté par des. (Source : Journée mondiale de la sauvegarde) ;
• Les ordinateurs portables sont volés toutes les 53 secondes aux États-Unis. (Kensington)
• Plus de 70 millions de téléphones portables sont perdus chaque année. (Kensington)

Considérez donc la sauvegarde des données comme la pierre angulaire de votre plan de reprise après sinistre. En sauvegardant vos appareils, vous avez déjà une longueur d’avance sur les cybermenaces qui pourraient entraîner une perte de données.

Il convient toutefois de noter que la perte de données n’est pas toujours le résultat de cybermenaces. Il peut également arriver que votre disque dur externe ou votre ordinateur s’use et que vous perdiez vos données. C’est la nature même de tout matériel, et la sauvegarde de vos données peut vous aider à les restaurer sur un nouvel appareil.

Patchs

Assurez-vous que votre système d’exploitation et vos logiciels de productivité sont à jour. Pour ce faire, vous pouvez utiliser des mises à jour sur Internet ou créer des systèmes de mise à jour internes.

Les mises à jour logicielles comprendront fréquemment des correctifs pour les vulnérabilités de sécurité nouvellement découvertes et qui pourraient être exploitées par des attaquants.

Effectuez un correctif complet de l’application tierce (en plus des correctifs du système d’exploitation). Certains logiciels tiers, comme Adobe Flash, sont souvent la cible de malwares et doivent être tenus à jour.

Vous travaillez d’arrache-pied sur votre ordinateur ou votre appareil et un message s’affiche soudainement indiquant qu’une mise à jour logicielle est disponible. Vous êtes occupé, alors vous cliquez sur « annuler » au lieu de « installer », en pensant que vous y reviendrez plus tard, mais vous ne le faites jamais. Cela vous semble familier ?

La vérité est qu’il est facile d’ignorer les mises à jour logicielles, car elles ne prennent que quelques minutes de notre temps et ne semblent pas si importantes. Mais c’est une erreur qui laisse la porte ouverte aux pirates pour accéder à vos informations privées, ce qui vous expose à un risque d’usurpation d’identité, de perte d’argent, de crédit et bien plus encore.

Vous avez peut-être entendu parler de la récente violation de données d’Equifax, qui a touché 143 millions d’Américains, dont les numéros de sécurité sociale, les dates de naissance et les adresses personnelles ont été exposées. Les pirates ont pu accéder aux données de l’agence d’évaluation du crédit grâce à une vulnérabilité connue dans une application web. Un correctif pour cette faille de sécurité était en fait disponible deux mois avant la violation, mais la société n’a pas mis à jour son logiciel. C’est une leçon difficile, mais dont nous pouvons tous tirer des enseignements. Les mises à jour logicielles sont importantes, car elles contiennent souvent des correctifs critiques pour les failles de sécurité.

En fait, la plupart des attaques de malwares les plus dangereuses que nous observons tirent parti des vulnérabilités logicielles des applications courantes, comme les systèmes d’exploitation et les navigateurs. Ce sont de gros programmes qui nécessitent des mises à jour régulières pour rester sûrs et stables. Au lieu de remettre à plus tard les mises à jour logicielles, considérez-les comme l’une des mesures les plus essentielles que vous puissiez prendre pour protéger vos informations.

Outre les correctifs de sécurité, les mises à jour logicielles peuvent également inclure des fonctionnalités nouvelles ou améliorées, ou une meilleure compatibilité avec différents appareils ou applications. Elles peuvent également améliorer la stabilité de votre logiciel et supprimer les fonctionnalités obsolètes.

Maintenez à jour vos logiciels de sécurité et antivirus

La qualité de vos solutions antivirus, antispam et de filtrage de contenu dépend de la qualité de leur dernière mise à jour.

Vous devez conserver une politique de mise à jour régulière et fréquente pour vous protéger des dernières menaces. Faire cela une fois par jour ne suffit pas !

Pourquoi faut-il mettre à jour un logiciel antivirus ?

S’il y a une chose que nous aimerions que vous reteniez de cet article, c’est la suivante : votre version actuelle de l’antivirus ne vous protège que des virus déjà connus. Lorsque vous cessez de la mettre à jour, vous restez exposé face aux nouveaux virus et malwares qui se répandent sur le web. Et il y a beaucoup, beaucoup de nouveaux virus qui sortent chaque jour.

Cela devrait être une raison suffisante pour vous inciter à mettre à jour votre logiciel antivirus. Après tout, essayez de faire un parallèle entre l’utilisation de la dernière version de l’antivirus et le fait d’aller à l’école tous les jours. En tant qu’enfant, si vous sautez vos journées d’école, vous vous retrouverez souvent privé d’informations précieuses. Parfois, il s’agit d’informations qui vous aideront à réussir un futur examen avec brio. D’autres fois, il s’agit d’informations qui pourraient étonnamment, mais littéralement vous sauver la vie plus tard.

Votre antivirus doit « aller à l’école » tous les jours et apprendre tout ce que ses « professeurs » ont à lui apprendre. Sinon, un nouveau virus arrive et vous pourriez vous retrouver à devoir réinstaller le système d’exploitation juste pour vous en débarrasser. Ou, pire encore, vous pourriez devoir payer une rançon pour récupérer vos données.

Lorsque vous maintenez votre antivirus à jour, vous ne protégez pas seulement votre appareil et vos précieuses données ! Mais vous contribuez également à la suppression des virus pour lesquels vous avez reçu des mises à jour de signatures. Car le plus souvent, les virus pourraient être efficacement supprimés, si seulement tous les internautes s’unissaient pour le supprimer de leurs appareils.

Comme ce n’est pas le cas, nous nous retrouvons avec les mêmes vieux virus. Ils se propagent d’un appareil non protégé (ou obsolète) à un autre, profitant de notre paresse pour y mettre un terme.

Chaque jour, des centaines de nouveaux virus informatiques et chevaux de Troie sont développés. Le rythme auquel nous les découvrons et trouvons des solutions n’est peut-être pas très élevé. Pourtant, il est suffisamment important pour que les développeurs d’antivirus publient de nouveaux fichiers de signatures tous les deux jours. Parfois, c’est même tous les jours. Ou plusieurs fois par jour.

Comme nous l’avons déjà dit, plus nous sommes confrontés à des périls, plus les mises à jour sont nombreuses. Tout comme les chercheurs étudient les nouveaux virus qui provoquent des maladies et trouvent des remèdes et des antidotes, les développeurs de codes font de même. Ils travaillent chaque jour à identifier et à combattre les virus informatiques.

De cette façon, lorsqu’ils trouvent une solution, ils la diffusent auprès de leur communauté d’utilisateurs. En fait, c’est le moment idéal pour vous d’en profiter. Il n’y a pas vraiment de meilleure réponse à la question de savoir à quelle fréquence vous devez mettre à jour votre protection antivirus, ou aussi souvent que votre antivirus mette une mise à jour à votre disposition.

Tests d’intrusion

Effectuez régulièrement des évaluations de la sécurité de votre réseau et des tests de pénétration pour découvrir les vulnérabilités inconnues.

Pour arrêter un pirate informatique avant même qu’il ne pense à s’introduire dans votre réseau, votre administrateur de système doit essayer de s’introduire lui-même dans le système ciblé en utilisant les mêmes techniques que celles utilisées par les escrocs.

Le test d’intrusion pour les systèmes informatiques a pour objectif de rechercher les vulnérabilités du système, comme les failles de sécurité, les ports ouverts et d’autres problèmes de sécurité.

Les professionnels dans ce domaine recherchent et essaient d’exploiter les systèmes qu’ils sont chargés de tester.

Ceci étant fait, ils se comportent de la même manière qu’un pirate informatique dans un scénario réel. Pourtant, l’avantage est que les personnes qui font ce type de travail légalement ont souvent accès à des recherches et à des outils plus fiables que ceux dont dispose un pirate informatique ordinaire.

Leur connaissance combinée à des failles des systèmes sont généralement bien plus importante que celle d’un seul pirate attaquant un système, ce qui leur permet de rechercher, en tant que professionnels, une grande variété de failles possible.

Un outil populaire pour ce type de test s’appelle ArcTitan. Il s’agit d’une solution complète et open source, capable de trouver et d’exploiter les failles de sécurité d’un système.

Comme pour toute chose, il y a une courbe d’apprentissage assez raide associée à une plateforme telle qu’ArcTitan, et nous ne suggérons pas à ceux qui ont peu ou pas d’expérience dans ce domaine de placer toute leur confiance en un seul endroit. C’est un outil dont l’utilisation ne requiert aucune connaissance particulière. Chez TitanHQ, nous fournissons une assistance 24 heures sur 24 dont les entreprises qui traitent des données sensibles ont souvent besoin.

Pour arrêter un pirate avant même qu’il ne pense à s’introduire dans le système cible, un administrateur système doit essayer de s’introduire lui-même dans le système en utilisant les mêmes techniques que celles utilisées par un pirate.

Pourquoi est-ce important ?

Les tests d’intrusion sont extrêmement importants à notre époque et le deviennent de plus en plus. À mesure que la technologie progresse et que notre dépendance à l’égard des réseaux et des systèmes utilisés par les entreprises s’accroît, les types de risques augmentent également.

Selon certains rapports, près de 90 % des sites web commerciaux ont, à un moment ou à un autre ; été piratés ou compromis d’une manière ou d’une autre. La vérité est que les méthodes de cybercriminalité se développent aussi vite, voire plus vite, que celles de la cybersécurité. C’est pourquoi il est absolument nécessaire que les entreprises qui se prennent au sérieux, ainsi que leurs clients, produits et services, adoptent une approche pratique et agressive de leur propre sécurité.

De nouveaux moyens de pénétrer dans les systèmes sont découverts en permanence, et en adoptant une approche active et agressive afin de trouver les failles et les colmater. Un administrateur système peut garder une longueur d’avance sur les pirates qui cherchent à tirer parti de leurs vulnérabilités.

Systèmes de sécurité web

Utilisez une approche de la sécurité par couches afin de protéger vos utilisateurs et vos systèmes contre les malwares.

Les menaces de vol de propriété intellectuelle, de données financières, de données de titulaires de cartes, de PII (informations personnellement identifiables) sont plus diverses et de plus en plus difficiles à défendre. Le traditionnel « vandalisme sur Internet » des virus est toujours un problème, mais le « paysage des menaces » en 2017 est beaucoup plus diversifié et dangereux que jamais.

Il devient non seulement plus difficile de protéger vos données confidentielles, mais aussi plus importantes. Votre entreprise est attaquée en ce moment même et, en cas d’intrusion réussie, vous pourriez perdre votre propriété intellectuelle ; vos données sensibles relatives à la planification et aux finances de l’entreprise ; vos informations sur le marché ; et, avec elles, votre avantage concurrentiel global pourrait reculer de plusieurs années.

Mais cela pourrait être le meilleur scénario possible. Si vous perdez les données des titulaires de cartes ou les informations personnelles des clients, non seulement vous devrez payer les coûts de compensation financière et de réparation des systèmes. Mais la valeur de votre marque et la réputation de votre entreprise seront gravement compromises.

Les chevaux de Troie et les virus sont toujours présents et représentent une menace renouvelée lorsqu’ils sont associés à des techniques d’ingénierie sociale pour la distribution.

Les systèmes antivirus ne seront jamais efficaces à 100 %, même contre les malwares connus, tandis que les « menaces du jour zéro », c’est-à-dire les malwares inconnus jusqu’alors, ne cessent de se multiplier.

Les menaces de l’intérieur

Par définition, elles contournent même les meilleurs pare-feu, systèmes de protection contre les intrusions et défenses antivirus. Il est clair qu’il est très avantageux de se trouver à l’intérieur du pare-feu, mais lorsque l’attaquant dispose de droits d’administration sur des systèmes clés, une approche différente de la protection des données est nécessaire.

Attaques de phishing

Les utilisateurs contournent les pare-feu, les systèmes de protection contre les intrusions et les antivirus en accueillant involontairement des malwares.

Exploitation des vulnérabilités – année après année, lorsque le Top 10 des failles de sécurité est publié, les exploitations directes de Cross-Site Scripting (XSS) et d’injection SQL des applications Web figurent toujours en tête de liste ou presque.

Les menaces persistantes avancées (APT)

Les attaques professionnelles les mieux orchestrées jouent sur le long terme. L’APT classique est une campagne tactique menée sur une période prolongée de plusieurs mois sous forme de piratage progressif.

L’APT a généralement pour origine une attaque de phishing. Dans ce cas, l’attaque est soigneusement ciblée. Un « Inside Man » peut implanter un logiciel espion, qui peut ensuite être utilisé comme vecteur pour pénétrer plus profondément dans les systèmes et voler des données sur une période de plusieurs mois.

En réalité, il n’existe pas de meilleure mesure de défense. L’éventail des menaces en termes d’anatomie et de sophistication, associé à des astuces et à la ruse, signifie que nous devons également combiner et exploiter toutes les mesures de sécurité à notre disposition. Pour l’essentiel, l’éventail des mesures peut être résumé comme suit :

Le pare-feu et le système de protection contre les intrusions utilisent des règles et la reconnaissance des signatures d’attaque pour les bloquer

• L’antivirus utilise un dictionnaire de signatures de fichiers pour bloquer et supprimer les malwares.
• Procédures de sécurité fondées sur les meilleures pratiques, comme le durcissement, le contrôle des changements, la gestion des comptes d’utilisateur, les mises à jour et la sécurité physique.
• Le DLP ou « Data Leakage Prevention » fonctionne en bloquant les fonctions d’exportation de données comme les ports USB, les graveurs de DVD et d’autres mécanismes de transfert pour la copie de données.
• Le chiffrement et la tokénisation rendent les données inutilisables de différentes manières. Le chiffrement, par exemple brouiller les données pour les rendre illisibles sur tout appareil non autorisé à les utiliser, alors que la tokénisation traduit les données en un jeton, les jetons résultants n’ayant aucune signification, à moins d’être utilisés en conjonction avec le magasin de données à jetons.
• La liste blanche bloque l’exécution de tout processus non autorisé sur un système, ce qui permet de prévenir les virus et les chevaux de Troie.
• Le SIEM ou « Security Incident and Event Management » fournit une analyse et une corrélation de toutes les activités du journal des événements du système afin d’identifier les activités irrégulières ou inhabituelles.
• Le FIM ou « File Integrity Monitoring » détecte toute activité du système de fichiers affectant les fichiers système/programme, ainsi que tout changement de configuration susceptible d’affecter la sécurité.

Utilisez des logiciels de sécurisation des nœuds d’extrémité

Cela inclut les pare-feu basés sur le client.

Les solutions de protection des points d’extrémité offrent aux entreprises, une solution de sécurité gérée de manière centralisée pour sécuriser les postes de travail, les points d’extrémité (serveurs, etc.), qui sont connectés aux points d’extrémité et les dispositifs de ces derniers.

Elle est considérée comme la meilleure, car elle intègre un antivirus, un anti-spyware, un pare-feu et un contrôle des applications qui comporte des techniques HIPS (prévention des intrusions dans l’hôte) – le tout dans une seule console.

Il combine la gestion des correctifs, la capacité de configuration et l’évaluation des vulnérabilités pour permettre une protection proactive des fichiers de données et le cryptage des disques.

Désactiver l’exécution des macros par défaut dans Microsoft Office

Faites une sauvegarde des fichiers vitaux sur des disques externes ou dans le cloud.

Bien que Microsoft détecte et supprime Locky, nous vous recommandons de désactiver les macros afin d’empêcher cette menace et d’autres menaces téléchargées par macros d’infecter votre PC, puis de n’activer que les macros auxquelles vous faites confiance, au cas par cas.

Pour assurer la sécurité de votre entreprise, envisagez d’utiliser un emplacement de confiance pour les fichiers de votre entreprise, où vous pourrez stocker les documents nécessitant des macros. Vous pouvez également utiliser nos services de protection dans le cloud pour renforcer votre protection..

Logiciel d’analyse des e-mails

• Bloquez les fichiers exécutables et les autres types de fichiers malveillants ou indésirables.
• Listes de blocage en temps réel
• Analyse antispam
• Analyse antivirus
• Contrôle du contenu

Analyse du web

• Analyse antivirus
• Protection contre les malwares
• filtrage des URL
• analyse SSL
• Bloquez les fichiers exécutables et autres types de fichiers malveillants ou indésirables.
• Gestion des applications

Autres solutions de sécurité du réseau

• Pare-feu
• Inspection dynamique des paquets
• Système de prévention d’intrusions (IPS)

Ce qui est certain au sujet des attaques de ransomwares, c’est qu’il est pratiquement impossible de récupérer vos données chiffrées suite à un tel incident. Il est donc préférable de vous protéger correctement dès le départ.

On ne saurait trop insister sur l’importance des sauvegardes dans la lutte contre les ransomwares. Il est essentiel de sauvegarder les fichiers pour pouvoir les récupérer après une attaque de ransomware et de s’assurer que le disque de sauvegarde n’est pas accessible par un malware.