L'Anssi sensibilise les dirigeants aux risques des rançongiciels

L'Anssi a publié début septembre un guide rédigé avec l'appui de la direction des affaires criminelles et des grâces (DACG) du ministère de la Justice ciblant les dirigeants d'entreprises et de collectivités pour les sensibiliser aux rançongiciels. L'agence déplore en effet une multiplication des attaques par cryptovirus, avec près d'une quinzaine d'attaques mensuelles notifiées à l'agence depuis le début de l'année. Parmi les victimes de grandes entreprises (Orange, MMA, Fleury-Michon…) mais aussi de plus en plus de collectivités locales (région Grand Est, conseil départementale d'Eure-et-Loir, Aix Marseille métropole…), sans compter les nombreuses structures qui ne déclarent pas l'incident. "L’immense majorité des attaques est opportuniste et profite du faible niveau de maturité en sécurité numérique des organisations victimes", relève l'Anssi.

Perte et fuite de données sensibles

L'agence note que "le niveau de sophistication atteint équivaut parfois aux opérations d’espionnage conduites par les États" et des rançons qui peuvent atteindre "plusieurs millions d’euros", "à la mesure des moyens financiers de l’entité victime". Ces attaques génèrent pour les victimes des pertes irrémédiables de données, perturbent les services et ont des "effets systémiques". À cet égard, les attaques d'intercommunalités sont préjudiciables aux communes membres de l'EPCI, de même que certaines collectivités ont pu être impactées par le rançongiciel subi par Bouygues construction en février 2020. Par ailleurs, même si la structure réussit à restaurer ses données, elle peut en subir durablement les conséquences. La métropole d'Aix Marseille vient d'en faire l'amère expérience comme l'a révélé fin août le site spécialisé en cybersécurité Zataz. Plusieurs mois après la cyberattaque qui a paralysé les services de la métropole en mars, celle-ci a eu la désagréable surprise de découvrir plusieurs giga-octets de données confidentielles en téléchargement libre sur le darknet. La fuite de mails et coordonnées d'agents pourrait ainsi valoir à la collectivité d'être poursuivie par la Cnil au titre du RGPD.

Sauvegarde des données et retour au papier

La note de l'Anssi rappelle les principaux moyens de se prémunir des attaques par rançongiciels en reprenant bon nombre des recommandations de son guide d'hygiène informatique. La sauvegarde des données doit ainsi concerner l'ensemble des données ou applications et être "déconnectée du système d’information pour prévenir leur chiffrement". L'agence insiste sur la mise à jour des logiciels, sans omettre ceux utilisés pour la messagerie et le site web. Elle recommande le cloisonnement du système d'information en séparant notamment la partie internet des serveurs internes. La diffusion d'un rançongiciel passant généralement par un clic sur un lien ou une pièce jointe infectée, la sensibilisation des personnels (et élus) est indispensable, les agents dotés de droits d'administrateur étant plus particulièrement ciblés par les pirates. Elle recommande enfin d'anticiper ce risque en dotant l'entité d'un plan de continuité des services, sans omettre la possibilité de "revenir au papier et au crayon".

Payer la rançon alimente les attaques

En cas d'infection, l'Anssi fournit quelques réflexes comme la déconnexion du réseau des machines infectées et la tenue d'un journal d'incident. Elle invite les structures à se faire aider, en recourant au site cybermalveillance.gouv.fr. Elle recommande également de déposer plainte – pour permettre une enquête sur la nature du malware et ses commanditaires – et de déclarer le sinistre à la Cnil. Dans tous les cas, elle enjoint les victimes à ne jamais payer la rançon, son paiement alimentant les attaques. L'Anssi a du reste été chargée par le gouvernement de chercher comment "casser le modèle économique des attaquants et diminuer de manière drastique leur sentiment d’impunité".