{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
Johannes Dohren
Partner, Cybersecurity and Privacy, PwC Switzerland
Le déroulement d’une attaque par ransomware est toujours identique, même si les détails des différentes étapes peuvent diverger. Il se compose de quatre phases : préparation, attaque, propagation et infection. Dans le cadre de cette série publiée sur notre blog, nous illustrons ces phases à l’aide d’un scénario imaginaire qui adopte le point de vue d’un exploitant de ransomwares et nous montrons quelles sont les mesures de protection les plus efficaces. Pour conclure, nous traiterons des aspects juridiques du paiement des rançons.
Série d'articles de blog
Voici les points abordés aujourd’hui :
61 % des cadres suisses s'attendent à une recrudescence des incidents par ransomware en 2022.
Cybersécurité et protection des données
Les cyberattaques représentent une menace permanente pour les entreprises issues de tous secteurs d'activité. Nous vous aiderons à identifier les risques et à les combattre.
Phase 3 : la propagation
Lorsque le réseau de l’entreprise ciblée est craqué, il s’agit ensuite d’accéder aux données nécessaires pour exiger une rançon. Cela prend du temps et il faut généralement bénéficier d’accès étendus à plusieurs systèmes. C’est ici qu’entre en jeu le logiciel malveillant (malware) développé par des professionnels. Il aide le cybercriminel à prendre en main et à contrôler des parties du système. Selon les droits d’accès piratés, le logiciel malveillant agit différemment : il essaiera soit de s’approprier d’autres comptes, soit d’accéder à d’autres ordinateurs. Dans chaque cas, le logiciel malveillant livre à l’attaquant-e des premiers éléments sur le système compromis.
Gestion des crises de cybersécurité
Nous disposons d’une large gamme de solutions flexibles, dont des paquets complets qui vous aideront à planifier et à vous préparer aux cyberincidents.
Que pouvez-vous entreprendre à ce stade ?
La devise suivante s’applique ici aussi : les cybercriminels choisissent la voie de la facilité. Dans la pratique, cela signifie souvent que les vulnérabilités identifiées sont exploitées au moment opportun. Dès qu’un correctif est publié pour combler une faille, les développeurs de ransomware prennent également connaissance de cette vulnérabilité et essaieront de l’utiliser de façon ciblée pour lancer une attaque avant que votre entreprise ait installé le correctif.
Gestion des correctifs et renforcement du système :
- Les correctifs et les mises à jour de sécurité représentent le moyen le plus efficace pour stopper les cybercriminels à cette phase. Un système parfaitement à jour n’est pas une cible facile et contraint les pirates à se reporter sur d’autres cibles ou à utiliser des méthodes plus complexes. Si votre système présente une faille de sécurité et que vous ne pouvez pas appliquer de correctif ou toute autre solution pour diverses raisons, vérifiez s’il est possible de déconnecter les appareils concernés de votre réseau jusqu’à ce qu’une solution soit disponible. Si ce n’est pas le cas, il est impératif d’intensifier la surveillance.
- Renforcez votre système et définissez les priorités conformément aux conclusions de votre gestion des risques. Les clients sont généralement prioritaires, suivis du service d’annuaire principal (Active Directory), des serveurs Web, des serveurs de courrier et d’autres appareils accessibles depuis Internet. Ce renforcement doit être régulièrement contrôlé. Vous pourrez ainsi identifier des services système non utilisés et les désactiver afin de réduire l’angle d’attaque.
- Un concept bien étudié des rôles et droits d’accès limiteles possibilités des attaquant-e-s. Les utilisateurs d’un système devraient uniquement bénéficier des droits d’accès dont ils ont réellement besoin. Ainsi, dans beaucoup d’entreprises, les développeurs disposent de l’autorisation nécessaire pour installer des logiciels, contrairement aux autres groupes d’utilisateurs.
Surveillance :
- L’utilisation des technologies modernes de détection et une installation correcte aident à identifier une attaque en cours. Il est ainsi possible de prévenir les dommages dans la plupart des cas ou, au moins, de les endiguer. Vérifiez la configuration de vos capteurs : ils ne doivent pas uniquement contrôler les indicateurs classiques de compromission tels que les adresses IP et les noms de domaine connus. La détection des anomalies joue également un rôle important. Une alarme doit, par exemple, être déclenchée lorsqu’un programme Office exécute une commande PowerShell.
- Testez régulièrement le fonctionnement de la surveillance et du déclenchement des alarmes afin de vous assurer de leur fiabilité.
Autres mesures :
- Test d’intrusion
- Gestion des vulnérabilités
- Contrôle des e-mails entrants et blocage des fichiers exécutables
- Configuration sûre des produits Office
- Renoncement à l’attribution de droits d’administration locale
Gestion des vulnérabilités
Nous prenons en charge le processus afin que vous puissiez vous concentrer sur votre cœur de métier.
#social#
La confiance, facteur clé de réussite
Chez PwC, nous sommes une communauté qui formule des solutions afin de vous aider, avec le renfort de la technologie, à protéger tout ce qui est important pour vous.
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
Nous contacter
Partner, Leader Digital Assurance and Cybersecurity & Privacy, PwC Switzerland
Tel : +41 58 792 84 59
