Les pirates informatiques utilisent de plus en plus les ransomwares comme un outil efficace pour perturber les entreprises et financer des activités malveillantes.

Une récente analyse de la société de cybersécurité Group-IB a révélé les attaques de ransomwares ont doublé en 2020, tandis que Cybersecurity Venture prédit qu’un une attaque de ransomware se produira toutes les 11 secondes en 2021.

Les entreprises doivent se préparer à la possibilité d’une attaque de ransomware affectant leurs données, leurs services et la continuité de leurs activités. Quelles étapes sont impliquées dans la récupération d’une attaque de ransomware ?

  1. Isoler et arrêter les systèmes critiques
  2. Mettre en œuvre votre plan de continuité d’activité
  3. Signaler la cyberattaque
  4. Restore depuis une sauvergarde
  5. Corriger, corriger et surveiller

Isoler et arrêter les systèmes critiques

La première étape importante consiste à isoler et arrêter les systèmes critiques pour l’entreprise. Il est possible que le ransomware n’ait pas affecté toutes les données et tous les systèmes accessibles. L’arrêt et l’isolement des systèmes infectés et des systèmes sains aident à contenir le code malveillant.

Dès la première preuve de ransomware sur le réseau, le confinement devrait être une priorité. Le confinement et l’isolement peuvent inclure l’isolement des systèmes du point de vue du réseau ou leur mise hors tension totale.

Mettre en œuvre votre plan de continuité d’activité

Le plan de continuité des activités et sa composante de reprise après sinistre sont essentiels au maintien d’un certain niveau d’opérations commerciales.

Le plan de continuité des activités est un guide étape par étape qui aide tous les services à comprendre comment l’entreprise fonctionne en cas de catastrophe ou d’autres scénarios de modification de l’activité. Le composant de reprise après sinistre détaille comment les données et les systèmes critiques peuvent être restaurés et remis en ligne.

Signaler la cyberattaque

De nombreuses entreprises peuvent hésiter à le faire, mais il est essentiel de signaler l’attaque aux clients, aux parties prenantes et aux forces de l’ordre. Les organismes chargés de l’application de la loi peuvent donner accès à des ressources qui pourraient ne pas être disponibles autrement.

Vous devrez également tenir compte des règlements de conformité. Le RGPD, par exemple, offre aux entreprises un délai de 72 heures pour divulguer une violation de données impliquant les informations personnelles des clients.

Restore depuis une sauvergarde

La meilleure mesure de protection dont vous disposez pour vos données sont les sauvegardes. Cependant, la restauration de grandes quantités de données peut prendre du temps, obligeant l’entreprise à rester hors ligne pendant une période prolongée.

Cette situation met en évidence la nécessité de découvrir et de contenir les infections par ransomware le plus rapidement possible afin de réduire la quantité de données à récupérer.

Corriger, corriger et surveiller

Dans la phase finale de récupération après une attaque de ransomware, les entreprises remédient à l’infection par ransomware, corrigent les systèmes qui peuvent avoir conduit à la compromission initiale du ransomware et surveillent de près l’environnement pour détecter d’autres activités malveillantes.

Il n’est pas rare qu’une activité malveillante se poursuive, même si la rançon est payée ou si les systèmes infectés ont été restaurés. S’il existe la même vulnérabilité qui a conduit à l’attaque initiale, l’environnement peut être à nouveau compromis.

Corriger les points d’entrée courants pour les ransomwares

Alors que les entreprises cherchent à renforcer l’environnement contre les ransomwares et autres menaces malveillantes, il est crucial d’examiner les points d’entrée communs pour ces types d’attaques.

Les cyberattaques utilisent des attaques de phishing pour récupérer des informations d’identification volées qui peuvent ensuite être utilisées pour lancer une attaque de ransomware ou accéder directement aux systèmes.

Prévention et prochaines étapes

Les entreprises ne doivent pas être négligentes dans la gestion de la sécurité des mots de passe, en particulier avec les comptes d’utilisateurs Active Directory. Malheureusement, Active Directory ne dispose pas de bons outils de sécurité natifs pour sécuriser les mots de passe conformément aux exigences actuelles de la politique de sécurité des mots de passe.

La politique de mot de passe Specops fournit une protection par mot de passe violé, des listes de mots de passe non autorisés et de nombreuses autres fonctionnalités de sécurité robustes pour protéger votre environnement. Il reprend les politiques de mot de passe très basiques disponibles dans Active Directory et les aligne avec les directives modernes du NIST et d’autres autorités de cybersécurité.

En savoir plus sur Politique de mot de passe Specops et téléchargez un essai gratuit pour protéger votre environnement des mots de passe vulnérables.



Leave a Reply