L'attaque par rançongiciel

 Présentation de la situation

L’année 2020 a été marquée par une multiplication des attaques malveillantes par voie informatique, à destination de sociétés mais également des collectivités territoriales. Cette nouvelle vague d’attaques informatiques se caractérise par un type d’attaque bien particulier : le rançongiciel est un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon.

Lors d’une attaque par rançongiciel, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière réversible. En pratique la plupart des rançongiciels chiffrent par des mécanismes cryptographiques les données de l’ordinateur pour rendre l’utilisation impossible. L’attaquant demande alors une rançon en échange du moyen de déchiffrer les données.

Les collectivités doivent se prémunir contre ce type d’attaques et savoir comment réagir, et l’ANSSI, agence nationale de la sécurité des systèmes d’information, apporte un certain nombre de solutions adaptées.

 Législation actuelle et cadre réglementaire

 La cybersécurité tend à se développement au niveau réglementaire et législatif pour les collectivités territoriales, avec un certain nombre de textes de références :

-        Le référentiel général de sécurité ou RGS : Les collectivités territoriales ont l’obligation de respecter le référentiel général de sécurité, qui est un texte réglementaire s’inscrivant dans la politique publique de dématérialisation des démarches administratives et de confiance en l’économique numérique instauré par l’Etat. Ce RGS définit les exigences de sécurité pour tous les systèmes d’information mis à disposition des usagers et autorités administratives en vue de réaliser des démarches administratives. C’est également un processus de qualification des prestataires de services de confiance.

Le RGS est pris en application du décret n°2010-112 du 2 février 2010, lui-même pris en application de l’article 9 de l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives.

-        L’apport européen du règlement Eidas, règlement n°910/2014 du 23 juillet 2014 : Il s’agit d’un texte européen qui s’applique aux organismes du secteur public interagissant par voie électronique avec le public. Ce règlement se concentre sur deux axes : l’identification électronique et les services de confiance. Il concerne notamment la signature électronique.

-        Ces deux textes s’articulent conjointement.

-        Le cadre européen du règlement général sur la protection des données RGPD : il s’agit d’un texte européen rendant responsables les collectivités territoriales du traitement des données à caractère personnel. Des exigences en matière de sécurité s’imposent avec la nomination d’un Data Protection Officer, l’inventaire des traitements de données à caractère personnel mis en œuvre par l’organisation, l’analyse d’impact, l’obligation de sécurité.

Le règlement européen sur la protection des données à caractère personnel ou « RGPD » est le nom couramment donné au règlement (UE) n° 2016/679 du 27 avril 2016. Il concerne la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive n° 95/46/CE. Le RGPD est entré en vigueur le 26 mai 2016 et en application depuis le 25 mai 2018. Son objectif est de renforcer la protection et la libre circulation des données à caractère personnel au sein de l’UE.

-        Le service de coffre-fort numérique, introduit par l’article 87 de la loi pour une République numérique (LRN)

 Comment une collectivité territoriale doit-elle se comporter face à la menace d’une attaque de rançongiciel ?

REDUIRE LE RISQUE D’ATTAQUE

1.      Sauvegarder les données

La collectivité se doit de sauvegarder régulièrement les données, y compris celles présentes sur les serveurs de fichiers, d’infrastructure et d’application métier critiques. Ces sauvegardes doivent être déconnectées du système d’information pour prévenir leur chiffrement à l’instar des autres fichiers. L’usage de solutions de stockage à froid, comme des disques durs externes ou des bandes magnétiques, permettent de protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité. Les architectures « backup-less » (méthode d’utilisation de photographie du système – snapshots - pour protéger les données sans utiliser de logiciel de sauvegarde traditionnel.) protègent efficacement contre la destruction de données isolées pour les pannes matérielles mais ne protègent pas contre les attaques par rançongiciel.

2.      Maintenir à jour les logiciels et les systèmes

Souvent, ce sont les vulnérabilités non corrigées des systèmes d’exploitation ou des logiciels qui sont utilisées pour infecter le système ou favoriser la propagation de l’infection. Il faut installer les correctifs de sécurité dans un délai court et selon un processus maîtrisé. En cas d’impossibilité, il s’agira de mettre en œuvre des mesures d’isolement pour les systèmes concernés. Il en est de même pour les ressources exposées sur Internet non mises à jour comme les services de messagerie.

3.      Utiliser et maintenir à jour les logiciels anti-virus

Ces outils ne suffisent pas à protéger contre les rançongiciels mais peuvent empêcher une compromission et éviter le chiffrement des fichiers. Pour une efficacité maximale, il faut une mise à jour fréquente des signatures et du moteur du logiciel et de s’assurer régulièrement de l’absence de logiciel malveillant connu sur les espaces de stockage des fichiers de l’entité.

4.      Cloisonner le système d’information

Pour limiter le risque de propagation, il convient de mettre en place un ou plusieurs dispositifs de filtrage permettant un cloisonnement entre les différentes zones réseaux plus ou moins critiques du système d’information (exemple : zone des serveurs internes, zone des serveurs exposés sur Internet, zone des postes de travail utilisateurs, zone d’administration, etc.). Par ailleurs, les connexions entre les postes des utilisateurs doivent être interdites par défaut.

5.      Limiter les droits des utilisateurs et les autorisations des applications

Une première bonne pratique consiste à vérifier que les utilisateurs ne sont pas administrateurs de leur poste de travail. Ainsi, l’installation de logiciels et l’exécution involontaire de codes malveillants seront impossibles par défaut. Une autre bonne pratique consiste à dédier et à limiter les comptes d’administration sur les ressources du système d’information et à mettre en place des postes de travail dédiés à l’administration, sans accès à Internet.

6.      Maîtriser les accès internet

La mise en œuvre d’une passerelle Internet sécurisée permettant de bloquer les flux illégitimes avec des relais applicatifs incontournables implémentant des fonctions de sécurité (exemple : serveur mandataire pour les accès web, résolveur DNS pour les requêtes de noms de domaine publics) réduira les risques relatifs aux rançongiciels.

7.      Mettre en œuvre une supervision des journaux

Assurer une supervision des incidents de sécurité informatique nécessite de mettre en place une politique de journalisation sur les différentes ressources du système d’information. Cette politique doit permettre d’enregistrer les évènements générés par les différents services hébergés. Ce système de supervision permettra de détecter une éventuelle compromission et de réagir le plus tôt possible pour éviter le chiffrement des données par l’attaquant.

8.      Sensibiliser les collaborateurs

La formation des utilisateurs aux bonnes pratiques de sécurité numérique est une étape fondamentale pour lutter contre cette menace même si elle ne constitue pas un rempart absolu. L’objectif est également de faire naître ou de renforcer certains réflexes chez les utilisateurs en les invitant à signaler au service informatique de l’organisation tout élément suspect.

9.      Evaluer l’opportunité de souscrire à une assurance cyber

10.   Mettre en œuvre un plan de réponse aux cyberattaques

La spécificité des attaques par rançongiciel est leur potentiel effet déstabilisateur sur les organisations. L’attaque cause en général une interruption d’activité partielle et, dans les cas les plus graves, une interruption totale. La mise en œuvre d’un plan de continuité informatique doit permettre à votre organisation de continuer à fonctionner quand survient une altération plus ou moins sévère du système d’information.

11.   Penser sa stratégie de communication de crise cyber

Une stratégie de communication globale de la collectivité doit être définie pour faire face à ce type d’attaque. L’élaboration d’un stratégie de communication repose sur la mise en relation préalable des équipes « métiers » (chaine de production, finances, juridique, communication, logistique, etc.) et des personnes en charge de la sécurité numérique.

REAGIR EN CAS D’ATTAQUE

1.      Adopter les bons réflexes

Le premier des réflexes est d’ouvrir une main courante pour tracer les actions et les événements liés à l’incident. Chaque entrée de document doit contenir : l’heure et la date de l’action ou de l’événement, le nom de la personne à l’origine de cette action ou ayant informé sur l’évènement, la description de l’évènement.

Il est important, pour éviter la propagation du rançongiciel, de déconnecter au plus tôt les supports de sauvegarde après s’être assuré qu’ils ne sont pas infectés, et isoler les équipements infectés en les déconnectant du réseau.

Si une adresse IP est identifiée comme étant malveillante, il sera possible de mettre en place une règle au niveau des pare-feux.

Si l’ensemble des fichiers d’une machine ont été chiffrés, son extinction électrique peut réduire les chances de retrouver dans la mémoire de l’équipement des éléments permettant de recouvrer les fichiers chiffrés. Si la machine infectée le permet, il est donc recommandé d’activer la mise en veille prolongée afin de faire cesser l’activité du programme malveillant tout en préservant la mémoire en vue d’une analyse ultérieure.

2.      Piloter la gestion de la crise cyber

Il est recommandé de mettre en place une cellule de crise au plus haut niveau de l’organisation, indépendante des groupes de travail opérationnels qui auront des responsabilités de pilotage et d’exécution. Cette cellule aura pour objectif de répondre aux enjeux de niveau stratégique de la crise en établissant, par exemple, les stratégies de communication interne comme externe et les éléments à fournir en vue de la judiciarisation ou de la notification règlementaire, notamment pour la Commission nationale de l'informatique et des libertés (CNIL) en cas de violation de données personnelles.

3.      Trouver de l’assistance technique

Certaines entités ne disposent ni des ressources ni de l’expertise nécessaires pour traiter un incident de sécurité. En ces circonstances, elles pourront faire appel à des prestataires spécialisés dans la réponse aux incidents de sécurité.

4.      Communiquer au juste niveau

En cas d’attaque avérée, la stratégie de communication définie par anticipation, voire testée, en amont par les équipes « métiers » et les équipes techniques peut être déployée en lien avec la direction. Également, il est nécessaire de penser très rapidement à l’accompagnement des collaborateurs et des collaboratrices par une communication interne adaptée.

5.      Ne pas payer la rançon

Il est recommandé de surtout ne jamais payer la rançon car ce paiement ne garantit pas l’obtention d’un moyen de déchiffrement et incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux.

6.      Déposer plainte

Il est fortement recommandé, lors d’une attaque par rançongiciel, de déposer plainte auprès des services de police ou de gendarmerie. Le dépôt de plainte conditionne généralement la réparation du sinistre et peut permettre d’identifier, interpeller et présenter les auteurs de l’attaque à la Justice.

7.      Restaurer les systèmes depuis les sources saines

Concernant les équipements infectés, il est préférable de réinstaller le système sur un support connu et de restaurer les données depuis les sauvegardes effectuées, de préférence, antérieures à la date de compromission du système.

Des règles de sécurité doivent être suivies :

-        La vulnérabilité ayant servi au piratage doit être corrigée

-        Vérifier l’absence de modifications réalisées par le programme malveillant afin de se maintenir après le redémarrage d’une machine précédemment infectée.

-        Changer les mots de passe

-        Appliquer les mesures de prévention présentées précédemment.