Multiplication des attaques par rançongiciel : comment limiter les risques ?

Une fois présent sur son « hôte », le terminal cible, un rançongiciel va progressivement chiffrer tous les fichiers qui lui sont accessibles afin de les rendre illisibles par les utilisateurs. Dans le cas d’un réseau d’entreprise, le logiciel va chercher à se propager sur toutes les ressources accessibles.

Voici quelques réflexes à avoir en cas d’attaque de ce type :

• éteindre l’ensemble des machines, notamment celles qui pourraient être touchées par l’attaque ;
• prévenir immédiatement son service informatique ;
• éviter de payer la rançon, car cela ne garantira pas que l’ensemble des données seront restituées et n’immunisera pas contre de nouvelles attaques ;
• conserver les preuves (logs, copies physiques des postes ou serveurs touchés, fichiers chiffrés, etc.) ;
• déposer une plainte auprès des services de police ou de gendarmerie (si vous ne connaissez pas l’auteur des faits, vous pouvez rédiger une pré-plainte en ligne) en vous faisant éventuellement aider d’un avocat spécialisé et avant la réinstallation des systèmes touchés afin de conserver les preuves techniques.

Le site cybermalveillance.gouv.fr permet de vous mettre en relation avec un professionnel spécialisé.

Les pratiques constatées

Les incidents les plus massifs sont souvent dus à une accumulation de plusieurs défauts de sécurité.

Lors de ses contrôles ou dans le cadre de l’analyse des notifications qu’elle a pu recevoir, la CNIL a ainsi constaté que des conséquences importantes d’attaques par rançongiciel résultaient notamment :

• d’un cloisonnement insuffisant du réseau entre les différents serveurs ainsi qu’entre les postes des utilisateurs et les serveurs ;
• de l’absence de mise en œuvre de dispositif de détection automatisée de chiffrement massif de fichiers ;
• de l’absence de mesures de sécurité permettant d’empêcher le chiffrement par un rançongiciel des données personnelles hébergées ou stockées ;
• dans les cas les plus graves, d'absence de sauvegarde des données par les organismes.

En cas d’incident, la restauration des données peut prendre un temps important pendant lequel le système d’information de l’organisme concerné ne sera toujours pas opérationnel. La CNIL a ainsi constaté des opérations de restauration ayant duré plus de 48 h, du fait du volume important de fichiers concernés.

La règle

Le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité des systèmes. Il doit également mettre en œuvre des moyens permettant de rétablir la disponibilité des données personnelles en cas d’incident (article 32 du RGPD).

Pour les établissements publics, et notamment les établissements de santé, la circulaire du Premier ministre du 17 juillet 2014, relative à la politique de sécurité des systèmes d’information de l’État, indique qu’un système de cloisonnement du système d’information en sous-réseaux de sécurité homogène doit être mis en place pour garantir la sécurité des réseaux locaux.

Les bonnes pratiques

• Disposer de sauvegardes « hors ligne » de données, à jour et testées, afin de permettre la restauration du système d’information depuis des sources saines, et conserver ces données dans un lieu différent, distant de l’environnement de production.
• Segmenter le système d’information selon des zones présentant chacune un niveau de sécurité homogène. Plus précisément, la mise en place d’un filtre entre le poste de l’utilisateur et les serveurs de l’organisme peut limiter la diffusion de l’attaque.
• Sensibiliser le personnel aux risques de sécurité et aux bonnes pratiques à suivre. En effet, la CNIL a constaté que ces attaques par rançongiciel résultaient très souvent du téléchargement d’un fichier malveillant reçu par hameçonnage, adressé sur une messagerie autre que celle de l’établissement, mais dont le message aurait été ouvert depuis un poste de travail interne à l’établissement de santé.
• Mettre à jour les principaux outils utilisés : système d’exploitation, antivirus, lecteur PDF, navigateur, etc. et, si possible, désactiver les macros des solutions de bureautique qui permettent d’e­ffectuer des tâches de manière automatisée. Cette règle permet d’éviter la propagation des rançongiciels via les vulnérabilités des applications.
• Créer un compte « utilisateur », qui sera l’unique compte accessible une fois l’ordinateur configuré. Cette règle ralentira l’attaquant dans ses actions malveillantes et évitera la compromission de comptes « administrateur » aux privilèges étendus sur le système.
• Mettre en œuvre un mécanisme de détection de l’altération massive des fichiers (en particulier par chiffrement) ou restreindre les programmes autorisés à être exécutés afin d’empêcher le chiffrement de serveurs de fichiers ou de bases de données par un rançongiciel.
• Limiter les droits d’écriture sur les serveurs de fichiers afin de réduire le volume de données susceptibles d’être chiffrées par un rançongiciel.

La notification de la violation à la CNIL est nécessaire dès qu’il y a un risque pour la vie privée des personnes, que l’incident soit d’origine accidentelle ou illicite, ce qui peut être le cas pour les attaques par rançongiciel (voir les lignes directrices sur la notification de violation de données personnelles).

Cette notification doit intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, même lorsqu’il s’agit d’une indisponibilité temporaire (articles 33-1 et 55 du RGPD).

Cette notification :

• est une obligation légale passible de sanctions en cas de manquement;
• permet à la CNIL d’avoir connaissance de l’incident et, dans les cas les plus graves, d’orienter et conseiller les organismes sur la conduite à tenir et les mesures à prendre ;
• permet également de déterminer si une communication aux personnes concernées est nécessaire, si elle n’a pas été déjà été faite (article 34 du RGPD) afin que celles-ci puissent prendre les mesures appropriées pour limiter les effets de la violation pour elles-mêmes.

Les étapes à suivre

1. L’incident doit d’abord être consigné dans le registre des violations de données tenu par l’organisme.
2. Si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l’organisme devra procéder à une notification auprès de la CNIL. Si des données sensibles, comme des données de santé, sont concernées, il sera généralement nécessaire de procéder à cette notification, le risque étant présumé.
3. En cas de risque élevé pour les personnes, il sera également nécessaire de les en informer en précisant au moins :

• la nature de la violation ;
• les conséquences possibles de la violation ;
• les coordonnées de la personne à contacter (le délégué à la protection des données de votre entreprise, si vous en avez désigné un) ;
• les mesures prises pour remédier à la situation et en limiter les conséquences.

Cette information devra être complétée, si nécessaire, de recommandations pratiques (modifier les mots de passe, etc.).

Exemple : un établissement de santé a subi une attaque par rançongiciel. Celle-ci a eu pour conséquence de rendre indisponibles des applications médicales pendant un certain temps, rendant l’accès aux dossiers numériques des patients impossible durant cette période. Les données, chiffrées par un tiers, n’avaient pas quitté les serveurs de l’organisme. Cependant, les données personnelles des patients ont été altérées lors de l’attaque, leur forme ne permettant plus leur utilisation normale.

Dans ce cas, cet établissement doit alors notifier la violation à la CNIL, informer les personnes et mettre en place toutes les mesures de sécurité nécessaires.