Skip to main content

Rançongiciel : Évitez la paralysie en adoptant un plan complet d’intervention en cas d’incident

Les attaques par rançongiciel sont de plus en plus fréquentes, graves et complexes. Les organisations touchées sont souvent prises au dépourvu et « paralysées », ce qui réduit l’efficacité de la réponse. Au cours de la dernière année, environ 51 % des entreprises dans le monde ont subi une attaque par rançongiciel. L’escalade des attaques – qui implique des rançons plus élevées et une augmentation des temps d’arrêt – a des répercussions importantes sur les finances et les activités.

Les organisations doivent anticiper les attaques possibles par rançongiciel et s’y préparer suffisamment à l’avance. Nous examinons ci-dessous la façon dont les organisations peuvent éviter la paralysie en cas d’attaque, et ce qu’elles doivent prendre en considération avant, pendant et après une attaque.

Avant un incident

Connaissez vos options

  • Sachez qu’en tant que victime d’un rançongiciel, vous aurez trois approches de base pour le retour à la normale :
    1. Restaurer les données à partir de fichiers de sauvegarde.
    2. Tenter de forcer le chiffrement.
    3. Payer la rançon et suivre les instructions de l’auteur de la menace.
  • Il est à noter que des produits d’assurance peuvent être disponibles pour couvrir les coûts associés au retour à la normale. En pareil cas, respectez les exigences de la politique pour maximiser vos chances d’un retour complet à la normale. 
  • Soyez conscient que ces approches sont exigeantes en main-d’œuvre et en temps et qu’elles ne vous garantissent pas la récupération de vos données perdues.

Élaborez des politiques et des directives internes

  • Les procédures de traitement des incidents liés à des rançongiciels doivent être intégrées à votre plan d’intervention en cas de cyberincident. Malheureusement, beaucoup de plans d’intervention n’intègrent pas de procédures liées aux rançongiciels.
  • Élaborez une politique pour orienter la prise de décision concernant le paiement ou non d’une rançon en cryptomonnaie. La politique doit préciser les paramètres à prendre en considération, notamment le coût de la rançon par rapport au coût estimé de la récupération, la probabilité que la récupération aboutisse, et ce, que la rançon soit payée ou non, ainsi que les implications réglementaires (voir ci-dessous) et le caractère critique des données. Les cadres supérieurs et l’équipe d’intervention en cas de cyberincident doivent approuver la politique.
  • Même si le paiement d’une rançon ne doit être envisagé que dans des circonstances extrêmes, il est sage d’élaborer un plan de paiement en cryptomonnaie, si cette option s’avérait nécessaire.

Sachez quelles sont les implications réglementaires et les sanctions possibles

Vous devez obtenir l’avis écrit d’un conseiller juridique de l’entreprise au sujet des éventuelles implications juridiques du paiement d’une rançon à l’auteur d’une cybermenace.  Par exemple, les deux cadres juridiques suivants relatifs aux transferts internationaux de fonds peuvent être pertinents.

  • Foreign Corrupt Practices Act (FCPA) : La FCPA interdit aux citoyens américains de corrompre des représentants de gouvernements étrangers pour favoriser leurs intérêts commerciaux. Dans la plupart des cas, le paiement d’une rançon ne contreviendrait pas à la FCPA, mais des circonstances particulières peuvent justifier un examen approfondi en vue de déterminer une éventuelle responsabilité à l’égard de cette loi.
  • Department of Treasury Office of Foreign Assets Control (OFAC) : Le 1er octobre 2020, l’OFAC a publié un avis rappelant aux entreprises et aux citoyens américains l’interdiction de faire affaire avec des personnes figurant sur la liste des ressortissants expressément désignés et des personnes bloquées (« Specially Designated Nationals and Blocked Persons » ou « SDN ») ou de leur verser des fonds.  Les règlements de l’OFAC s’appliquent dans le cas d’un rançongiciel, car l’auteur figure peut-être sur la liste des ressortissants expressément désignés et des personnes bloquées. Les entreprises américaines peuvent être sanctionnées pour manquement aux règles de l’OFAC, et ce, même si elles ne s’acquittent pas personnellement d’une transaction ou ne savent pas qu’un paiement est effectué à une organisation ou à une personne interdite.

Obtenez l’approbation du conseil d’administration

 Vous devez obtenir l’approbation du conseil d’administration pour les documents relatifs aux politiques. Soyez conscient que des politiques seront probablement consultées si une poursuite est intentée contre l’entreprise en raison de la façon dont elle aura traité un incident lié à un rançongiciel.

Examinez les répercussions sur l’assurance

Familiarisez-vous avec la couverture d’assurance contre les cyberrisques, si vous en détenez une, notamment dans le cas d’un paiement à l’auteur d’un rançongiciel ou en cas d’autres pertes résultant d’un tel incident.

Tenez compte des facteurs ci-dessous pour augmenter vos chances de récupérer vos données en vertu de la police :

  • Il est essentiel de signaler l’incident, conformément aux lignes directrices de la police d’assurance en matière de réclamation et de signalement des pertes. Ce signalement s’ajoute à tout signalement effectué aux autorités. Conformément aux modalités de la police d’assurance, l’omission de signaler un incident peut mettre votre couverture en péril. 
  • Demandez à l’assureur d’approuver l’intervention des fournisseurs tiers lors d’un incident. Cette approbation est particulièrement importante dans le cas où un fournisseur tiers ne se trouverait pas parmi les fournisseurs préapprouvés de l’assureur. Les dépenses assurables des fournisseurs peuvent comprendre les coûts liés aux services suivants : conseiller en matière d’atteinte à la protection des données ou en matière de protection des renseignements personnels, enquêtes judiciaires informatiques, surveillance du crédit et des centres d’appels/surveillance du vol d’identité, gestion de crise et relations publiques, et négociation d’une rançon.
  • Il est essentiel de collaborer avec l’assureur tout au long de l’intervention lors d’un incident et pendant le processus de réclamation qui en résulte.

Sollicitez des conseils juridiques

Si ce n’est pas déjà fait, vous devriez envisager de faire appel à un cabinet d’avocats spécialisé dans la cybersécurité et la protection des données pour vous servir de conseiller en intervention en cas de cyberincident. Assurez-vous que le cabinet d’avocats possède de l’expérience en matière de traitement des incidents liés aux rançongiciels. Dans la négative, pensez à choisir un autre cabinet. Le cabinet d’avocats doit :

  • coordonner les tâches liées à l’intervention avec votre courtier d’assurance et votre assureur si vous détenez une cyberassurance;
  • vous fournir des conseils sur les aspects juridiques et réglementaires des rançongiciels, notamment ceux qui concernent la cryptomonnaie, la FCPA et l’OFAC;
  • vous aider à trouver un fournisseur de services cyberjudiciaires possédant une expertise documentée en matière d’incidents liés aux rançongiciels;
  • faciliter les interactions avec les forces de l’ordre et d’autres entités externes, au besoin;
  • s’assurer les services de spécialistes fonctionnels, au besoin, y compris l’aide de centres d’appels et de spécialistes des communications en temps de crise;
  • vous aider à gérer les autres aspects de l’incident qui ne sont pas liés au rançongiciel, comme les notifications et les réclamations d’assurance;
  • s’assurer que l’intégralité de la réponse est couverte par le secret professionnel.

Faites appel à une expertise externe

  • Évaluez le marché des fournisseurs de services cyberjudiciaires et familiarisez-vous avec l’éventail des capacités qu’ils offrent pour gérer les incidents liés aux rançongiciels. Portez votre attention sur les entreprises qui possèdent une expérience et des compétences solides, ainsi qu’une réputation supérieure en matière de cybercriminalistique. Votre assureur ainsi que votre conseiller en intervention en cas de cyberincident peuvent vous aider à trouver des fournisseurs.
  • Familiarisez-vous avec les outils pouvant être disponibles pour déchiffrer diverses souches de rançongiciels connus. Documentez vos apprentissages pour qu’ils puissent peut-être vous servir de ressources d’intervention en cas d’incident. Par exemple, le projet « No More Ransom » constitue une bonne source d’outils gratuits permettant de déchiffrer certaines variétés de rançongiciels. D’autres ressources sont également disponibles et doivent faire l’objet d’une recherche dans le cadre de la préparation aux incidents. Faites appel à votre fournisseur de services cyberjudiciaires pour obtenir de l’aide.

Ouvrez un compte en cryptomonnaie

Familiarisez-vous avec les bases de la cryptomonnaie. Songez à ouvrir un compte sur une plateforme d’échanges de cryptomonnaies pour permettre des transactions rapides et sans problèmes, au besoin. Songez également à ouvrir un compte institutionnel et à effectuer certains paiements en guise d’essai pour vous familiariser avec le processus et démystifier les opérations en cryptomonnaies. Pour les transactions importantes, les fonds versés dans un compte institutionnel en dollars américains peuvent ensuite être échangés contre la cryptomonnaie désirée.

  • Puisque les bitcoins et les autres cryptomonnaies peuvent être des actifs très volatils, il n’est pas recommandé de conserver des soldes importants de cryptomonnaie dans l’éventualité où il faudrait payer une rançon.
  • Sachez que les plateformes d’échanges de cryptomonnaies exigent habituellement des frais pour les achats et les transactions et qu’il est possible de faire appel à un fournisseur de services pour vous aider avec de telles transactions, au besoin.

Pendant un incident

Réduisez au minimum l’exposition et maximisez la sauvegarde

  • Isolez l’infection causée par le rançongiciel en éteignant les serveurs et les ordinateurs dans l’ensemble de l’entreprise ainsi qu’en désactivant les connexions LAN et Wi-Fi du ou des ordinateurs infectés, ou en bloquant le trafic réseau vers eux. Les rançongiciels se déplacent rapidement et peuvent paralyser de façon importante toute une entreprise en quelques minutes. La vitesse de réponse est cruciale, car ce type d’infection se propage rapidement.
  • Éliminez des réseaux et des systèmes le code exécutable du logiciel malveillant. Sachez qu’il y a probablement de nombreuses copies de ce logiciel dans votre environnement informatique. De plus, gardez à l’esprit que les pirates informatiques cachent parfois des logiciels malveillants dans des endroits inattendus (comme des périphériques réseau connectés, dont des imprimantes) et qu’ils peuvent se réactiver et exécuter l’attaque initiale.
  • Ne supprimez pas les fichiers connexes tels que les fichiers clés, les fichiers texte ou les notes du rançongiciel, car ils peuvent être utiles pour connaître les tactiques de l’auteur de la menace ou être nécessaires pour la récupération. Sécurisez la bonne sauvegarde la plus récente dans un stockage hors ligne.
  • Sachez que peu importe la méthode de restauration choisie, une restauration complète des données touchées nécessite beaucoup de travail sur place et peut prendre plusieurs jours.

Tirez profit de l’expertise en assurance

  • Si vous détenez une cyberassurance, sollicitez l’aide de votre courtier en cyberassurance et du gestionnaire de risques de votre organisation pour examiner les exigences applicables du programme d’assurance, ainsi que les attentes de l’assureur et les services qu’il peut offrir pour le rançongiciel en question (comme l’aide aux paiements en cryptomonnaie).
  • Si vous décidez de payer la rançon, informez-en votre assureur avant de faire le paiement. De nombreux assureurs exigent d’approuver à l’avance le paiement d’une rançon par un client.

Suivez les directives internes et externes

  • Suivez le plan d’intervention en cas de cyberincident de l’organisation, y compris les procédures préétablies liées aux rançongiciels, comme celles décrites ci-dessus.
  • Si votre entreprise a déjà signé un contrat avec un fournisseur de services cyberjudiciaires, pensez à conclure un contrat distinct si ce fournisseur doit vous aider à gérer l’incident lié au rançongiciel. Consultez votre conseiller.  Le paiement aux fournisseurs au moyen d’une structure budgétaire et de gestion distincte peut permettre de préserver le secret professionnel de l’avocat.

Payez la rançon... ou non!

  • La décision définitive de payer la rançon doit être prise dans le cadre de discussions internes en profondeur et après avoir obtenu suffisamment de conseils juridiques et procédé à une analyse technique cyberjudiciaire.
  • Si la décision est prise de payer la rançon, suivez les instructions fournies, conformément aux directives de l’équipe cyberjudiciaire.
  • Si la décision est prise de ne pas payer la rançon :
    • Repérez les systèmes touchés. Nettoyez-les et restaurez-les conformément aux procédures et aux priorités informatiques préétablies pour vous assurer qu’ils ne comportent plus de rançongiciels ou de maliciels. Effectuez un nettoyage en profondeur et reformatez tous les dispositifs de stockage, puis restaurez les données à partir de sources fiables et connues.
    • Une fois que tous les systèmes ont été nettoyés et que les applications, les données et les systèmes d’exploitation ont été restaurés, le réseau peut être rétabli et déclaré opérationnel.

Après un incident

Mettez à jour vos directives internes

  • Consignez ce que vous avez appris, entre autres la façon dont l’infection s’est produite et les mesures à mettre en place pour empêcher qu’une telle situation se reproduise.
  • Réexaminez et révisez la politique sur les rançongiciels, au besoin.
  • Mettez à jour vos plans de reprise informatique après sinistre.
  • Réexaminez et révisez la politique sur les rançongiciels, au besoin.

Faites appel à une expertise externe

Faites appel à un fournisseur de services de cyberdéfense pour évaluer les « indicateurs de compromission » de l’ensemble de votre réseau. Trouvez et éliminez tout logiciel malveillant restant, ou les fichiers ou les artéfacts qui y sont associés. Pensez à faire appel à un autre fournisseur que le fournisseur de services judiciaires qui a participé à l’intervention lors de l’incident. Bien que la découverte et l’élimination des indicateurs de compromission fassent partie de l’effort d’intervention, une évaluation indépendante et complète après l’incident renforcera la confiance quant à l’élimination du rançongiciel.

Relevez les faiblesses

  • Corrigez les vulnérabilités ou les lacunes du réseau et des systèmes qui ont été constatées lors de l’analyse judiciaire pour prévenir une autre attaque.
  • Organisez une séance d’analyse après action et leçons retenues avec toutes les personnes qui ont participé à la réponse lors de l’incident. Recueillez des renseignements sur ce qui s’est bien et moins bien déroulé, et déterminez les mesures correctives à prendre pour améliorer le processus d’intervention en cas d’incident lié à des rançongiciels.
    • Pour chaque lacune ou faiblesse, choisissez un cadre supérieur ou un membre de la haute direction qui sera responsable de la mise en œuvre des mesures correctives.

Revoyez la stratégie de sauvegarde

  • Examinez et actualisez la stratégie de sauvegarde des données en y intégrant les pratiques exemplaires reconnues et les leçons apprises lors de l’incident lié à un rançongiciel. Il peut être nécessaire de redéfinir l’architecture du système de sauvegarde des données s’il ne répond pas aux impératifs de sécurité des données. La stratégie de sauvegarde des données doit préciser ce qui suit :
    • Les données à sauvegarder
    • Le lieu d’hébergement des données : sur place, à distance, dans le nuage ou hors ligne
    • La fréquence des divers types de sauvegarde
    • La ou les personnes qui doivent procéder aux sauvegardes
    • La ou les personnes qui doivent s’assurer que les sauvegardes sont effectuées comme il se doit
  • Faites des exercices et testez régulièrement les processus et les systèmes de sauvegarde des données.

Rappelez-vous : Il est possible d’anticiper les conséquences d’une attaque par rançongiciel. Grâce à une solide planification, votre organisation sera prête à faire face à une attaque potentielle.