Sélection de la langue

Guide sur les rançongiciels (ITSM.00.099)

Format de rechange : Guide sur les rançongiciels (ITSM.00.099) (PDF, 2.55 Mo)

Avant-propos

La présente publication est un document NON CLASSIFIÉ publié avec l’autorisation du dirigeant principal du Centre canadien pour la cybersécurité (Centre pour la cybersécurité). Pour obtenir de plus amples renseignements, prière d’envoyer un courriel ou de téléphoner au Centre de coordination des services du Centre pour la cybersécurité :

Centre de coordination des services
contact@cyber.gc.ca
613-949-7048 ou 1-833-CYBER-88

Date d’entrée en vigueur

Le présent document entre en vigueur le 30 novembre 2021.

Historique des révisions
Révision Modifications Date
1 Première version. 30 novembre 2021

Table des matières

Liste des figures

Liste des tableaux

Vue d’ensemble

Un rançongiciel est un type de maliciel qui empêche un utilisateur légitime d’accéder à des ressources (système ou données) jusqu’à ce qu’il ait payé une rançon. Il s’agit d’une menace sérieuse et en constante évolution à l’endroit des Canadiens. L’incidence d’un rançongiciel peut s’avérer dévastatrice pour les organisations qui peuvent perdre l’accès à leurs données et à leurs dispositifs essentiels, et ainsi être incapables de mener leurs activités auprès des clients. Nous avons constaté une recrudescence des attaques par rançongiciel touchant autant des organisations canadiennes que des particuliers. Les auteurs de menace ont adapté leurs tactiques de façon à forcer les organisations victimes à payer la rançon en menaçant de divulguer les données ou les justificatifs d’identité volés dans le but d’humilier publiquement l’organisation ciblée. Les incidents liés aux rançongiciels sont devenus de plus en plus sophistiqués, ciblés et complexes. Il devient également de plus en plus difficile pour une organisation de se défendre contre ces attaques et de s’en remettre, plus particulièrement si elle ne possède que des ressources ou un budget limités pour faire face à la situation.

Les tactiques opérationnelles des auteurs de menace leur permettant d’accéder à l’infrastructure d’une organisation se font plus discrètes. Elles impliquent l’accès aux systèmes de communication pour établir les systèmes essentiels, les données de grande importance, les renseignements personnels et les données pouvant causer une atteinte à la réputation si ces données étaient divulguées. Les auteurs de menace déploient ensuite le rançongiciel aux ensembles de données et aux systèmes les plus importants ou ayant la plus grande valeur, laissant ainsi l’organisation compromise. Outre cette tactique, les auteurs de menace surveillent étroitement les communications et les mesures planifiées de reprise d’une organisation pour miner ses efforts et infiltrer davantage les réseaux et les dispositifs connectés.

Les renseignements contenus dans le présent document visent à informer les organisations et à les aider à dresser le portrait des risques liés aux attaques par rançongiciel, à réduire les conséquences de ces attaques et à prendre des mesures préventives pour les contrer. Vous pouvez utiliser les principes exposés ci-dessous pour vous aider à définir vos exigences opérationnelles et celles en matière de sécurité, de même que pour vous aider à mettre en œuvre des politiques et procédures pertinentes relatives à la cybercriminalité.

Le document est divisé en deux sections :

  1. Se défendre contre les rançongiciels
  2. Se remettre d’une attaque par rançongiciel

Si vous avez été victime d’une attaque par rançongiciel, et si vous avez besoin d’aide et de conseils pour vous en remettre, veuillez consulter la section 2 « Se remettre d’une attaque par rançongiciel. » Signalez l’incident lié à un rançongiciel aux organismes d’application de la loi (c.-à-d. au service de police local et au Centre antifraude du Canada) et en ligne au Centre canadien pour la cybersécurité dans Mon Cyberportail.

Lorsque vos efforts de reprise sont en place, veuillez consulter la section 1 « Se défendre contre les rançongiciels » pour obtenir des conseils visant à améliorer votre environnement de cybersécurité.

Pour obtenir de plus amples renseignements, communiquez avec notre Centre de coordination des services :

Centre de coordination des services
contact@cyber.gc.ca
613-949-7048 ou 1-833-CYBER-88

1 Introduction

Le présent document traite des rançongiciels, des motivations et gains des auteurs de menace, ainsi que des mesures à prendre pour empêcher ces attaques et protéger votre organisation. Les renseignements présentés visent à vous informer, ainsi que votre organisation, des risques, des répercussions et des mesures préventives associés aux incidents liés aux rançongiciels. Le document se divise en deux sections :

  1. Prévention : Cette section vise à définir un rançongiciel, à exposer les vecteurs communs utilisés pour infecter les réseaux et les dispositifs, à fournir une liste de mesures préventives pour protéger votre organisation et à offrir des listes de vérification pour certaines mesures d’atténuation précises. Lorsque vous appliquez ces mesures, vous profitez de pratiques exemplaires en cybersécurité et d’une protection accrue contre les cyberincidents et les auteurs de menace, y compris les rançongiciels.
  2. Réaction : Cette section donne des indications sur les mesures immédiates à prendre dès la découverte d’un rançongiciel, sur les mesures qui permettront la reprise des activités et sur les méthodes nécessaires pour évaluer l’incident et améliorer les mesures de sécurité. En suivant les mesures présentées dans cette section, vous pourrez optimiser votre capacité à réagir à un incident et à réduire le risque de voir votre organisation devenir victime de rançongiciels à répétition.

1.1 Qu’est-ce qu’un rançongiciel?

Un rançongiciel est un type de maliciel qui bloque l’accès aux fichiers ou aux systèmes jusqu’à ce que l’utilisateur verse une somme d’argent. Les incidents liés à des rançongiciels peuvent détruire votre organisation en perturbant vos processus opérationnels et fonctions essentielles tributaires de la connectivité des réseaux et des systèmes.

Vecteurs de rançongiciel

L’hameçonnage est une attaque qui utilise un texte, un courriel ou les médias sociaux pour inciter les utilisateurs à cliquer sur un lien malveillant ou une pièce jointe malveillante. Les tentatives d’hameçonnage prennent souvent la forme d’un envoi massif de messages généraux qui semblent légitimes et qui semblent provenir d’une source de confiance (p. ex. une institution financière). Un code malveillant exécute des commandes en se servant des privilèges de votre compte. Les auteurs de menace peuvent également profiter de cette occasion pour installer une porte dérobée sur vos dispositifs.

Un téléchargement furtif se produit lorsqu’un utilisateur visite, sans le savoir, un site Web infecté qui entraîne le téléchargement puis l’installation d’un maliciel, toujours à son insu.

Le placement de publicité malveillante permet d’injecter un code malveillant dans des publicités légitimes en ligne. Lorsqu’un utilisateur clique sur la publicité, un maliciel se propage dans son dispositif.

Les services exposés, comme le protocole RDP (pour Remote Desktop Protocol) et les systèmes de gestion de contenu, donnent accès à vos dispositifs. Les auteurs de menace ont recours à diverses tactiques, comme l’exploitation des vulnérabilités courantes et la pulvérisation de mots de passe, pour accéder à vos dispositifs par les systèmes exposés et déployer un rançongiciel.

Aides au rançongiciel

Bien que les éléments suivants ne représentent pas des vecteurs traditionnels, ils demeurent des options que peuvent utiliser les auteurs de menace pour lancer une attaque par rançongiciel.

Les identités de tiers et de fournisseurs de services gérés (FSG) peuvent servir aux auteurs de menace pour usurper des adresses électroniques ou mener des attaques par hameçonnage contre votre organisation. Lisez l’ITSM.50.030, Facteurs relatifs à la cybersécurité à considérer par les clients de services gérés en matière de cybersécurité Note de bas de page 1, pour protéger votre organisation.

L’attaque de la chaîne d’approvisionnement permet aux auteurs de menace d’infiltrer un organisme fournisseur de services et de forcer les utilisateurs connectés à effectuer une mise à jour pour ainsi infecter leurs systèmes et dispositifs au moyen d’un rançongiciel. Lisez l’ITSAP.00.70, Sécurité de la chaîne d’approvisionnement pour les petites et moyennes entreprises Note de bas de page 2, pour sécuriser la chaîne d’approvisionnement de votre organisation.

Le rançongiciel comme service (RaaS pour Ransomware as a Service) est un modèle selon lequel un auteur de menace, peu importe ses compétences, peut acheter un maliciel d’un développeur sur le Web clandestin. Le développeur reçoit ensuite une partie de la rançon versée par la victime.

1.1.1 Comment fonctionne un rançongiciel?

Lorsqu’un rançongiciel infecte un dispositif, il verrouille l’écran ou chiffre les fichiers, empêchant ainsi l’accès à l’information et aux systèmes sur vos dispositifs. Les auteurs de menace peuvent aussi utiliser votre réseau compromis pour propager le rançongiciel dans d’autres systèmes et dispositifs connectés.

Vos réseaux et dispositifs peuvent être infectés par un rançongiciel à la suite de l’une ou l’autre des situations suivantes :

  • consulter des sites Web non sécurisés, suspects ou compromis (téléchargement furtif);
  • ouvrir des courriels ou des fichiers provenant de sources connues ou inconnues (hameçonnage);
  • cliquer sur des liens dans des courriels, des médias sociaux et des réseaux pair à pair;
  • insérer un périphérique infecté (p. ex. une clé USB) dans un dispositif;
  • exposer vos systèmes à Internet inutilement ou sans avoir mis en place des mesures robustes en matière de sécurité et de maintenance, comme la correction des vulnérabilités et l’authentification multifacteur.

Si un rançongiciel infecte votre dispositif, vous recevrez un avis à votre écran vous indiquant que vos fichiers ont été chiffrés et qu’ils seront inaccessibles jusqu’à ce que vous payiez une rançon. Vous pourriez également recevoir sur votre écran verrouillé un message indiquant que votre dispositif est verrouillé et inaccessible jusqu’à ce que vous payiez une rançon. Le message vous ordonnera de payer la rançon pour pouvoir déverrouiller le dispositif et récupérer les fichiers. On demande habituellement la rançon en monnaie numérique, comme des bitcoins, parce que le transfert est difficile à retracer. Des cartes de crédit prépayées ou des cartes-cadeaux peuvent également être demandées. Vous aurez à respecter un délai déterminé pour payer la rançon, après quoi les auteurs de menace pourraient augmenter le montant de la rançon, détruire vos fichiers de façon permanente ou provoquer la fuite de vos données. À titre de méthode d’extorsion supplémentaire, un tel auteur pourrait menacer de rendre publiques vos données si vous ne versez pas la rançon.

Les rançongiciels sont devenus plus sophistiqués et leurs auteurs emploient souvent une combinaison de vecteurs d’attaque, comme l’envoi à votre organisation d’un courriel d’hameçonnage combiné à des attaques par force brute, au cours desquelles ils y vont de nombreuses tentatives de connexion ou de supposition de mot de passe pour accéder à vos systèmes et réseaux. Un rançongiciel peut également être propagé dans les systèmes et réseaux d’organisations connectées par l’entremise de leur chaîne d’approvisionnement. Par exemple, une organisation qui fournit des services à ses clients au moyen de réseaux interconnectés et de systèmes de gestion client pourrait être ciblée par un rançongiciel. L’auteur de menace pourrait alors se servir des réseaux interconnectés ou des systèmes de gestion client pour infecter d’autres organisations au sein de la chaîne d’approvisionnement à l’aide d’un rançongiciel. Ces organisations n’auraient donc plus accès à leurs systèmes, et leurs opérations seraient perturbées.

Le schéma suivant (Figure 1) illustre les manières dont un rançongiciel peut affecter vos réseaux et dispositifs. On y retrouve les trois principaux vecteurs d’accès fréquemment utilisés dans les incidents liés aux rançongiciels, soit les attaques par force brute (attaques par dictionnaire), l’exploitation des vulnérabilités dans vos logiciels et les attaques par hameçonnage.

La figure 1 démontre également les trois étapes d’un incident par rançongiciel : l’auteur de menace parvient à accéder à votre réseau; il prend le contrôle de vos systèmes et de vos dispositifs interconnectés; puis il déploie la charge du maliciel et infecte vos systèmes et dispositifs interconnectés au moyen du rançongiciel.

Lorsque l’auteur de menace obtient le plein contrôle de votre réseau, de vos systèmes et de vos dispositifs, il chiffre vos données, supprime les fichiers de sauvegarde connectés et risque de voler les données de votre organisation. L’auteur peut menacer de divulguer ces données si vous refusez de payer la rançon, ou il peut vous laisser croire qu’il déchiffrera vos données et rétablira votre accès si vous payez la rançon.

Figure 1 : Déroulement des incidents liés aux rançongiciels
Figure 1 - Description détaillé suit.
 
Description détaillée - Déroulement des incidents liés aux rançongiciels

La figure 1 illustre la méthodologie qu’utilise habituellement un auteur de menace pour accéder à votre réseau, à vos systèmes et à vos dispositifs connectés. Un incident de rançongiciel se produit en trois étapes : l’auteur de menace parvient à accéder à votre réseau, à vos systèmes ou à vos dispositifs; l’auteur de menace prend le contrôle et déploie le rançongiciel; l’auteur de menace chiffre vos données, détruit vos sauvegardes et vole les données de votre organisation pour ensuite demander le paiement d’une rançon pour vous permettre de récupérer vos accès.

Un auteur de menace trouve en général le point d’entrée dans votre réseau au moyen d’une attaque par force brute (attaque par dictionnaire), de vulnérabilités qui se trouvent dans vos logiciels et d’attaques par hameçonnage (au cours desquelles l’auteur de menace tente de solliciter de l’information confidentielle appartenant à une personne, à un groupe ou à une organisation en les usurpant ou en imitant une marque commerciale connue, souvent dans le but de réaliser des gains financiers. Les hameçonneurs tentent d’inciter les utilisateurs à divulguer des données personnelles, comme des numéros de carte de crédit, des identifiants de connexion bancaire en ligne ainsi que d’autres renseignements sensibles, qui peuvent ensuite servir à commettre des actes frauduleux).

Après avoir obtenu l’accès à votre réseau, l’auteur de menace prend le contrôle de vos systèmes et de vos dispositifs connectés. Il déploie ensuite la charge du maliciel et infecte vos systèmes et dispositifs connectés au moyen du rançongiciel.

Lorsque l’auteur obtient le plein contrôle, il chiffre vos données, supprime les fichiers de sauvegarde connectés et, souvent, vole les données de votre organisation. L’auteur peut menacer de divulguer ces données si vous refusez de payer la rançon, ou il peut vous laisser croire qu’il déchiffrera vos données et rétablira votre accès si vous payez la rançon.

1.1.2 Quelles sont les cibles des cybercriminels?

Dans l’Évaluation des cybermenaces nationales 2020 (ECN) Note de bas de page 4, nous avons déterminé que les activités de rançongiciel dirigées contre le Canada continueront probablement à cibler les grandes entreprises ainsi que les grands fournisseurs d’infrastructures essentielles. Cependant, cette observation ne signifie pas que d’autres organisations ou personnes sont nécessairement à l’abri des rançongiciels. N’importe quelle organisation peut en être victime si elle compte sur des données pour mener à bien ses activités.

Comme pour la majorité des cybercriminels, les auteurs de rançongiciel sont motivés par l’appât du gain. Ils ciblent des organisations de toutes tailles, et ils exigent un montant en rançon basé sur ce qu’ils croient que l’organisation sera prête à payer pour récupérer ses données chiffrées.

Les attaques par rançongiciel peuvent avoir de graves répercussions, notamment des atteintes à la protection des données et à la vie privée, des atteintes à la réputation, des pertes de productivité, des répercussions juridiques, des dépenses liées à la reprise de même que des dommages à l’infrastructure et aux opérations. Les organisations qui ne peuvent pas se permettre de subir des perturbations prolongées sont plus susceptibles de verser des millions de dollars pour rétablir leurs opérations.

Les petites et moyennes organisations sont également des cibles puisque les auteurs de menace jugent que leurs mesures de sécurité et de protection sont faibles et qu’elles sont donc prédisposées aux attaques. Il est probable que les victimes canadiennes de rançongiciel continuent d’acquiescer aux demandes de rançon en raison des coûts élevés liés aux pertes commerciales et à la reconstruction de leurs réseaux ainsi qu’aux conséquences potentiellement dévastatrices du refus de payer.

Les auteurs de cybermenace volent souvent des renseignements parallèlement à l’attaque par rançongiciel. Ils gardent les données en attendant le paiement de la rançon, les vendent ou les utilisent pour obtenir un avantage concurrentiel inéquitable en tirant profit de renseignements exclusifs ou brevetés. Le vol de renseignements organisationnels, dont la propriété intellectuelle et les données des clients, peut avoir des répercussions financières à court et à long termes pour les victimes, notamment en ce qui a trait à la compétitivité à l’échelle internationale et à la réputation des victimes.

1.1.3 Faut-il payer la rançon?

La décision de payer un auteur de cybermenace pour qu’il vous redonne l’accès à vos fichiers et à vos dispositifs est difficile, et vous vous sentirez probablement pressé de répondre à ses demandes. Avant de payer, communiquez avec votre service de police local et signalez le cybercrime. Payer la somme demandée ne garantit pas pour autant l’accès à vos données chiffrées ou à vos systèmes. Toute réflexion faite, c’est à votre organisation que revient la décision de payer ou non la rançon. Cependant, il est important que votre organisation comprenne bien les risques associés au paiement de la rançon. Par exemple, il est possible que les auteurs de menace utilisent un effaceur. Il s’agit d’un maliciel qui altère ou supprime de façon permanente vos fichiers une fois la rançon payée. Le paiement peut également servir à financer et à appuyer d’autres activités illicites. Même si vous payez, les auteurs de menace peuvent quand même décider de faire ce qui suit :

  • demander plus d’argent;
  • continuer d’infecter vos dispositifs ou d’autres dispositifs de l’organisation;
  • attaquer votre organisation à nouveau;
  • copier, divulguer ou vendre vos données.

Le tableau suivant (figure 2) tiré de l’ECN 2020 illustre l’augmentation de la moyenne des montants payés en rançon au cours des dernières années. Après une augmentation marquée en 2020 comparativement à 2019, les montants connus payés en rançon semblent s’être stabilisés en 2021 à environ 200 000 $, ce qui représente une légère baisse comparativement aux montants observés en 2020. Le marché des rançons a probablement atteint un point d’équilibre : les auteurs de menace arrivent de mieux en mieux à adapter leurs demandes aux montants que leurs victimes sont sujettes à payer compte tenu de l’augmentation des coûts de reprise et du risque de subir une atteinte à la réputation si leurs données étaient divulguées.

Figure 2 : Moyenne des montants payés en rançon au fil du temps
Figure 2 - Description détaillé suit.
 
Description détaillée - Moyenne des montants payés en rançon au fil du temps

Le tableau suivant (figure 2) tiré de l’ECN 2020 illustre l’augmentation de la moyenne des montants payés en rançon au cours de la période de 2019 au troisième trimestre de 2021. La moyenne des montants payés en rançon varie d’environ 25 000 $ à un peu plus de 300 000 $. Après une augmentation marquée en 2020 comparativement à 2019, les montants connus payés en rançon semblent s’être stabilisés en 2021 à environ 200 000 $, ce qui représente une légère baisse comparativement aux montants observés en 2020. Le marché des rançons a probablement atteint un point d’équilibre : les auteurs de menace arrivent de mieux en mieux à adapter leurs demandes aux montants que leurs victimes sont sujettes à payer compte tenu de l’augmentation des coûts de reprise et du risque de subir une atteinte à la réputation si leurs données étaient divulguées.

2 Se défendre contre les cybermenaces

Le rançongiciel est l’un des types de maliciel les plus répandus et potentiellement l’une des cyberattaques les plus dommageables pour votre organisation. Les mesures isolées d’atténuation ne sont pas suffisamment rigoureuses pour lutter contre la menace en constante évolution des rançongiciels. Votre organisation doit adopter une stratégie de défense en profondeur (à plusieurs niveaux) pour protéger ses dispositifs, systèmes et réseaux, non seulement contre les rançongiciels, mais aussi contre d’autres types de maliciel et de cyberattaque. Votre stratégie doit comprendre plusieurs niveaux de défense, ainsi que plusieurs mesures d’atténuation ou contrôles de sécurité à chaque niveau.

2.1 Planification de la cyberdéfense

Il existe de nombreuses approches que vous pouvez adopter pour améliorer la protection de vos réseaux et dispositifs. La liste suivante décrit plusieurs contrôles de sécurité que vous pouvez mettre en œuvre pour renforcer efficacement votre posture de cybersécurité.

2.1.1 Élaborer un plan de sauvegarde

Élaborez et mettez en œuvre un plan de sauvegarde pour votre organisation. Une copie de sauvegarde vous permettra de récupérer vos données et systèmes dans l’éventualité d’un incident.

Il existe divers types de sauvegarde que vous pouvez mettre en œuvre pour protéger les données de votre organisation. La figure 3 explique les différents types de sauvegarde.

Figure 3 : Types de sauvegarde
Figure 3 - Description détaillé suit.
 
Description détaillée - Types de sauvegarde

La figure 3 présente les trois types de sauvegarde que votre organisation peut mettre en œuvre. Ces trois types sont les sauvegardes complètes, différentielles et incrémentielles.

Complète

Il vaut mieux faire une sauvegarde complète de façon périodique (chaque semaine ou chaque mois) et avant chaque mise à niveau majeure du système. Une sauvegarde complète est l’option la plus coûteuse et la plus longue, selon le volume d’informations sauvegardées et vos besoins en matière de stockage.

Différentielle

Une sauvegarde différentielle consiste à faire seulement une copie des données qui ont changé depuis votre dernière sauvegarde complète.

Incrémentielle

Ce type de sauvegarde consiste à stocker uniquement les données qui ont changé depuis la dernière sauvegarde complète ou différentielle. Chaque incrément est sauvegardé en tant que volume incrémentiel. Toutefois, si vous devez restaurer des données, vous devez traiter chaque incrément, ce qui peut prendre du temps.

Comme le montre figure 4, trois options sont offertes pour stocker vos sauvegardes : en ligne, hors ligne et dans le nuage. Les sauvegardes en ligne sont stockées sur un serveur ou un ordinateur distant connecté à votre réseau. Contrairement aux sauvegardes en ligne, les sauvegardes hors ligne (« sauvegardes à froid ») ne supposent aucune connexion à votre réseau et à vos dispositifs. Les sauvegardes dans le nuage sont stockées sur une plateforme infonuagique gérée par un fournisseur de services.

Figure 4 : Options de sauvegarde
Figure 4 - Description détaillé suit.
 
Description détaillée - Options de sauvegarde

Comme le montre la figure 4, trois options sont offertes pour stocker vos sauvegardes : en ligne, hors ligne et dans le nuage. Les sauvegardes en ligne sont stockées sur un serveur ou un ordinateur distant connecté à votre réseau. Contrairement aux sauvegardes en ligne, les sauvegardes hors ligne (« sauvegardes à froid ») ne supposent aucune connexion à votre réseau et à vos dispositifs. Les sauvegardes dans le nuage sont stockées sur une plateforme infonuagique gérée par un fournisseur de services.

En ligne

Les sauvegardes sont stockées dans l’espace physique de votre organisation.

Elles sont facilement disponibles si vous devez lancer votre processus de récupération.

Vous courez toutefois le risque de subir une perte de données en cas de catastrophe naturelle ou de panne d’électricité.

Les sauvegardes connectées à vos systèmes ou à vos réseaux vous rendent vulnérables aux rançongiciels.

Hors ligne

Les sauvegardes sont stockées à des emplacements physiques distincts, à l’extérieur des installations principales de votre organisation.

Elles ne sont pas connectées à vos réseaux.

Le vol ou la perte de données demeure une possibilité, mais le stockage hors ligne peut empêcher les auteurs de menace d’accéder à vos sauvegardes et de les infecter à l’aide d’un rançongiciel.

Dans le nuage

Les sauvegardes sont stockées sur une plateforme infonuagique, qui est souvent gérée par un fournisseur de services infonuagiques (FSI).

Elles sont accessibles au moyen du serveur de votre FSI, à partir de n’importe quel endroit.

Les sauvegardes sont chiffrées dans le nuage par mesure de sécurité supplémentaire, mais la perte de données et les cyberattaques (y compris les rançongiciels) ne sont pas exclues.

Beaucoup de variantes de rançongiciel ont été conçues de façon à repérer, à atteindre et à supprimer les sauvegardes de vos systèmes. Par ces actions, les auteurs de menace augmentent la probabilité que votre organisation paie la rançon demandée. Si le rançongiciel se propage dans vos sauvegardes, vous ne serez pas en mesure de récupérer vos systèmes et vos données et, en fin de compte, cette situation entraînera l’arrêt de vos activités. Les sauvegardes les plus courantes, soit celles stockées en ligne ou dans le nuage, sont exposées aux rançongiciels. Le recours au stockage des sauvegardes de votre organisation hors ligne est la méthode qui offre la plus grande protection contre les incidents liés aux rançongiciels.

Votre organisation doit pouvoir mettre en œuvre un processus de sauvegarde hors ligne. Ainsi, vos sauvegardes ne seront pas connectées à vos réseaux ou dispositifs, ce qui signifie que le rançongiciel ne peut pas repérer et supprimer vos sauvegardes. Votre organisation doit veiller à stocker plusieurs copies des sauvegardes hors ligne. Le processus de sauvegarde doit être effectué fréquemment afin de garantir que les données sont, dans la mesure du possible, en temps réel. Tester les sauvegardes est aussi un élément essentiel du processus de sauvegarde et de reprise. Il est recommandé de chiffrer les sauvegardes pour ainsi profiter d’une couche supplémentaire de protection.

Il est aussi recommandé d’avoir une deuxième sauvegarde dans le nuage pour améliorer votre capacité de reprise. Ces sauvegardes seront idéalement gérées par un fournisseur de services infonuagiques (FSI) à même son infrastructure infonuagique. Les FSI offrent à votre organisation une couche de sécurité supplémentaire. Notez que votre organisation est en tout temps légalement responsable de la protection de ses données. Vous devez vous assurer que le fournisseur de services que vous sélectionnez peut prendre en charge vos exigences de sécurité, de sauvegarde et de reprise avec des garanties appropriées. Vous devriez également envisager la résidence des données, ce qui fait référence à l’emplacement géographique où vos données sont stockées. Il est possible que votre organisation ait des exigences réglementaires et politiques qui exigent que les données soient stockées au Canada. Si vous envisagez de faire appel à un fournisseur pour le stockage hors site, assurez-vous qu’il dispose de mesures de sécurité, de processus de gestion des incidents et d’un plan de reprise après sinistre.

Remarque : Votre FSI peut aussi être victime d’un rançongiciel, ce qui pourrait avoir indirectement des répercussions sur votre organisation. Ne pas avoir accès aux données qui sont stockées dans le nuage peut avoir une incidence considérable sur la gestion de vos activités. Vous pourriez également être aux prises avec des problèmes d’intégrité et de confidentialité des données.

Recommandation : L’approche recommandée pour sauvegarder votre information est d’avoir plusieurs sauvegardes à plusieurs endroits. Vous devriez avoir au moins deux sauvegardes stockées hors ligne auxquelles il est impossible d’accéder au moyen d’une connexion réseau ou Internet. Vous pourriez ensuite avoir une sauvegarde secondaire dans le nuage gérée par votre FSI. Par ailleurs, vous devriez établir un calendrier pour tester régulièrement vos processus de sauvegarde (p. ex. tous les mois). En ayant au moins une copie de sauvegarde de vos fichiers, votre organisation a davantage de chances de se remettre d’une attaque par rançongiciel, ou de tout autre cyberincident, et de reprendre rapidement ses activités

Pour obtenir de plus amples renseignements sur l’élaboration d’un plan de sauvegarde, consultez l’ITSAP.40.002, Sauvegarder et récupérer vos données Note de bas de page 5.

2.1.2 Élaborer un plan d’intervention en cas d’incident

Élaborer un plan d’intervention en cas d’incident pour votre organisation est la clé de votre stratégie de cyberdéfense. Vous devriez également envisager d’élaborer un plan de reprise après sinistre pour votre entreprise. À l’aide de ces deux plans, votre organisation tient compte des événements majeurs qui pourraient provoquer une panne imprévue et l’obliger à activer son plan d’intervention. Le plan d’intervention en cas d’incident vous aide à détecter des incidents de cybersécurité et à intervenir. Le plan de reprise après sinistre est axé sur les moyens que doit prendre votre organisation pour se remettre d’un incident et rependre ses activités essentielles.

Il existe de nombreux avantages à l’élaboration d’un plan d’intervention en cas d’incident :

  • une gestion efficace des incidents diminue l’impact d’un cyberincident;
  • un plan qui aura été mis en pratique au préalable vous aidera à prendre de bonnes décisions sous la pression d’un réel incident;
  • comme les mesures principales sont approuvées à l’avance, vous disposez immédiatement des ressources et pouvoirs financiers requis pour intervenir en cas d’incident;
  • une intervention bien gérée, accompagnée d’une communication claire tout au long du processus, met en confiance les intervenants et les clients;
  • les leçons tirées des incidents permettent de déterminer les lacunes et les problèmes en ce qui a trait à votre capacité d’intervention.

Votre plan d’intervention en cas d’incident compte plusieurs éléments clés. L’objectif principal est de se remettre d’un incident le plus rapidement possible. La liste de vérification suivante (tableau 1) donne un aperçu des éléments clés à inclure dans votre plan d’intervention en cas d’incident. Il ne s’agit pas d’une liste complète d’exigences en matière d’intervention en cas d’incident, mais elle fournit une approche structurée ainsi que des mesures que votre organisation peut mettre en œuvre. En incorporant les éléments du tableau 1 aux phases d’élaboration initiales de votre plan d’intervention, vous pouvez déterminer vos risques, concevoir un plan d’action pour les atténuer, et préparer votre organisation à une reprise efficace qui lui permettra de se remettre en marche plus rapidement.

Pour obtenir plus de détails sur l’élaboration de votre plan d’intervention en cas d’incident, consultez l’ITSAP.40.003, Élaborer un plan d’intervention en cas d’incident Note de bas de page 6.

Tableauau 1 : Liste de vérification du plan d’intervention en cas d’incident
Priorité Élément Exigences
1 Évaluation des risques
  • Déterminez les principaux systèmes et biens qui sont essentiels à vos opérations.
  • Analysez la probabilité et les répercussions d’une compromission de ces systèmes.
  • Établissez l’ordre de priorité des efforts d’intervention afin de protéger les systèmes et les biens les plus importants et d’effectuer la sauvegarde hors ligne de ceux-ci fréquemment et en toute sécurité.
2 Politiques et procédures
  • Élaborez une politique d’intervention en cas d’incident qui établit les autorités, les rôles et les responsabilités de votre organisation.
  • Mettez en place les autorisations préalables d’impartir un contrat d’assistance et communiquez les détails connexes aux responsables clés de l’intervention en cas d’incident.
3 Établir une équipe d’intervention en cas de cyberincident
  • Créez une équipe d’intervention en cas de cyberincident (CIRT pour Cyber Incident Response Team) pour évaluer les incidents, les documenter et y intervenir, rétablir vos systèmes, récupérer l’information et réduire le risque que l’incident se reproduise.
  • Cette équipe doit être composée d’employés qui ont diverses compétences. Elle devra également pouvoir compter sur un soutien interfonctionnel de la part d’autres secteurs d’activités.
  • Nommez des intervenants qui peuvent venir en renfort en l’absence de membres de la CIRT dans l’éventualité d’un incident.
4 Formation
  • Adaptez vos programmes de formation aux exigences et aux besoins opérationnels de votre organisation, ainsi qu’aux rôles et aux responsabilités de vos employés.
  • Assurez-vous que la formation fait état des contrôles de cybersécurité énumérés à la section 2.2 (p. ex. comment repérer les courriels malveillants et les attaques par hameçonnage et utiliser des phrases ou mots de passe robustes).
  • Pour obtenir des avis et des conseils sur la formation liée à la gestion des événements de cybersécurité, veuillez consulter le Carrefour de l’apprentissage du Centre pour la cybersécurité. Le Carrefour de l’apprentissage offre un cours complet sur la gestion des événements pouvant être adapté aux besoins opérationnels et en matière de TI de votre organisation.
5 Déterminer les intervenants
  • Déterminez les principaux intervenants internes et externes à aviser lors d’un incident. Vous devrez peut-être aussi aviser des tiers, comme des clients ou des fournisseurs de services gérés. Selon la nature de l’incident, vous pourriez avoir à communiquer avec la police ou un avocat.
6 Communications
  • Décrivez en détails comment, quand et avec qui votre équipe communique.
  • Déterminez un point de contact central à qui les employés doivent signaler les incidents soupçonnés ou connus.
  • Assurez-vous d’avoir les coordonnées externes de tous les membres permanents et des remplaçants de votre équipe d’intervention, du personnel clé et des principaux intervenants.
  • Préparez des modèles de déclaration aux médias pouvant être adaptés aux cyberincidents au moment où ils se produisent.
  • Évaluez la possibilité de retenir les services d’une organisation tierce qui peut vous accompagner tout au long de votre intervention et de votre processus de reprise.

Votre processus d’intervention en cas d’incident suivra le cycle en quatre étapes décrit à la figure 5. Vous pouvez vous servir de ces étapes pour structurer votre plan et votre intervention. Au moment de mettre votre plan à exécution, vous devriez d’abord signaler le cybercrime aux organismes d’application de la loi (c.-à-d. au service de police local ou au Centre antifraude du Canada et en ligne au Centre canadien pour la cybersécurité dans Mon Cyberportail.

Figure 5 : Phases d’intervention en cas d’incident
Figure 5 - Description détaillé suit.
 
Description détaillée - Phases d’intervention en cas d’incident

La figure 6 montre la même méthodologie qu’utilise un auteur de menace pour mener une attaque par rançongiciel, mais elle met également en relief les endroits où des contrôles de sécurité peuvent être mis en œuvre afin d’atténuer la menace et de tenter d’empêcher que se produise une attaque par rançongiciel.

Dans la première étape d’un incident lié à un rançongiciel, sous la section Gain d’accès du présent schéma, certaines mesures préventives d’atténuation peuvent être mises en place pour protéger votre organisation. La liste suivante énumère les contrôles de cybersécurité pouvant être mis en œuvre au premier plan de votre environnement de cybersécurité.

  • Donnez à vos employés une formation en cybersécurité adaptée pour qu’ils soient bien au courant des vecteurs d’attaque comme l’hameçonnage et qu’ils sachent comment détecter les courriels ou les liens suspects.
  • Utilisez des mots de passe forts, ou de préférence des phrases de passe, pour empêcher que se matérialisent les attaques par force brute des auteurs de menace.
  • Mettez en œuvre l’authentification multifacteur sur les dispositifs de votre organisation.
  • Créez une liste d’applications autorisées pour contrôler qui ou quoi est autorisé à accéder à vos réseaux et à vos systèmes. Les listes d’applications autorisées vous permettent d’éviter le téléchargement et l’infection d’applications malveillantes sur votre serveur.
  • Balayez votre matériel, vos logiciels et votre système d’exploitation pour déceler des vulnérabilités, et appliquez des correctifs et des mises à jour afin d’atténuer le risque de voir un auteur de menace tirer profit de vulnérabilités.
  • Segmentez votre réseau pour vous assurer que l’information sensible et de grande valeur se trouve dans une zone différente de votre réseau.
  • Configurez une fonctionnalité de vérification pour vos systèmes et réseaux, et assurez-vous de recevoir des alertes en cas de détection d’anomalies.
  • Désactivez les macros pour diminuer le risque de propager un rançongiciel par des pièces jointes de Microsoft Office.

Dans le cadre de la deuxième étape d’un incident lié à un rançongiciel, sous la section Prise de contrôle du présent schéma, certaines mesures d’atténuation peuvent être mises en place pour améliorer la protection de vos systèmes et de vos réseaux et empêcher la propagation du rançongiciel dans votre réseau et vos dispositifs connectés.

  • Mettez en œuvre des outils de sécurité dans vos réseaux, comme un antivirus et un antimaliciel, ainsi que des coupe-feu pour ajouter des couches de protection aux points d’entrée que pourraient utiliser les auteurs de menace.
  • Appliquez le principe du droit d’accès minimal selon lequel vous accordez à des personnes l’accès minimal dont elles ont besoin pour effectuer les tâches qui leur sont autorisées.

Dans le cadre de la troisième étape d’un incident lié à un rançongiciel, sous la section Répercussions sur l’organisation, la plus importante mesure d’atténuation que vous pouvez mettre en œuvre pour votre organisation est votre plan de sauvegarde. Assurez-vous de stocker plusieurs copies de vos sauvegardes hors ligne et, si cela est possible, dans le nuage par l’entremise d’un fournisseur de services infonuagiques. Lorsque vos sauvegardes sont déconnectées de votre réseau, les auteurs de menace sont incapables de les supprimer ou de les infecter d’un rançongiciel. Assurez-vous de tester souvent vos processus de sauvegarde et de rétablissement et faites immédiatement les ajustements nécessaires pour faire en sorte que vos fichiers de sauvegarde sont prêts pour que votre organisation puisse se remettre rapidement en cas d’incident lié à un rançongiciel.

2.1.3 Élaborer un plan de reprise

Votre plan de reprise devrait venir appuyer vos plans d’intervention et de sauvegarde. Lors de l’élaboration de votre plan de reprise, vous devez non seulement tenir compte de nombreux facteurs, mais il vous faut aussi définir et documenter clairement ce qui doit être récupéré, par qui, quand et où. Respectez les lignes directrices présentées dans le tableau 2 au moment d’élaborer votre plan de reprise :

Tableau 2 : Lignes directrices pour votre plan de reprise
Étape Ligne directrice
Planification
  • Indiquez tous les intervenants, notamment les clients, les fournisseurs, les propriétaires fonctionnels, les gestionnaires et les propriétaires de systèmes.
  • Indiquez les membres de votre équipe d’intervention, ainsi que leurs rôles et responsabilités.
  • Faites l’inventaire de vos biens matériels et logiciels.
  • Déterminez les fonctions, les applications et les données opérationnelles qui sont essentielles et établissez leur ordre de priorité.
  • Préparez des documents sur les situations d’urgence, dont une liste de personnes-ressources, qui seront distribués aux employés, aux clients, aux fournisseurs de services et aux autres fournisseurs, pour que vous soyez prêt à réagir rapidement et efficacement en cas d’incident lié à un rançongiciel.
  • Dirigez un exercice sur table pour vous assurer que tous les participants sont conscients de leur rôle et des mesures d’intervention requises en cas d’attaque par rançongiciel.
  • Investissez dans une police d’assurance en matière de cybersécurité si vous jugez que cela pourrait être bénéfique pour votre organisation. Votre police peut ajouter une couche de protection supplémentaire et elle peut également offrir à votre organisation une expertise en matière d’intervention en cas d’incident dans l’éventualité d’une attaque par rançongiciel.
Mesure
  • Fixez des objectifs de reprise clairs.
  • Définissez des stratégies de sauvegarde et de reprise.
  • Mettez votre plan à l’essai.
Communications
  • Élaborez un plan de communications pour informer les principaux intervenants.
  • Élaborez un programme de formation à l’intention des employés afin de vous assurer qu’ils comprennent leurs rôles, leurs responsabilités et le déroulement des opérations pendant un incident.
  • Discutez avec vos fournisseurs de services gérés (FSG) pour déterminer les façons dont ils peuvent appuyer vos efforts de reprise.
  • Faites appel à des spécialistes de la sécurité des TI avant que ne se produise un événement pour bien vous entourer d’experts en la matière qui seront aptes à se prononcer sur vos efforts en matière d’intervention et de reprise.

Pour élaborer un plan efficace, vous devez déterminer les données, les applications et les fonctions organisationnelles qui sont essentielles. Parmi les informations essentielles, on peut retrouver des dossiers financiers, des actifs exclusifs et des données personnelles. Quant aux applications essentielles, ce sont les systèmes qui exécutent les principales fonctions organisationnelles et qui sont indispensables aux opérations. Ces systèmes sont ceux que vous devez rétablir immédiatement pour assurer la continuité des activités dans l’éventualité d’une panne imprévue ou d’un incident. Vous devriez envisager la possibilité de faire une évaluation des risques pour aider à déterminer les fonctions opérationnelles essentielles ainsi que les risques pertinents liés aux menaces et aux vulnérabilités.

Pour élaborer un plan efficace, vous devez déterminer les données, les applications et les fonctions organisationnelles qui sont essentielles. Parmi les informations essentielles, on peut retrouver des dossiers financiers, des actifs exclusifs et des données personnelles. Quant aux applications essentielles, ce sont les systèmes qui exécutent les principales fonctions organisationnelles et qui sont indispensables aux opérations. Ces systèmes sont ceux que vous devez rétablir immédiatement pour assurer la continuité des activités dans l’éventualité d’une panne imprévue ou d’un incident. Vous devriez envisager la possibilité de faire une évaluation des risques pour aider à déterminer les fonctions opérationnelles essentielles ainsi que les risques pertinents liés aux menaces et aux vulnérabilités.

Pour en apprendre davantage sur l’élaboration de votre plan de reprise, consultez ITSAP.40.004. Élaboration d’un plan de reprise informatique personnalisé Note de bas de page 7.

2.1.4 Gérer les comptes d’utilisateur et d’administrateur

Supervisez la création et l’attribution de comptes d’administrateur et d’utilisateur en gardant à l’esprit l’accès sécurisé. Envisagez la création de comptes distincts pour des fonctions non administratives (p. ex. un accès au courriel et un accès limité aux systèmes internes) afin de réduire le risque qu’un rançongiciel infecte vos comptes d’administrateur et l’accès au système associé à ces comptes. Vous devez limiter les comptes d’administrateur aux personnes qui ont besoin d’un accès complet ou d’un accès spécialisé au réseau, aux systèmes et aux dispositifs de votre organisation.

Si un auteur de menace obtient l’accès à un compte administratif, il peut utiliser les privilèges élevés pour nuire à l’environnement opérationnel de votre organisation, attaquer votre réseau et accéder à de l’information sensible. Les auteurs de menace peuvent aussi découvrir quels mécanismes de détection et de reprise sont en place sur vos systèmes, ce qui les aide à les contourner et vous empêche de prévenir d’autres attaques.

Afin de gérer l’accès à vos systèmes et à vos données, appliquez le principe du droit d’accès minimal selon lequel il convient de n’accorder aux employés que les autorisations d’accès dont ils ont besoin pour accomplir leurs tâches. Vous devriez également utiliser ce principe pour accorder un accès à distance à vos dispositifs. Assurez-vous d’activer l’authentification multifacteur (MFA pour Multi-Factor Authentication) pour tous les points d’accès menant à votre réseau et envisagez le recours à un accès à authentification unique, si possible, pour renforcer la sécurité de vos dispositifs et de vos réseaux connectés. Restreignez les privilèges administratifs et exigez une confirmation pour chaque action qui nécessite des droits d’accès et des autorisations de niveau élevé.

Votre organisme doit prendre les mesures suivantes lorsqu’il assigne des comptes administratifs ou des privilèges d’accès aux utilisateurs :

  • Utiliser des méthodes d’authentification robustes pour vos comptes :
    • utiliser l’authentification multifacteur pour tous les comptes d’administrateur;
    • utiliser un mot de passe unique pour chaque compte privilégié;
    • modifier les mots de passe par défaut pour les applications et les dispositifs;
    • authentifier les utilisateurs avant qu’ils obtiennent l’accès aux applications ou aux dispositifs;
  • Veiller à ce que des comptes uniques et identifiables soient remis à chaque utilisateur;
  • Consigner et surveiller les activités effectuées sur les comptes privilégiés;
  • Offrir de la formation sur les comportements attendus aux utilisateurs de comptes privilégiés;
  • Retirer les privilèges d’accès spéciaux dès que les utilisateurs n’en ont plus besoin;
  • Mettre hors service et supprimer les comptes d’utilisateur lorsque quelqu’un quitte l’organisation.

Outre la gestion de vos comptes, il est aussi impératif de gérer la mise hors service et la déconnexion de systèmes et de dispositifs désuets ou qui ne sont plus utilisés. Ces systèmes et dispositifs doivent être enlevés de votre réseau, leur contenu doit être effacé et ils doivent être éliminés de manière sécurisée.

Pour obtenir de plus amples renseignements sur la gestion de l’accès et des comptes d’administrateur, consultez ITSAP.10.094, Gestion et contrôle des privilèges administratifs Note de bas de page 8 et l’ITSAP.30.032, Pratiques exemplaires de création de phrases de passe et de mots de passe Note de bas de page 9.

2.2 Contrôles de cybersécurité

Dans le cadre de la mise en œuvre et du maintien à jour d’un modèle de défense en profondeur, il est impératif pour votre organisation d’appliquer plusieurs couches de contrôles de sécurité dans l’ensemble des réseaux pour ainsi protéger la sécurité, la confidentialité, l’intégrité et la disponibilité de vos réseaux, de vos dispositifs et de vos renseignements.

Une fois de plus, le schéma suivant (figure 6) démontre les trois étapes d’un incident par rançongiciel : l’auteur de menace parvient à accéder à votre réseau; il prend le contrôle de vos systèmes et de vos dispositifs interconnectés; puis il déploie la charge du maliciel et infecte vos systèmes et dispositifs interconnectés au moyen du rançongiciel. Tel qu’il est illustré à la figure 6, divers contrôles de sécurité, mis en place à plusieurs niveaux de vos réseaux, peuvent vous permettre de mieux défendre l’organisation contre les rançongiciels.

Remarque : Certains contrôles de cybersécurité énoncés dans la figure 6 peuvent être appliqués à différentes étapes, ou encore dans différentes zones de votre réseau et de vos systèmes. À titre d’exemple, les outils d’atténuation de journalisation et d’alerte, de même que de segmentation réseau sont appliqués à tous les niveaux de votre stratégie de défense en profondeur.

Dans la première étape d’un incident lié à un rançongiciel, certaines mesures préventives d’atténuation peuvent être mises en place pour protéger votre organisation. La liste suivante énumère les contrôles de cybersécurité pouvant être mis en œuvre au premier plan de votre environnement de cybersécurité.

  • Donnez à vos employés une formation en cybersécurité adaptée pour qu’ils soient bien au courant des vecteurs d’attaque comme l’hameçonnage et qu’ils sachent comment détecter les courriels ou les liens suspects.
  • Utilisez des mots de passe forts, ou de préférence des phrases de passe, pour empêcher que se matérialisent les attaques par force brute des auteurs de menace.
  • Appliquez l’authentification multifacteur pour sécuriser les dispositifs de votre organisation.
  • Créez une liste d’applications autorisées pour contrôler qui ou quoi est autorisé à accéder à vos réseaux et à vos systèmes. Les listes d’applications autorisées permettent d’éviter le téléchargement et l’infection d’applications malveillantes sur votre serveur.
  • Balayez votre matériel, vos logiciels et votre système d’exploitation pour déceler des vulnérabilités, et appliquez des correctifs et des mises à jour afin d’atténuer le risque de voir un auteur de menace tirer profit de vulnérabilités.
  • Segmentez votre réseau pour vous assurer que l’information sensible et de grande valeur se trouve dans une zone différente de votre réseau.
  • Configurez une fonctionnalité de surveillance et de journalisation pour vos systèmes et réseaux, et assurez-vous de recevoir des alertes automatisées en cas de détection d’anomalies.
  • Protégez vos systèmes connectés ou exposés à Internet grâce au chiffrement, à des coupe-feu, à l’authentification multifacteur et à des évaluations fréquentes des vulnérabilités.
  • Désactivez les macros pour diminuer le risque de propager un rançongiciel par des pièces jointes de Microsoft Office.

Dans le cadre de la deuxième étape d’un incident lié à un rançongiciel, certaines mesures préventives d’atténuation peuvent être mises en place pour améliorer la protection de vos systèmes et de vos réseaux et empêcher la propagation du rançongiciel dans votre réseau et vos dispositifs connectés.

  • Mettez en œuvre des outils de sécurité dans vos réseaux, comme un antivirus et un antimaliciel, ainsi que des coupe-feu pour ajouter des couches de protection aux points d’entrée que pourraient utiliser les auteurs de menace.
  • Appliquez le principe du droit d’accès minimal selon lequel vous accordez à des personnes l’accès minimal dont elles ont besoin pour effectuer les tâches qui leur sont autorisées.

Dans le cadre de cette dernière étape d’incident lié à un rançongiciel, la plus importante mesure d’atténuation que vous pouvez mettre en œuvre pour votre organisation est votre plan de sauvegarde. Assurez-vous de stocker plusieurs copies de vos sauvegardes hors ligne et, si possible, dans le nuage par l’entremise d’un FSI. Lorsque vos sauvegardes sont déconnectées de votre réseau, les auteurs de menace sont incapables de les supprimer ou de les infecter d’un rançongiciel. Assurez-vous de tester régulièrement vos processus de sauvegarde et de rétablissement, et faites immédiatement les ajustements nécessaires pour faire en sorte que vos fichiers de sauvegarde sont prêts pour que votre organisation puisse se remettre rapidement en cas d’incident lié à un rançongiciel.

Figure 6 : Contrôles de sécurité pour réduire le risque lié aux rançongiciels
Figure 6 - Description détaillé suit.
 
Description détaillée - Contrôles de sécurité pour réduire le risque lié aux rançongiciels

La figure 6 montre la même méthodologie qu’utilise un auteur de menace pour mener une attaque par rançongiciel, mais elle met également en relief les endroits où des contrôles de sécurité peuvent être mis en œuvre afin d’atténuer la menace et de tenter d’empêcher que se produise une attaque par rançongiciel.

Dans la première étape d’un incident lié à un rançongiciel, sous la section gain d’accès du présent schéma, certaines mesures préventives d’atténuation peuvent être mises en place pour protéger votre organisation. La liste suivante énumère les contrôles de cybersécurité pouvant être mis en œuvre au premier plan de votre environnement de cybersécurité.

  • Donnez à vos employés une formation en cybersécurité adaptée pour qu’ils soient bien au courant des vecteurs d’attaque comme l’hameçonnage et qu’ils sachent comment détecter les courriels ou les liens suspects.
  • Utilisez des mots de passe forts, ou de préférence des phrases de passe, pour empêcher que se matérialisent les attaques par force brute des auteurs de menace.
  • Mettez en œuvre l’authentification multifacteur sur les dispositifs de votre organisation.
  • Créez une liste d’applications autorisées pour contrôler qui ou quoi est autorisé à accéder à vos réseaux et à vos systèmes. Les listes d’applications autorisées vous permettent d’éviter le téléchargement et l’infection d’applications malveillantes sur votre serveur.
  • Balayez votre matériel, vos logiciels et votre système d’exploitation pour déceler des vulnérabilités, et appliquez des correctifs et des mises à jour afin d’atténuer le risque de voir un auteur de menace tirer profit de vulnérabilités.
  • Segmentez votre réseau pour vous assurer que l’information sensible et de grande valeur se trouve dans une zone différente de votre réseau.
  • Configurez une fonctionnalité de vérification pour vos systèmes et réseaux, et assurez-vous de recevoir des alertes en cas de détection d’anomalies.
  • Protégez vos systèmes connectés ou exposés à Internet grâce au chiffrement, à des coupe-feu et à des évaluations des vulnérabilités.
  • Désactivez les macros pour diminuer le risque de propager un rançongiciel par des pièces jointes de Microsoft Office.

Dans le cadre de la deuxième étape d’un incident lié à un rançongiciel, sous la section prise de contrôle du présent schéma, certaines mesures d’atténuation peuvent être mises en place pour améliorer la protection de vos systèmes et de vos réseaux et empêcher la propagation du rançongiciel dans votre réseau et vos dispositifs connectés.

  • Mettez en œuvre des outils de sécurité dans vos réseaux, comme un antivirus et un antimaliciel, ainsi que des coupe-feu pour ajouter des couches de protection aux points d’entrée que pourraient utiliser les auteurs de menace.
  • Appliquez le principe du droit d’accès minimal selon lequel vous accordez à des personnes l’accès minimal dont elles ont besoin pour effectuer les tâches qui leur sont autorisées.

Dans le cadre de la troisième étape d’un incident lié à un rançongiciel, sous la section répercussions sur l’organisation, la plus importante mesure d’atténuation que vous pouvez mettre en œuvre pour votre organisation est votre plan de sauvegarde. Assurez-vous de stocker plusieurs copies de vos sauvegardes hors ligne et, si cela est possible, dans le nuage par l’entremise d’un fournisseur de services infonuagiques. Lorsque vos sauvegardes sont déconnectées de votre réseau, les auteurs de menace sont incapables de les supprimer ou de les infecter d’un rançongiciel. Assurez-vous de tester souvent vos processus de sauvegarde et de rétablissement et faites immédiatement les ajustements nécessaires pour faire en sorte que vos fichiers de sauvegarde sont prêts pour que votre organisation puisse se remettre rapidement en cas d’incident lié à un rançongiciel.

La section suivante présente des indications plus détaillées sur les divers contrôles de sécurité que votre organisation peut mettre en œuvre.

Pour obtenir de plus amples renseignements sur les contrôles de sécurité, consultez le document Contrôles de cybersécurité de base pour les petites et moyennes organisations Note de bas de page 11 et ITSAP.10.035, Les meilleures mesures pour renforcer la cybersécurité des petites et moyennes entreprises Note de bas de page 12.

2.2.1 Établir un périmètre de défense

La protection de votre réseau et de vos systèmes et dispositifs connectés contre les cybermenaces peut paraître complexe à réaliser. Établissez un périmètre de défense pour protéger la frontière entre deux zones de sécurité de réseau à travers laquelle le trafic est acheminé. Si cette défense est possible en ayant recours à des protocoles de sécurité de base comme un coupe-feu, un antivirus et un antimaliciel, votre protection globale est alors grandement renforcée. L’installation d’un logiciel antihameçonnage est aussi une option à envisager pour renforcer la cybersécurité de votre organisation. Les logiciels antihameçonnage bloquent les courriels d’hameçonnage dans le but de prévenir les attaques et leur propagation.

Assurez-vous que vos utilisateurs se servent de votre réseau privé virtuel (RPV) pour accéder à votre réseau. Le RPV sert de tunnel sécurisé par l’entremise duquel on peut envoyer et recevoir des données dans un réseau physique existant. Utiliser un RPV assure une connexion sécurisée entre deux points, comme un ordinateur portable et le réseau d’une organisation.

Pour obtenir de plus amples renseignements sur les RPV, consultez ITSAP.80.101, Les réseaux privés virtuels Note de bas de page 13.

2.2.2 Mettre en œuvre un mécanisme de journalisation et d’alerte

La mise en œuvre de la surveillance continue de vos réseaux vous aidera à établir la base de référence des tendances acceptables suivies par les activités au sein de votre organisation. En outre, l’établissement des capacités de surveillance pour vos réseaux et vos systèmes peut aider votre organisation à gérer les risques. Votre système de surveillance devrait générer des journaux que les spécialistes en TI et la direction peuvent examiner au besoin. L’accès aux journaux devrait être limité aux personnes qui ont besoin de les examiner.

Il est également nécessaire d’intégrer un mécanisme d’alerte automatique à vos capacités de surveillance pour que les anomalies dans les tendances suivies par les activités soient signalées et examinées, et pour que les mesures d’atténuation des risques nécessaires soient prises en réaction à des vulnérabilités et événements potentiels. Les alertes indiqueront toute activité hors de l’ordinaire qui a eu lieu et votre organisation peut ensuite examiner l’anomalie pour établir ce qui s’est passé, si elle présente un risque pour l’organisation et les mesures pouvant être prises pour atténuer le risque. Le système de journalisation et d’alerte de votre organisation ne devrait pas permettre la modification des journaux une fois que ceux-ci ont été reçus du système. Il devrait comprendre une estampille temporelle et vous aider à comprendre les circonstances de l’événement ou de l’incident.

Si votre organisation est victime d’un rançongiciel ou de tout autre type de cyberincident, vos journaux pourraient vous fournir de l’information sur la façon dont s’est déroulé l’incident et sur les contrôles ou mesures d’atténuation pouvant être appliqués pour mieux protéger vos réseaux et systèmes et ainsi éviter d’autres incidents.

2.2.3 Effectuer des tests de pénétration

Les tests de pénétration permettent de vérifier le niveau d’assurance de la sécurité d’un système. Lors d’un test de pénétration, le testeur tente de porter atteinte à la sécurité d’une partie ou de tout le système, en se servant des mêmes outils et techniques que peut utiliser un adversaire. Ce test n’est pas en soi la principale méthode d’établissement des vulnérabilités, mais plutôt une méthode permettant de s’assurer de l’efficacité des processus de gestion et d’évaluation des vulnérabilités de l’organisation.

2.2.4 Segmenter les réseaux

Lors de la segmentation de votre réseau, vous divisez celui-ci en sections ou en zones plus petites. La segmentation de réseau fait en sorte de diriger le trafic et de le faire passer dans les différentes sections du réseau. La segmentation de votre réseau vous permet de suspendre le flux du trafic dans certaines zones et de l’empêcher de passer dans d’autres secteurs de votre réseau. De même, la segmentation vous permet aussi d’isoler et d’arrêter la propagation de maliciel dans différentes sections de votre réseau, ainsi que de contrôler et de restreindre l’accès à vos renseignements.

Lors de la segmentation de votre réseau, assurez-vous que les réseaux de technologies de l’information (TI) et de technologies opérationnelles (TO) sont définis, séparés et surveillés. Outre la segmentation de vos réseaux TI et TO, vous devez également détecter les interdépendances entre ceux-ci et mettre en œuvre des mesures à appliquer durant un cyberincident afin de protéger les fonctions et les données essentielles.

2.2.5 Limiter les environnements de scripts et désactiver les macros

Si votre organisation utilise Windows, vous pourriez envisager de limiter vos environnements de scripts. Spécifiquement pour une utilisation Windows, Microsoft a conçu une application automatisée d’administration système par l’entremise d’une interface optimisée par le langage de script de son interpréteur de ligne de commande (PowerShell). Il s’agit d’une partie très importante de la boîte à outils d’administration système. L’application peut être utilisée pour contrôler entièrement les systèmes Windows de Microsoft, et elle apporte de nombreux avantages aux organisations Note de bas de page 14. Les auteurs de menace peuvent exploiter PowerShell et injecter du code malveillant dans la mémoire de vos dispositifs. Le plus inquiétant, c’est que PowerShell est une source fiable. Par conséquent, l’antivirus ou l’antimaliciel ne bloquera généralement pas l’injection de code malveillant, et les journaux d’événement de vos systèmes ne signaleront pas d’anomalie.

Les macros que l’on trouve dans les applications Microsoft Office sont un autre élément dont il faut tenir compte en utilisant Windows. Les macros sont des séquences écrites qui imitent les frappes et les commandes de souris des utilisateurs pour automatiquement répéter les tâches dans les applications. Les macros sont utilisées dans de nombreux produits Office pour automatiser les processus et les flux de données. Elles sont intégrées au code des fichiers, ce qui permet aux utilisateurs de créer des raccourcis pour des tâches précises (p. ex. trier des feuilles de travail par ordre alphabétique, défusionner toutes les cellules fusionnées, afficher toutes les rangées et les colonnes cachées). Les auteurs de menace peuvent créer des macros malveillantes et les intégrer dans des documents qu’ils peuvent ensuite envoyer à des employés de votre organisation. Afin de réduire le risque de voir un rançongiciel se propager par l’entremise de pièces jointes Office, il est recommandé de régler les valeurs implicites utilisateur de façon à désactiver les macros et de s’assurer que les utilisateurs ne sont pas en mesure de réactiver ces macros. Vous devez également vous assurer que les macros ne contiennent pas de renseignements sensibles, comme des justificatifs personnels, et utiliser des macros signées ou créées par l’organisation, et qui ont été vérifiées par les responsables techniques de votre organisation.

Pour obtenir de plus amples renseignements sur les macros, consultez ITSAP.00.200, Protection d’un organisme contre les macros malveillantes Note de bas de page 15.

2.2.6 Appliquer les correctifs et mises à jour

Pour protéger vos dispositifs connectés contre les rançongiciels, assurez-vous de vérifier régulièrement si de nouvelles mises à jour sont offertes pour le système d’exploitation, les logiciels et le micrologiciel, et d’installer les correctifs de sécurité nécessaires. Il existe divers correctifs sur le marché; toutefois, les trois types suivants sont les plus répandus :

  1. Correctif de bogue : Règle les problèmes liés aux fonctionnalités des logiciels (p. ex. une erreur qui amène un dispositif à réagir de façon inattendue);
  2. Correctif de sécurité : Rectifie les vulnérabilités de sécurité dans le but de protéger le système contre les menaces (p. ex. un maliciel qui infecte les dispositifs en exploitant les failles de sécurité);
  3. Mise à jour des fonctions : Ajoute de nouvelles fonctions à un logiciel déjà installé (p. ex. une amélioration du rendement ou de la rapidité de traitement d’une application).

Pour obtenir de plus amples renseignements sur l’application de correctifs et de mises à jour à vos dispositifs, consultez ITSAP.10.096, Application des mises à jour sur les dispositifs Note de bas de page 16.

2.2.7 Créer une liste d’applications autorisées

L’autorisation des applications consiste en la création d’une liste de contrôles d’accès qui précise qui ou quoi peut obtenir un accès autorisé, afin d’assurer une protection contre un danger. Une liste d’applications autorisées permet de sélectionner et d’établir les applications et les composants d’applications (p. ex. programmes exécutables, bibliothèques de logiciels, fichiers de configuration) qui sont autorisés à s’exécuter sur des systèmes organisationnels. Les listes d’applications autorisées vous permettent d’éviter le téléchargement et l’infection d’applications malveillantes sur votre serveur.

Votre organisation peut créer une liste des applications dont l’utilisation est autorisée dans les lieux de travail ou qui proviennent d’un fournisseur digne de confiance. Lorsqu’une application est lancée, elle est comparée à la liste d’applications autorisées. L’application n’est autorisée que si elle se trouve sur cette liste. Le hachage est utilisé pour vérifier l’intégrité de l’application (confirmer que l’application est vraiment ce qu’elle prétend être). Le hachage génère une valeur à partir d’une chaîne de textes et cette valeur est unique pour chaque application. Si une application est mise à jour ou a été corrigée, le hachage change pour vous permettre d’exécuter uniquement la plus récente version de l’application.

En mettant en œuvre une liste d’applications autorisées, votre organisation sera en mesure de renforcer sa stratégie défensive contre les auteurs de cybermenace et de prévenir des incidents comme ceux liés aux rançongiciels.

2.2.8 Utiliser un système d’adressage par domaine (DNS) protégé

Un système d’adressage par domaine (DNS pour Domain Name System) est un protocole qui établit une correspondance entre les noms de domaine lisibles par l’humain et les adresses IP lisibles par la machine. Il est souvent appelé le carnet d’adresses d’Internet. Un DNS est utilisé à la fois pour les actions lancées par l’humain (comme consulter un site Web) et pour les actions lancées par la machine (comme exécuter une mise à jour).

Un DNS protégé est un outil que votre organisation peut employer pour bloquer l’accès des dispositifs organisationnels des employés à des domaines potentiellement malveillants sur Internet. Il détecte les domaines malveillants en les comparant à la liste de blocage de votre organisation, laquelle comprend les domaines et adresses IP qu’il est interdit de consulter sur le réseau organisationnel ou au moyen de biens organisationnels.

Vous devriez également envisager d’installer un filtre DNS de protection sur les appareils mobiles qu’utilisent les employés de votre organisation, surtout s’ils peuvent se connecter à vos systèmes et à votre réseau à distance. Pour ce faire, vous pouvez configurer manuellement les paramètres DNS sur les appareils de votre organisation, à l’aide d’un outil de gestion des postes mobiles (MDM pour Mobile Device Management). Les Canadiennes et Canadiens peuvent se servir du Bouclier canadien, une application DNS publique offerte gratuitement par l’Autorité canadienne pour les enregistrements Internet (ACEI) pour veiller à ce que les appareils personnels utilisent toujours un DNS approuvé et filtrent les adresses IP malveillantes Note de bas de page 17. Le Bouclier canadien peut être configuré sur votre routeur ou votre passerelle afin d’assurer une meilleure protection de l’ensemble de votre réseau. Il est recommandé d’appliquer le résolveur DNS « protégé » de l’ACEI puisqu’il est conçu pour offrir une fonctionnalité améliorée de blocage des maliciels et des tentatives d’hameçonnage. En remplaçant les paramètres par défaut du serveur DNS sur vos dispositifs par un serveur DNS fiable, vous serez mieux outillé pour protéger vos appareils.

2.2.9 Appliquer la gestion des mots de passe

Lorsque les systèmes le permettent, votre organisation devrait songer à mettre en œuvre des phrases de passe au lieu de mots de passe. Cependant, la plupart des systèmes sont configurés de façon à exiger la saisie d’un nom d’utilisateur et d’un mot de passe aux fins d’accès. Le recours à des mots de passe robustes est un bon moyen de protection, mais il ne permet pas à lui seul d’empêcher les auteurs de menace d’accéder à vos systèmes et à votre information sensible. Une attaque par dictionnaire est une tactique courante qu’emploient les auteurs de menace pour pénétrer dans vos systèmes et réseaux.

La section 2.1.4 contient de plus amples détails sur l’adoption de l’authentification multifacteur dans vos pratiques de gestion de l’accès et des comptes. Parallèlement à l’authentification multifacteur, un gestionnaire de mots de passe peut permettre aux membres de votre personnel de se souvenir de leurs mots de passe système et réseau, et de les sécuriser. Il peut également permettre à votre organisation d’assurer le suivi des nombreux mots de passe associés aux comptes personnels et administratifs.

En outre, votre organisation devrait considérer la mise en œuvre de coffres-forts de mots de passe pour les comptes administratifs. Ces coffres-forts procurent un niveau supérieur de protection puisque les mots de passe sont soumis à des cycles et sont synchronisés avec vos systèmes. Ainsi, un mot de passe ne peut être utilisé qu’une seule fois et peut être retracé de manière à déterminer qui a utilisé le mot de passe quand et pour accéder à quoi.

Pour obtenir plus d’information sur la mise en œuvre et l’utilisation des gestionnaires de mots de passe, veuillez consulter ITSAP.30.025, Conseils de sécurité sur les gestionnaires de mots de passe Note de bas de page 18.

2.2.10 Utiliser la protection du domaine de courriel

Évaluez la possibilité de mettre en œuvre des mesures de sécurité techniques pour cerner l’infrastructure utilisée par les auteurs de menace et protéger les domaines de votre organisation contre l’usurpation d’adresses électroniques, empêchant ainsi la réception de messages malveillants envoyés au nom de votre domaine. Ces mesures vous permettront également de bloquer les courriels d’hameçonnage envoyés à votre organisation. Vous pouvez réduire les risques liés aux campagnes d’envoi de courriels malveillants en appliquant les trois protocoles de sécurité suivants qui agissent conjointement pour empêcher l’usurpation des domaines de courriel :

  • Sender Policy Framework (SPF) : Le protocole SPF permet de préciser les adresses IP à partir desquelles les courriels peuvent être envoyés au nom d’un domaine. Lors de la réception d’un message, un système de courriel qui prend en charge le protocole SPF récupère l’enregistrement SPF associé à l’envoi d’un domaine et vérifie que l’adresse IP utilisée pour envoyer le message a été autorisée à le faire.
  • DomainKeys Identified Mail (DKIM) : Vous pouvez utiliser le protocole DKIM pour offrir un mécanisme d’authentification des courriels au moyen d’une signature cryptographique. Lorsqu’un système de courrier qui prend en charge le protocole DKIM reçoit un message comportant une signature DKIM, il récupère l’enregistrement associé à l’en-tête DKIM du message et vérifie la signature à l’aide de la clé publique publiée. Cette vérification confirme sur le plan cryptographique que le message a été envoyé par un expéditeur autorisé et qu’il n’a pas été modifié pendant sa transmission. Si la signature n’est pas valide ou si aucun enregistrement DKIM n’est trouvé, le message échouera à la vérification DKIM. Le message qui ne répondra pas aux critères de vérification DKIM pourrait être rejeté.
  • Protocole DMARC (pour Domain-based Messaged Authentication, Reporting and Conformance) : La mise en œuvre d’une politique et d’une vérification du protocole DMARC peut renforcer vos protocoles de sécurité et empêcher l’usurpation de votre domaine de courriel. Si un courriel passe par la validation DMARC, il sera acheminé au destinataire prévu. Toutefois, si le courriel échoue à la validation DMARC, le système de courriel récepteur applique la politique précisée dans l’enregistrement DMARC du domaine, puis il choisira alors d’acheminer le courriel, de l’acheminer en le marquant comme suspect ou de le rejeter.

Votre organisation doit comprendre ces politiques et leur fonctionnement. Seule une politique de rejet peut empêcher la réception de messages illégitimes. Pour obtenir de plus amples renseignements sur la protection du domaine de courrier, consultez l’ITSP.40.065, Directive de mise en œuvre : protection du domaine de courrier Note de bas de page 19.

3 Se remettre d’une attaque par rançongiciel

Se remettre d’une attaque par rançongiciel peut s’avérer un long processus, et rétablir la marque et la réputation de votre organisation peut faire partie d’un processus encore plus long. Travailler dans l’optique que votre organisation devra inévitablement faire face à des maliciels vous aidera à élaborer un plan d’intervention et pourrait vous permettre d’accélérer le temps de traitement pour votre reprise. En suivant les conseils fournis dans le présent document, votre organisation pourra non seulement réduire le temps nécessaire pour se remettre d’une attaque, mais aussi réduire la probabilité d’une attaque ou réduire au minimum les répercussions d’une infection.

3.1 Processus de reprise

Comme il a été décrit à la section 2.1.3, le fait de pouvoir compter sur des sauvegardes fiables qui sont sécurisées et stockées hors ligne peut améliorer considérablement votre capacité à vous remettre d’une attaque par rançongiciel. Si votre organisation a été touchée par un rançongiciel, il existe des mesures immédiates que vous pouvez prendre pour réduire au minimum les répercussions d’une infection.

3.1.1 Mesures d’intervention immédiates

Les auteurs de menace peuvent infiltrer votre réseau et continuer d’observer vos systèmes, dispositifs connectés et communications. Vous devez présumer que l’auteur de menace s’est introduit dans votre organisation et, par conséquent, vous devez mettre en œuvre une autre méthode de communication (p. ex. un accès aux courriels externes par un dispositif non connecté à votre réseau) à laquelle l’auteur n’a pas accès. Cette méthode permettra également d’empêcher l’auteur de menace de prendre connaissance de vos plans d’intervention en cas d’incident et de vos mesures de reprise. Vous trouverez ci-dessous une liste de vérification (tableau 2) que votre organisation peut employer lorsqu’elle prend des mesures de protection immédiates, idéalement dans les premières heures suivant une attaque par rançongiciel.

Tableau 3 :Liste de vérification pour une intervention immédiate – détection, analyse, confinement et éradication
Priorité Mesure à prendre Étapes détaillées
1 Déterminer ce qui est infecté et isoler
  • Déterminez les dispositifs et les systèmes qui ont été infectés par un rançongiciel.
  • Isolez tous les systèmes et dispositifs infectés.
  • Déconnectez les systèmes et les dispositifs infectés de tout réseau pour réduire le risque de propagation de l’infection à d’autres dispositifs connectés. Vous aurez peut-être également besoin de les déconnecter d’Internet.
  • Déterminez les données, même celles en transit, qui ont été touchées par le rançongiciel.
  • Déterminez la probabilité que la confidentialité ou l’intégrité des données soient compromises, et avisez les gestionnaires de données et les intervenants des répercussions possibles.
  • Vous pourriez aussi avoir à désactiver vos réseaux privés virtuels, serveurs d’accès à distance, ressources à authentification unique ainsi que biens basés sur le nuage ou accessibles au public comme mesures supplémentaires pour confiner l’infection par rançongiciel.
2 Faire un signalement à la police
  • Signalez au service de police local toute attaque par rançongiciel. Une attaque par rançongiciel est considérée comme un cybercrime et peut donc faire l’objet d’une enquête policière.
  • Signalez également l’attaque par rançongiciel au Centre antifraude du Canada et au Centre pour la cybersécurité en ligne dans Mon cyberportail.
  • Les organismes chargés de l’application de la loi peuvent être en mesure de vous fournir une clé de déchiffrement si vous avez été infecté par un rançongiciel connu.
3 Réunir l’équipe CIRT
  • Transmettez les détails de l’incident à votre CIRT (équipe mise sur pied lors de l’élaboration de votre plan d’intervention en cas d’incident).
  • Donnez des instructions claires aux membres de la CIRT quant à leurs rôles et responsabilités dans la gestion de l’incident.
  • Prenez en note les détails pour vous assurer que votre CIRT a bien saisi ce qui s’est produit.
  • Répartissez les systèmes touchés par le rançongiciel en vue du rétablissement et de la reprise. Cette mesure permettra à votre CIRT de se concentrer sur les mesures immédiates à prendre.
4 Changer les justificatifs d’identité
  • Réinitialisez les justificatifs, comme les mots de passe et les phrases de passe, pour les comptes d’administrateur et d’utilisateur.
  • Assurez-vous de ne pas changer les justificatifs nécessaires au rétablissement de votre sauvegarde ou qui pourraient bloquer l’accès aux systèmes dont vous aurez besoin pendant le processus de reprise.
  • Créez des comptes d’administrateur temporaires pour commencer votre reprise et surveillez vos comptes initiaux pour déterminer s’ils sont exploités par l’auteur de menace.
5 Effacer et réinstaller
  • Effacez de manière sécurisée le contenu des dispositifs infectés pour enlever les maliciels, les bogues ou les virus.
  • Réinstallez le système d’exploitation pour débarrasser vos dispositifs de l’infection.
6 Activer les logiciels de sécurité
  • Exécutez les diagnostics antivirus et antimaliciel sur votre sauvegarde pour vous assurer qu’elle n’est pas infectée avant de commencer le processus de rétablissement.
  • Balayez les fichiers auxquels l’auteur de menace aurait pu avoir accès ou les fichiers qui auraient pu avoir été extraits d’un système compromis. Consultez le site Web du Centre pour la cybersécurité pour télécharger la Chaîne de montage (Assemblyline), un outil gratuit de détection et d’analyse de maliciels Note de bas de page 20.
  • Corrigez tous les éléments signalés par balayage.

3.1.2 Mesures de reprise

Malgré les perturbations temporaires que subiront vos activités, la marche à suivre la plus importante est d’isoler votre infrastructure d’Internet. L’isolation empêchera temporairement l’auteur de menace d’accéder à votre infrastructure, ce qui vous permettra de prendre le contrôle de la situation et d’avancer dans votre processus d’enquête, d’intervention et de reprise.

Lorsque vous aurez effectué les étapes indiquées dans tableau 2, et que vous serez certain que les sauvegardes et les dispositifs ne présentent aucun maliciel ou virus, vous devrez commencer le processus de reprise, tel qu’il est précisé dans les sous-sections 3.1.2.1 à 3.1.2.4.

3.1.2.1 Mettre en place des mesures correctives au point d’entrée

Afin d’assurer la réussite de la reprise et d’éviter une nouvelle infection, vous devez découvrir comment l’auteur de menace a réussi à accéder à votre réseau, à vos systèmes et à vos dispositifs, puis corriger la vulnérabilité immédiatement. Assurez-vous de corriger le problème au point d’entrée avant de connecter vos systèmes et dispositifs au réseau ou à Internet pour empêcher l’auteur de menace d’y accéder de la même manière.

3.1.2.2 Mettre en œuvre le plan de sauvegarde

Assurez la protection de votre organisation en ayant en place un plan de sauvegarde détaillé. Vous devez mettre en œuvre ce plan si vos principaux systèmes ainsi que le stockage de vos données ont été compromis et doivent être rétablis à l’aide de la copie de vos données. Grâce à ce plan, votre organisation peut rétablir ses données et ses systèmes essentiels, et reprendre ses activités rapidement. La remise en état de vos systèmes devrait se faire au moyen de sauvegardes hors ligne qui ne sont pas connectées à vos réseaux. Avant d’effectuer le rétablissement à partir d’une sauvegarde, balayez et analysez celle-ci pour vous assurer qu’elle n’a pas été compromise par l’auteur de menace.

3.1.2.3 Rétablir les systèmes

Conformément à votre plan d’intervention en cas d’incident, déterminez les données et les systèmes essentiels qui doivent d’abord être récupérés. Assurez-vous que ces systèmes et données n’ont pas été touchés par l’attaque par rançongiciel, et qu’ils ne présentent aucun signe d’infection par maliciel.

Plusieurs options sont offertes lors de la mise en œuvre de la stratégie de reprise. Vous devez opter pour une stratégie de reprise qui répond à vos besoins opérationnels et à vos exigences en matière de sécurité.

3.1.2.4 Faire appel à des professionnels de la cybersécurité

Faire appel aux services professionnels d’un organisme de cybersécurité ou d’un professionnel très bien coté peut s’avérer utile lorsque votre organisation se prépare et intervient en cas d’incident lié à un rançongiciel. Si votre organisation s’est dotée d’une cyberassurance, votre fournisseur offrira souvent l’aide d’un tiers professionnel de la sécurité dans l’éventualité d’un incident comme une attaque par rançongiciel. Ce professionnel sera en mesure de vous fournir une expertise en matière d’intervention en cas d’incident et une stratégie de reprise adaptée à votre organisation. Il pourrait aussi déployer une équipe de gestion des incidents pour diriger le processus d’intervention et de reprise de votre organisation. Si vous faites appel à de tels professionnels, assurez-vous d’établir clairement les attentes, les rôles et les responsabilités liés à leurs services.

3.1.2.5 Aviser les intervenants

Lorsqu’un incident se produit, et plus particulièrement lorsqu’il compromet vos systèmes et vos données, vous devez absolument aviser les intervenants, les clients et les membres de votre personnel de la situation. Vous devriez envisager la préparation d’une déclaration qui pourra ensuite être adaptée à l’incident ainsi qu’une liste comportant les coordonnées de tous les intervenants à aviser. Les attaques par rançongiciel peuvent porter atteinte à la réputation de votre organisation. Il est donc important de mettre en œuvre votre plan de communication rapidement à la suite d’un incident pour aviser vos intervenants qui, à leur tour, mettront en branle leurs propres plans d’intervention en cas d’incident, le cas échéant.

3.1.2.6 Analyser l’incident

Déterminer la cause fondamentale de l’incident est essentiel. Comment l’auteur de menace a-t-il pu s’introduire dans votre réseau et déployer le rançongiciel? Souvent, l’incident lié au rançongiciel est un symptôme de piratage ou d’intrusion plus grave d’un auteur de menace. Si vous n’arrivez pas à déterminer comment s’est produite cette intrusion et si vous n’êtes pas en mesure d’appliquer les mesures de sécurité appropriées pour éviter qu’elle ne se reproduise, les auteurs de menace peuvent continuer à exploiter la vulnérabilité.

Une étape essentielle de votre analyse d’incident est de déterminer les systèmes, les comptes et les renseignements auxquels a eu accès l’auteur de menace. Vous pourrez alors établir l’étendue des dommages en sachant quels comptes ont été compromis et quelles données ont été exfiltrées. Ainsi, vous pourrez mieux contrôler l’attaque, préparer et mettre en œuvre un plan d’intervention approprié, et assurer la réussite de la reprise.

4 Sommaire

Les rançongiciels représentent une menace omniprésente pour votre organisation. Ils peuvent avoir des effets dévastateurs sur vos activités, en vous empêchant d’offrir vos produits et services. Les incidents liés aux rançongiciels peuvent aussi faire subir à votre organisation une perte financière, une violation de données et une atteinte à la réputation. Il est important de préparer votre organisation et d’appliquer des mesures proactives pour protéger votre réseau, vos dispositifs connectés et vos renseignements. C’est cette préparation qui vous permettra de réagir à une attaque par rançongiciel et de vous en remettre.

Si votre organisation a été victime d’un rançongiciel, il est recommandé d’effectuer, après la reprise, un exercice consacré aux leçons tirées. Il s’agit là d’un excellent moyen pour mettre en œuvre des mesures d’atténuation complémentaires, et pour corriger les interventions et les stratégies qui n’ont pas donné les résultats escomptés. Révisez votre plan d’intervention en cas d’incident en fonction des leçons tirées pour doter votre organisation des plans d’intervention et de reprise les plus rigoureux qui soient. Songez à signaler les cyberincidents aux organismes d’application de la loi (c.-à-d. au service de police local ou au Centre antifraude du Canada) et au Centre pour la cybersécurité en ligne dans Mon cyberportail. Si vous êtes à l’aise de le faire, faites part de vos conclusions au Centre pour la cybersécurité, en indiquant les outils, les techniques et les procédures utilisés par l’auteur de menace. Votre contribution permettra au Centre pour la cybersécurité d’envoyer des alertes et des conseils au public pour aider les particuliers et les organisations à protéger leurs biens contre la même attaque par rançongiciel. La communication des leçons que vous avez tirées pourrait être utile à d’autres organisations et à la collectivité de la cybersécurité.

4.1 Coordonnées

Pour obtenir de plus amples renseignements, communiquez avec notre Centre de coordination des services par téléphone ou par courriel :

Centre de coordination des services
contact@cyber.gc.ca
613-949-7048 ou 1-833-CYBER-88

5 Contenu complémentaire

5.1 Liste des acronymes, abréviations et sigles

Terme
Définition
ARA
Analyse des répercussions sur les activités
CIRT
Équipe d’intervention en cas de cyberincident (Cyber Incident Response Team)
DKIM
Protocole DKIM (DomainKeys Identified Mail)
DMARC
Protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance)
FSG
Fournisseur de services gérés
FSI
Fournisseur de services infonuagiques
GC
Gouvernement du Canada
MFA
Authentification multifacteur (Multi-Factor Authentication)
RaaS
Rançongiciel comme service (Ransomware as a Service)
RDP
Protocole RDP (Remote Desktop Protocol)
RPV
Réseau privé virtuel
SPF
Protocole SPF (Sender Policy Framework)
SSO
Identification unique (Single Sign-On)
TI
Technologies de l’information
TO
Technologies opérationnelles

5.2 Glossaire

Terme
Définition
Authentification multifacteur
L’authentification est validée en combinant au moins deux facteurs différents, y compris quelque chose que vous savez (p. ex. un mot de passe), quelque chose que vous avez (p. ex. un jeton physique) ou quelque chose que vous êtes (p. ex. une biométrie).
Coupe-feu
Barrière de sécurité placée entre deux réseaux qui contrôle le volume et les types de trafic autorisés à passer d’un réseau à l’autre. Les ressources du système local sont ainsi protégées contre un accès de l’extérieur.
Défense en profondeur
Concept de sécurité des TI (aussi appelé approche Castle) en vertu duquel plusieurs couches de sécurité sont utilisées pour protéger l’intégrité de l’information. Ces couches peuvent comprendre un logiciel antivirus et un logiciel antimaliciel, un coupe-feu, des mots de passe hiérarchiques, une détection d’intrusion et une identification biométrique.
Droit d’accès minimal
Principe selon lequel il convient de n’accorder aux utilisateurs que les autorisations d’accès dont ils ont besoin pour accomplir les tâches qui leur ont été dûment attribuées. Ce principe permet de limiter les dommages pouvant résulter d’une utilisation non autorisée – abusive ou accidentelle – d’un système d’information.
Hameçonnage
Procédé par lequel une tierce partie tente de solliciter de l’information confidentielle appartenant à un individu, à un groupe ou à une organisation en les usurpant ou en imitant une marque commerciale connue, souvent dans le but de réaliser des gains financiers. Les hameçonneurs incitent les utilisateurs à partager leurs renseignements personnels (numéros de cartes de crédit, données bancaires ou autres renseignements sensibles) afin de s’en servir pour commettre des actes frauduleux.
Infonuagique
Recours à des serveurs distants hébergés dans l’Internet. L’infonuagique permet à des utilisateurs d’accéder à un ensemble de ressources informatiques (comme des réseaux, des serveurs, des applications, des services) sur demande et de n’importe où. Les utilisateurs parviennent à ces ressources par l’intermédiaire d’un réseau informatique plutôt que d’avoir à les stocker toutes sur leur propre ordinateur.
Liste d’applications autorisées
Liste de contrôles d’accès qui précise qui ou quoi peut obtenir un accès autorisé, afin d’assurer une protection contre un danger.
Macros
Petit programme qui permet d’automatiser des tâches dans des applications que les pirates peuvent utiliser pour s’introduire dans un système ou nuire à celui-ci.
Maliciel
Logiciel malveillant conçu pour infiltrer ou endommager un système informatique sans le consentement du propriétaire. Les maliciels les plus courants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires.
Périmètre
Frontière entre deux zones de sécurité de réseau par laquelle le trafic est acheminé.
Porte dérobée
Moyen non documenté, privé ou moins détectable d’accéder à distance à un ordinateur, de contourner les mesures d’authentification et d’obtenir un accès au texte clair.
PowerShell
Langage de script de l’interpréteur de ligne de commande développé par Microsoft afin d’offrir une interface intégrée pour l’automatisation des tâches d’administration système.
Privilèges administratifs
Autorisations qui permettent à un utilisateur d’exécuter certaines fonctions sur un système ou un réseau, comme l’installation d’un logiciel et la modification de paramètres de configuration.
Usurpation
Un auteur de menace utilise l’adresse IP d’un autre ordinateur pour se faire passer pour une source de confiance afin d’obtenir l’accès à un ordinateur, à un dispositif ou à un réseau d’un particulier ou d’une organisation.
Zone de sécurité de réseau
Environnement de réseau clairement délimité relevant d’une autorité de zone de sécurité de réseau et caractérisé par un niveau standard de vulnérabilité aux menaces. On distingue les types de zones d’après les exigences de sécurité s’appliquant aux interfaces, au contrôle du trafic, à la protection des données, au contrôle de la configuration de l’hôte et au contrôle de la configuration du réseau.
Date de modification :