Sélection de la langue

Government of Canada / Gouvernement du Canada

Rançongiciels : comment les prévenir et s'en remettre (ITSAP.00.099)

Un rançongiciel est un type de maliciel qui empêche une utilisatrice ou un utilisateur légitime d'accéder à un système ou à des données jusqu'à ce qu'elle ou il verse une rançon. Lorsqu'un rançongiciel infecte un dispositif, il rend le système inutilisable ou chiffre la fonction de stockage, empêchant ainsi l'accès à l'information et aux systèmes. Les auteurs de menace ont amélioré leurs tactiques et reposent souvent sur les vols de données comme principale méthode d'extorsion.

Les auteurs de menace peuvent exploiter des vulnérabilités et de nombreux vecteurs d'attaque pour infecter, au moyen d'un rançongiciel, votre réseau, vos systèmes et vos dispositifs. Peu importe les compétences, cela peut se faire en utilisant un code malveillant et des services achetés sur le Web clandestin. C'est ce que l'on appelle le rançongiciel comme service (RaaS pour Ransomware-as-a-Service). De plus, les auteurs de menace peuvent utiliser des outils d'intelligence artificielle pour écrire des rançongiciels efficaces. Cela automatise la découverte des points faibles dans un réseau, le contournement des mécanismes de défense, le déploiement de maliciels et la suppression de preuves de l'intrusion.

La présente publication fournit des conseils pour aider votre organisation à se préparer à faire face à une attaque par rançongiciel et à se rétablir après coup.

Sur cette page

Manières dont un rançongiciel peut infecter des dispositifs

Les auteurs de menace peuvent utiliser un dispositif compromis pour propager un rançongiciel dans d'autres systèmes et dispositifs connectés au même réseau. Un rançongiciel peut infecter des dispositifs lorsque des utilisatrices et utilisateurs :

  • ouvrent des pièces jointes malveillantes qui ont l'air légitimes dans des messages;
  • cliquent sur des pièces jointes et liens malveillants intégrés dans des sites Web;
  • ouvrent du contenu ciblé et personnalisé dans des courriels d'hameçonnage, des messages texte et les médias sociaux.

Les auteurs de menace façonnent leur contenu malveillant en explorant les réseaux professionnels et sociaux en vue de trouver de l'information qu'ils pourraient exfiltrer. Ils surveillent aussi les habitudes de communication avant de déployer le rançongiciel.

Si un dispositif est infecté par un rançongiciel, vous recevrez un avis de rançon à votre écran vous indiquant que vos fichiers ont été chiffrés et qu'ils seront inaccessibles jusqu'à ce qu'une rançon ait été payée. Les cybercriminelles et cybercriminels demandent habituellement la rançon en cryptomonnaie, en raison de l'anonymat qu'elle offre. La cryptomonnaie permet aux cybercriminelles et cybercriminels de déplacer des revenus à l'échelle internationale, ce qui élargit leur portée et complique les efforts d'application de la loi. D'autres méthodes de paiement de rançon comprennent souvent les cartes de crédit prépayées ou les cartes-cadeaux. En général, les auteurs de menace vous accorderont une date limite pour payer la rançon, après quoi ils pourraient augmenter le montant de la rançon, détruire vos fichiers ou divulguer vos données.

Haut de la page
 

Comment préparer votre organisation

Il existe plusieurs approches que vous pouvez adopter pour mieux protéger vos réseaux, vos systèmes et vos dispositifs. Vous trouverez ci-dessous une liste des mesures que vous pouvez prendre afin de renforcer votre cybersécurité.

Planifier

Élaborer un plan d'intervention en cas d'incident pour votre organisation est la pierre angulaire de votre stratégie de cyberdéfense. Un plan d'intervention en cas d'incident vous aide à détecter des incidents de cybersécurité et à intervenir. Votre organisation devrait tenir compte des événements majeurs qui pourraient provoquer une panne imprévue et l'obliger à activer son plan d'intervention en cas d'incident.

Votre plan doit aussi inclure une évaluation des risques et des plans de sauvegarde, de reprise et de communications. Il devrait aussi déterminer les rôles que vos employées et employés doivent jouer et leur fournir des instructions détaillées en cas d'incident. Ce plan devrait être accessible hors ligne au cas où vos systèmes ne seraient pas disponibles. De plus, votre organisation devrait élaborer et mettre à l'essai régulièrement un plan de continuité des activités et de reprise après sinistre.

Se préparer à une reprise

Une fois qu'un incident aura été confiné ou résolu, votre organisation devrait avoir en place un plan de reprise, qui doit être mis à l'essai en effectuant des simulations et des exercices préparatoires. Les mises en situation devraient mettre à l'essai l'efficacité de votre intervention et mettre en lumière les aspects à améliorer.

Sauvegarder vos données

Le fait de pouvoir compter sur des sauvegardes fiables peut améliorer considérablement votre capacité à vous remettre d'une attaque par rançongiciel. Une copie de sauvegarde de vos données et de vos systèmes permet de récupérer vos données et d'accéder à vos systèmes essentiels dans l'éventualité d'un incident. Vous devez faire des copies de sauvegarde régulièrement pour vous assurer que vos sauvegardes ont les données les plus à jour en comparaison à celles en temps réel. Créez le plus de barrières de sécurité que possible entre vos systèmes de production et vos copies de sauvegarde. Assurez-vous que vos copies de sauvegarde sont chiffrées et stockées hors ligne sans connexion à Internet ou à des réseaux locaux. Les auteurs de menace peuvent infecter vos copies de sauvegarde si ces dernières sont connectées à vos réseaux, ce qui minerait vos efforts de récupération. Le fait de mettre à l'essai votre processus de sauvegarde et de récupération est également essentiel pour vous assurer que votre reprise est rapide et efficace.

Dispenser une formation sur la sensibilisation à la sécurité au personnel

Fournissez à vos employées et employés de la formation personnalisée et continue sur la cybersécurité et la gestion des dispositifs. Il sera ainsi possible de s'assurer qu'ils ne seront pas victimes d'activités malveillantes, comme des courriels d'hameçonnage et des téléchargements infectés. Pour en apprendre plus sur la formation en matière de gestion des événements de cybersécurité, consultez le Carrefour de l'apprentissage du Centre pour la cybersécurité. Le Carrefour de l'apprentissage offre un cours complet sur la gestion des événements pouvant être adapté aux besoins opérationnels et en matière de technologie de l'information (TI) de votre organisation.

Penser à une cyberassurance

Faites des recherches sur les fournisseurs d'assurance et sur les détails des polices d'assurance pour déterminer si votre organisme pourrait tirer des avantages d'une cyberassurance. Une police d'assurance peut ajouter une couche de protection supplémentaire et offrir à votre organisation une expertise en matière d'intervention en cas d'incident dans l'éventualité d'une attaque par rançongiciel. Toutefois, vous devriez vous assurer que les documents de police d'assurance sont adéquatement protégés dans vos deux systèmes. Sinon, des auteurs d'attaques par rançongiciel dotés de moyens sophistiqués pourraient obtenir des renseignements sensibles sur les montants de la couverture et les exploiter lors de négociations de rançon. Il est important de savoir que les compagnies d'assurance peuvent refuser la couverture s'ils estiment que votre organisation n'a pas mis en place les mesures de cybersécurité adéquates.

Haut de la page
 

Comment protéger votre organisation

Les rançongiciels figurent parmi les types de maliciels les plus répandus et constituent potentiellement l'une des cyberattaques les plus dommageables pour votre organisation. Utilisez les conseils ci-dessous pour protéger votre organisation contre les attaques par rançongiciel.

Appliquer des méthodes d'authentification robustes

Activez l'authentification multifacteur (AMF) résistante à l'hameçonnage et utilisez des phrases de passe ou des mots de passe uniques et robustes sur tous les dispositifs et pour tous les comptes.

En plus de l'AMF, vous devriez encourager les employées et employés à utiliser un gestionnaire de mots de passe. Les gestionnaires de mots de passe peuvent aider les utilisatrices et utilisateurs à sécuriser des mots de passe ou des phrases de passe, et à s'en souvenir. En outre, votre organisation devrait considérer la mise en œuvre de coffres-forts de mots de passe pour les comptes administratifs. Ces coffres-forts offrent une protection accrue, car les mots de passe ou phrases de passe sont soumis à des cycles et sont synchronisés avec vos systèmes.

Appliquer le principe du droit d'accès minimal

Le fait d'appliquer le principe de droit d'accès minimal peut vous aider à gérer et à surveiller les accès et les comptes utilisateur. Donnez au personnel uniquement accès aux fonctions et aux privilèges dont il a besoin pour réaliser son travail. Une façon d'y parvenir est de mettre en œuvre un contrôle d'accès basé sur les rôles, qui met en correspondance les droits d'accès des utilisatrices et utilisateurs au rôle qu'ils jouent dans l'organisation.

Restreindre les privilèges administratifs

Vous devriez limiter le nombre d'administratrices ou administrateurs, ou d'utilisatrices ou utilisateurs privilégiés pour ce qui est des systèmes d'exploitation et des applications. Les utilisatrices et utilisateurs ne doivent jamais avoir des accès privilégiés sur les systèmes de leur ordinateur de bureau ou portable. Les utilisatrices et utilisateurs disposant de privilèges d'administrateur devraient avoir un compte d'administrateur séparé avec des justificatifs d'identité distincts, peu importe l'environnement de votre organisation (en nuage, sur site ou hybride).

Vous devriez aussi créer des comptes dotés de niveaux de droits administratifs distincts afin de limiter les risques d'exposition dans l'éventualité où un compte d'administrateur serait compromis. De plus, vous devriez mettre en œuvre une confirmation pour chaque action qui nécessite des autorisations de niveau élevé.

Gestion et contrôle des privilèges administratifs (ITSAP.10.094)

Mettre à jour et corriger les systèmes et les dispositifs

Obtenez les mises à jour et les correctifs pour améliorer la performance et l'utilisabilité, et corrigez les vulnérabilités et les bogues connus de vos logiciels, matériels et systèmes d'exploitation. Les auteurs de menace peuvent facilement exploiter les systèmes et les dispositifs non corrigés ou qui ne sont pas pris en charge.

Application des mises à jour sur les dispositifs (ITSAP.10.096)

Désactiver les macros

Assurez-vous de désactiver les macros par défaut afin de réduire les risques de propagation des rançongiciels dans les pièces jointes de Microsoft Office. Les versions plus récentes de Microsoft Office désactiveront par défaut les macros provenant d'Internet.

Protection d'un organisme contre les macros malveillantes (ITSAP.00.200)

Segmenter les réseaux

Divisez votre réseau en plusieurs plus petites sections. Ainsi, il sera plus difficile pour un rançongiciel d'infecter l'ensemble du réseau. Votre organisation devrait faire l'inventaire de ses renseignements organisationnels essentiels et les catégoriser selon leur degré de sensibilité ou leur incidence sur la vie privée. Segmentez et groupez les services d'infrastructure répondant aux mêmes stratégies de sécurité des communications ou aux mêmes exigences en matière de protection de l'information.

No 5, Segmenter et séparer l'information (ITSM.10.092)

Mettre en place des outils de sécurité

Installez un antimaliciel et un antivirus sur vos systèmes afin de détecter les activités malveillantes et de sécuriser votre réseau avec un pare-feu pour protéger les dispositifs connectés. Pensez à installer un filtre de système d'adressage par domaines (DNS pour Domain Name System) sur vos dispositifs mobiles pour bloquer les sites Web malveillants et filtrer le contenu dommageable. L'Autorité canadienne pour les enregistrements Internet offre un service DNS de protection gratuit, le Bouclier canadien, qui empêche les connexions à des sites Web malveillants susceptibles d'infecter vos dispositifs ou de voler des renseignements personnels.

Mettez en place un protocole DMARC, un protocole d'authentification et de signalement qui aide à protéger les domaines de votre organisme contre l'usurpation, l'hameçonnage et d'autres activités malveillantes.

Assurez-vous que vos utilisatrices et utilisateurs se servent de votre réseau privé virtuel (RPV) pour accéder à votre réseau. Un RPV permet d'établir une connexion sécurisée entre deux points et peut servir à protéger les données sensibles lorsqu'elles sont en transit.

Faire appel à des professionnelles et professionnels de la cybersécurité

Dans le cas d'un cyberincident, le fait de communiquer tout de suite avec une professionnelle ou un professionnel de la cybersécurité peut vous permettre de récupérer vos systèmes et vos données plus rapidement qu'avec votre personnel de TI en interne.

Haut de la page
 

Se remettre d'une attaque par rançongiciel

Les étapes ci-dessous peuvent vous aider à éliminer ou à réduire la propagation d'un rançongiciel.

Isolez immédiatement les appareils

Déconnectez vos dispositifs pour arrêter la propagation du rançongiciel à d'autres dispositifs connectés. Nous vous recommandons de ne pas éteindre le dispositif une fois qu'il est isolé, ce qui permet de conserver les preuves criminalistiques.

Certaines souches de rançongiciels sont conçues pour rester en dormance sur un dispositif et se propager discrètement à d'autres dispositifs connectés aux réseaux avant de chiffrer des fichiers. Dans ces cas, il est possible que vous ne puissiez pas arrêter la propagation du rançongiciel.

Signalez l'incident

Songez à signaler les cyberincidents aux organismes d'application de la loi, comme le service de police local ou le Centre antifraude du Canada, ainsi qu'au Centre pour la cybersécurité en ligne par l'intermédiaire de Mon cyberportail.

Si vous êtes à l'aise de le faire, faites part de vos conclusions au Centre pour la cybersécurité, en indiquant les outils, les techniques et les procédés utilisés par l'auteur de menace.

Parlez de l'incident aux employées et employés qui figurent dans votre plan d'intervention en cas d'incident et donnez-leur des directives claires quant à leurs rôles et responsabilités pour aider à gérer l'incident. Ceux-ci devraient déjà être définis dans votre plan de reprise.

Changez vos phrases de passe

Réinitialisez vos justificatifs d'identité, y compris les phrases de passe de tous vos systèmes, dispositifs et comptes. Les auteurs de menace sauvegardent habituellement ces informations pour des attaques futures.

Déterminez quel est le type de rançongiciel auquel vous faites face

Utilisez les informations de la note de rançon (p. ex. les URL listées) et les nouvelles extensions dont vos fichiers chiffrés ont hérité afin d'alimenter vos recherches sur de possibles attaques récurrentes et d'identifier le rançongiciel. Cette information sera aussi utile pour les organismes d'application de la loi et/ou votre fournisseur contractuel de services de sécurité gérés, le cas échéant.

Si vous trouvez un outil de déchiffrement en ligne, ou si des organismes chargés de l'application de la loi peuvent en vous fournir un, procédez à la prise des mesures correctives.

Si aucun outil de déchiffrement n'est disponible en ligne pour la souche de rançongiciel à laquelle vous faites face, nettoyez toutes les données de votre dispositif de façon sécuritaire et réinstallez le système d'exploitation (si les organismes d'application de la loi ou un service de sécurité géré ne sont pas impliqués).

Mettez en place des mesures correctives au point d'entrée

Avant de reconnecter vos systèmes et dispositifs à votre réseau ou à Internet, vous devez découvrir comment l'auteur de menace a réussi à accéder à votre environnement. Une fois les vecteurs identifiés, vous devriez appliquer les mesures de sécurité adéquates afin de prévenir une nouvelle attaque.

Restaurez vos systèmes et vos données à partir de votre copie de sauvegarde

Stockez vos copies de sauvegarde hors ligne pour atténuer les risques qu'un rançongiciel les infecte.

Analysez/balayez vos copies de sauvegarde pour vous assurer qu'aucun rançongiciel ou autre logiciel malveillant ne s'y trouve.

Une fois que vous êtes confiante ou confiant, restaurez vos systèmes et vos dispositifs à partir de vos copies de sauvegarde.

Mettez à jour vos systèmes et appliquez les correctifs

Mettez à jour tous vos dispositifs, matériels et logiciels et appliquez-leur les correctifs offerts. Appliquez les correctifs à votre système d'exploitation et assurez-vous que tous les antivirus, antimaliciels et pare-feu des logiciels sont à jour.

Passez en revue l'incident et offrez une formation continue

Passez en revue l'incident avec vos employées et employés.

Vous devriez aussi leur offrir une formation continue portant sur les mesures préventives qui permettent de se protéger contre les attaques par rançongiciel, comme apprendre à identifier des pièces jointes et des courriels suspects.

Servez-vous des menaces courantes et des incidents passés pour vous garder à jour et vous préparer pour le futur.

Haut de la page
 

Les risques associés au paiement d'une rançon

La décision de payer un auteur de cybermenace pour qu'il vous redonne l'accès à vos fichiers ou à vos dispositifs ne doit pas être prise à la légère. Avant d'envisager de payer une rançon, on vous recommande de communiquer avec le service de police local pour signaler le cybercrime. Payer la rançon demandée ne garantira pas pour autant l'accès à vos données chiffrées ou à vos systèmes. Même si vous payez la rançon, les auteurs de menace pourraient quand même :

  • demander plus d'argent;
  • continuer d'infecter vos dispositifs et systèmes ou ceux d'autres organisations;
  • attaquer votre organisation à nouveau;
  • copier, divulguer ou vendre vos données.

Pour en savoir plus

Consultez les documents suivants pour en savoir plus :

Haut de la page
 
Date de modification :