En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres.

Conseils sécurité

Cybersécurité : attaques informatiques en cours et bonnes pratiques

Se protéger contre la cybercriminalité est essentiel pour l'activité de votre entreprise. Quelques conseils pour vous prémunir contre les différentes cyber-attaques.

Mots-clés :

80 % des entreprises ayant subi un sinistre informatique majeur avec perte de données informatiques ( mauvaise manipulation, virus, vol de données ou de matériel, fraude interne, déni de service...) déposent le bilan dans les 2 années qui suivent.

Vous trouverez ci-dessous quelques conseils sur les cyberattaques en cours et des conseils de bonnes pratiques.

Site Cybermalveillance.gouv.fr : le site national d'assistance et de prévention du risque numérique propose un kit de sensibilisation à la cybermalveillance, il traite des questions de sécurité du numérique, partage les bonnes pratiques dans les usages personnels, et vise à améliorer les usages dans le cadre professionnel.

Cyber-attaques en cours

Retrouvez ici les alertes de la Gendarmerie du Rhône et de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) sur les attaques informatiques constatées dernièrement.

Un nouveau site d'aide aux victimes

Le gouvernement a lancé Cybermalveillance.gouv.fr: le dispositif national d’assistance aux victimes d’actes de cybermalveillance. Ce service vise notamment à accueillir les victimes (particuliers, entreprises et collectivités territoriales) par le biais d’une plateforme numérique, et à les diriger vers les prestataires de proximité susceptibles de les assister techniquement. Un espace de sensibilisation informe également le public sur les risques des cyber-attaques.Les prestataires souhaitant proposer leurs services peuvent s’enregistrer sur la plate-forme.

Cyber-attaques de type ransomware ou rançongiciel

Qu'est-ce-qu'un "virus rançon" ?

Un ransomware (appelé également rançongiciel, crypto-virus ou virus rançon) est un logiciel malveillant pouvant entraîner soit le blocage d'un ordinateur, soit le chiffrement de données qu'il renferme, ou encore, la récupération des informations sensibles. Il ordonne ensuite le paiement d'une rançon (souvent en monnaie virtuelle, bitcoin) pour en restaurer l'accès.

ODIN : un virus ransomware , déclinaison de cryptohost

ODIN serait apparu pour la première fois le 29 septembre 2016. Il s’agit de la dernière déclinaison du ransomware LOCKY. Il utilise un système de cryptographie identique aux versions précédentes (Locky, Zepto, ...) mais chiffre les fichiers en leur ajoutant désormais une extension en « .odin ».
La clé ayant été modifiée, le déchiffreur « Autolocky », qui permettait depuis quelques temps de décrypter les fichiers en « .locky » est inefficace.

A l’instar de ses prédécesseurs, ce nouveau ransomware change l’image de fonds d’écran et laisse apparaître une fenêtre contenant les instructions de paiement, lequel sera effectué via le réseau TOR.
Alors que pour Locky, les cybercriminels exigeaient la somme de 360 euros (soit environ un bitcoin), la rançon désormais demandée s’élève à 2000 euros (toujours payable en bitcoins).

CRYPTOHOST : LE VIRUS QUI VERROUILLE VOS DONNÉES DANS UNE ARCHIVE RAR

Il se fait passer généralement pour le logiciel P2P uTorrent et se télécharge souvent sous le nom de uTorrent.exe pour tromper les utilisateurs. Un simple clic sur l'exécutable suffit pour l'activer.
CryptoHost, connu également sous le nom de Manamecrypt, ne chiffre pas directement vos fichiers. Il opère tout simplement en déplaçant vos fichiers dans une archive au format RAR protégée par un mot de passe. Il affichera par la suite trois messages différents sur votre bureau en vous précisant de régler la somme de 0.33 Bitcoins (environ 120 euros) pour récupérer vos données.

Récupérer les fichiers verrouillés par CryptoHost :

Une équipe de recherche composée de Michael Gillepsie, MalwareForMe, MalwareHunterTeam et enfin Bleeping Computer a découvert le moyen de récupérer ses données en déverrouillant l’archive sans payer cette fameuse rançon.
L’équipe révèle que le ransomware combine le numéro d’identification du processeur, le numéro de série de carte mère ainsi que celui du disque « C:\ » pour générer un algorithme de cryptographie. C’est cet algorithme qui est utilisé pour nommer l’archive RAR verrouillée. Par conséquent personne ne
possède le même mot de passe... en fait il correspond tout simplement au nom de l’archive combiné à votre nom d’utilisateur.
Exemple :
Si votre archive se nomme "9876543210FEDCBA01234" et que votre nom d’utilisateur c’est « Michel »,
votre mot de passe est le suivant : 9876543210FEDCBA01234Michel.

Avant de rentrer votre mot de passe, pensez à stopper le processus de CryptoHost en passant par
votre gestionnaire de tâche (accessible en faisant CTRL + ALT + Suppr). Dans la liste des processus
vous trouverez « CryptoHost.exe », il vous suffira de faire un clic-droit sur le processus et de choisir
l’option « arrêter le processus ».

Il faudra bien évidemment procéder à la suppression de CryptoHost par la suite en supprimant le
fichier suivant : C:\Users\Nom d’utilisateur\AppData\Roaming folder\cryptohost.exe.
Vous pouvez également supprimer la clé de registre correspondante en passant par votre éditeur de
registre : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software%AppData%\cryptohost.exe

Source : Logithèque

JIGSAW : LE RANSOMWARE QUI LANCE UN COMPTE À REBOURS ET MENACE DE DÉTRUIRE VOS FICHIERS

Il laisse une heure à sa victime pour payer la rançon, puis commence à détruire les fichiers de l'ordinateur en accélérant son rythme toutes les heures. Si aucun paiement n’est effectué dans un délai de 72 heures, tous les fichiers restants disparaissent.

Inactiver Jigsaw puis déchiffrer les fichiers à l'aide d'un utilitaire
La première chose à faire, c’est d’ouvrir le gestionnaire de tâches de Windows et de terminer tous les processus appelés firefox.exe oudrpbx.exe qui ont été créés par le ransomware, indique Lawrence Abrams. Puis, il faut lancer l’utilitaire Windows MSConfig et supprimer l’entrée de démarrage pointant vers %UserProfile
%\AppData\Roaming\Frfx\firefox.exe. Cela arrêtera le processus de destruction des fichiers et empêchera le
malware de se relancer au redémarrage du système. Les utilisateurs pourront alors télécharger l’utilitaire "Jigsaw Decrypter" hébergé par BleepingComputer.com afin de déchiffrer leurs fichiers. Lorsque ce sera fait, il est hautement recommandé de télécharger un logiciel anti-malware à jour et de lancer un scan complet de son ordinateur pour désinstaller entièrement le ransomware.

Source : le Monde Informatique

PETYA

Petya est un ransomware qui chiffre l’ensemble du disque dur. Les cibles identifiées actuellement sont les entreprises : de faux emails de candidature menant vers des liens de téléchargement Dropbox sont utilisés.

Le G DATA Security Labs a détecté les premiers fichiers jeudi 24 mars en Allemagne.

La campagne actuellement en cours vise les entreprises. Dans un email au service des ressources humaines, il y a une référence à un CV se trouvant dans Dropbox. Le fichier stocké dans le partage Dropbox est un exécutable. Dès son exécution, l’ordinateur plante avec un écran bleu et redémarre. Mais avant cela, le MBR est manipulé afin que Petya prenne le contrôle sur le processus d’amorçage. Le système démarre à nouveau avec un message MS-Dos qui annonce une vérification CheckDisk. A défaut d’être vérifié, le système est chiffré et plus aucun accès n’est possible.

Le message est clair : le disque est chiffré et la victime doit payer une rançon en se connectant à une adresse disponible sur le réseau anonyme TOR. Sur la page concernée, il est affirmé que le disque dur est chiffré avec un algorithme fort. Après 7 jours, le prix de la rançon est doublé. Il n’y a pour le moment aucune certitude sur le fait que les données soient irrécupérables. Les experts du G DATA SecurityLabs travaillent à l’analyse de ce nouveau type de ransomware.

G DATA recommande aux entreprises et particuliers de redoubler de vigilance quant aux emails reçus. Dans les entreprises, le blocage des partages en ligne de type Dropbox est à étudier, ces systèmes permettant de passer à travers les filtrages des passerelles emails.

Nouveau :

En utilisant un algorithme, il s’avère désormais possible de casser la clé de chiffrement interdisant l’accès aux données et de restaurer le Master Boot Record (MBR), la partition de démarrage qui permet à l’ordinateur d’initier le lancement de son système d’exploitation.

CTB LOKER

La nouvelle version du virus « CTB Locker » réussit à passer outre les firewalls et antivirus les plus sophistiqués,si ceux-ci sont mal configurés.
« CTB Locker » se propage essentiellement via des courriels d'apparence anodine, personnalisés au
maximum (notamment grâce à des informations recueillies par le biais des techniques dites de social engineering) en vue de ne pas éveiller les soupçons des utilisateurs ciblés. Un document, identifié comme étant une facture, une plainte de client, un bon de commande, …, comportant l'extension « .cab » (format de fichier Microsoft compressé) contient l’exécutable malveillant, lequel s'installe une fois le document ouvert puis crypte les données à l'insu de l'utilisateur. Peu de temps après, une fenêtre « pop -p » apparaît et informe le salarié de l'attaque dont il vient d'être victime et de la nécessité de payer une rançon avant l'échéance d'un compte à rebours affiché à l'écran pour obtenir un retour à la normale.
Payer se révèle souvent sans aucun effet car une fois la rançon réglée, le cybercriminel disparaît sans transmettre la clé de déchiffrement nécessaire au déblocage.

Autres ransomwares : LOCKY et CRYSIS

(Crysis venant du fait que ce dernier modifie les extensions des documents chiffrés en ".Crysis").
Il cible les entreprises et semble être installé par des attaques "bruteforce RDP". Si le groupe à l'origine de ce ransomware est le même que pour les autres attaques, il y a probablement peu de chances de récupérer les documents chiffrés, même après paiement de la somme exigée.
Comme dans les cas précédents, le fond d'écran est modifié avec les instructions de paiement adresse de contact dalailama2015@protonmail.ch par exemple.
Lien à consulter sur ce sujet : http://forum.malekal.com/fiche-ransomware-crysis-t54445.html

Des règles de bon sens :

La première règle élémentaire de sécurité est la suivante : "On réfléchit puis on clique et non pas l'inverse"
Seule une vigilance de tous les instants peut éviter les désagréments causés par un ransomware.

La seconde règle de sécurité à appliquer par tous (particuliers, administrations et entreprises privées) est de réaliser des sauvegardes très régulières et d'en vérifier la viabilité. En cas de problème, cette action est la seule à permettre un retour à la normale (plus ou moins rapide) après avoir subi une atteinte de ce type.

Comment se protéger contre le virus rançon ?

Sensibiliser régulièrement les salariés et ce quel que soit le niveau de responsabilité exercé. Tout personnel connecté au réseau de l'entreprise est susceptible d'être rendu destinataire de mails piégés pouvant infecter au mieux son ordinateur et au pire l'intégralité du système d'information de l'entreprise.
Effectuer des sauvegardes régulières de l'ensemble du système informatique et des données contenues. S'assurer régulièrement de leur viabilité.
Installer et mettre à jour régulièrement antivirus et firewall.
Bloquer les extensions .cab dans les applications messagerie
Effectuer une veille régulière qui permettra d'anticiper et de s'adapter aux nouvelles menaces.

Que faire en cas de problème ?

Prendre en photo tous les écrans (mail frauduleux et ses pièces-jointes) ou réamliser des copies d'écran et noter toutes les actions réalisées ainsi que les heures.
Isoler les serveurs et lancer un scan antivirus,
Identifier l'adresse IP émettrice du mail,
Supprimer le profil utilisateur problématique sur les serveurs,
Supprimer l'ensemble des fichiers cryptés,
Restaurer l'ensemble des dossiers et fichiers depuis des sauvegardes ou des points de restauration système réalisés antérieurement à l'attaque
Communiquer immédiatement sur l'attaque auprès de tous les utilisateurs,
Analyser en vue de comprendre les raisons pour lesquelles le mail n'a pas été filtré par les systèmes sécurité.

Procéder avec minutie au risque de perdre vos fichiers.

Dans tous les cas, déposer rapidement plainte auprès du service de police ou de gendarmerie territorialement compétent en cas de problème avéré ou de simple tentative.

Téléchargez le document PDF de la gendarmerie de Rhône-Alpes sur l'alerte ransomware .

Première tentative réussie de ransomware sur MAC

Ke.Ranger ou KeyRanger est un malware transmis avec la version 2.9 du logiciel BitTorrent Transmission, est une bombe à retardement dont les premiers effets devraient se faire ressentir à compter du 07 mars 2016.
Et ces effets risquent d'être dévastateurs, si on ne met pas à jour immédiatement l'application en version 2.91, proposée depuis aujourd'hui par l'éditeur.

Trois jours après son installation, le malware va chiffrer les données de l'utilisateur puis lui réclamer une rançon s'il veut recouvrer ses données. C'est donc très grave pour ceux qui n'appliqueront pas la mise à jour de Transmission, ou qui n'effectueront pas les modalités pour supprimer le malware (lire : Transmission : gare au malware dans la version 2.9).
Une fois ce délai de grâce de 3 jours achevé, KeRanger contacte un serveur via une connexion anonymisée Tor. Il lance la procédure de chiffrement de certains dossiers et documents contenus dans le disque dur. Une fois l'opération terminée, KeRanger réclame un paiement en Bitcoin d'une valeur équivalente à 400 $ pour déverrouiller les fichiers chiffrés.
Les utilisateurs ayant installé la version 2.9 de Transmission vendredi sont donc susceptibles, dès aujourd'hui, d'être les victimes de Ke.Ranger.
Apple aurait réagi en supprimant le certificat du développeur permettant d'installer le malware.

Les ransomwares sont de plus en plus courants sur Windows, et jusqu'à présent le Mac était épargné. Ce n'est désormais plus le cas.

Smartphone d'entreprise et logiciels malveillants : 9 conseils pour les entreprises

Le smartphone est un ordinateur et doit être protégé en tant que tel, d'autant plus que la frontière entre usage professionnel et usage personnel s'estompe.

Dans une fiche pratique à destination des entreprises, EUROPOL informe les entreprises sur les risques liés aux smartphones :

Malware sur smartphone : conseils pour les entreprises

1. Informez vos employés des risques sur téléphones mobiles

2. Implentez une politique d'entreprise pour les téléphones personnels / bring-you-own-device (BYOD, "apporter son propre appareil)

3. Incluez des politiques de sécurité mobile à vos mesures de protection.
Si un appareil n'est pas conforme aux politiques de sécurité, il ne devrait pas être autorisé à se connecter aux réseaux et données de l'entreprise. Déloyer des Solutions de Mobile Device Management

4. Évitez d'utiliser des réseaux Wi-Fi publics pour accéder aux données de l'entreprise
Si un employé a accès aux données d'entreprise à partir d'une connexion Wi-Fi libre dans un aéroport ou un café, les données sont exposées et accessibles aux utilisateurs malveillants.

5. Mettez à jour votre système d'exploitation et vos applis
Conseillez à votre personnel de télécharger les mises à jour de leurs systèmes d'exploitation mobiles dès qu'ils sont priés de le faire.

6. Installez uniquement des applis de source connue ou officielle
Les entreprises pourraient éventuellement envisager la construction d'une « boutique d'applications d'entreprises » auxquelles les utilisateurs ﬁnaux ont accès, et où ils peuvent télécharger et installer des applis approuvées.

7. Prévenez le débridage (« jailbreaking »)
Les appareils « débridés » ne devraient pas être autorisés dans une entreprise.

8. Optez pour des alternatives de stockage dans le cloud

9 Encouragez votre personnel à installer une appli de sécurité mobile
Faites usage d'une solution de sécurité mobile dédiée qui détecte et prévient le malware, spyware et applis malveillantes, mais qui contient aussi des fonctionnalités de vie privée et antifraude.

#MobileMalware

A consulter également sur notre site :

- Les dangers liés aux objets connectés (actualité)

Tentatives d'usurpation d'identité et de vol de données via un prétendu mail de la Banque de France

La Banque de France a publié une mise en garde sur la recrudescence des tentatives d’usurpation d’identité et de vol de données visant entreprises et particuliers, sous les prétextes les plus divers : migration SEPA, interdiction bancaire, déblocage de crédit, lettre du Président, activités sur le Forex…

La Banque de France voit en effet son nom, son logo, ainsi que certains de ses numéros de téléphone et de ses adresses électroniques utilisés dans des appels ou dans des courriers électroniques prétendument effectués depuis un numéro de la Banque de France ou envoyés depuis une adresse @banque-france.fr.

Il est souvent demandé au destinataire de cliquer sur un lien renvoyant vers un faux site de la Banque de France ainsi qu’un formulaire de saisie de données invitant l’internaute à communiquer ses coordonnées bancaires. Ces tentatives d’hameçonnage renvoient également parfois l’internaute vers un faux site sepa[.]verificationclients[.]fr sous prétexte d’une prétendue vérification de données personnelles dans le cadre de l’Espace unique de paiement en euros (Sepa).

Il importe de ne surtout pas répondre à ces sollicitations. La Banque de France appelle à la plus grande vigilance. Aucun crédit ne doit être accordé à ces appels ou courriers électroniques, qui relèvent d’une usurpation d’identité visant à piéger les particuliers et les entreprises (tentative d’hameçonnage ou phishing).

La Banque de France souligne à cet égard qu’elle ne demande jamais que lui soit communiquées des coordonnées bancaires, que ce soit par courrier électronique ou par téléphone. La Banque de France rappelle enfin que les pouvoirs publics ont mis en place un site internet permettant de signaler les escroqueries et contenus illicites sur internet.

Piratage de central téléphonique

Qu'est-ce-que le piratage de serveur téléphonique ?

Communément appelé " phreaking ", le piratage des serveurs informatiques consiste en l'exploitation des failles des infrastructures téléphoniques dans un but malveillant. Dans la plupart des cas, il s'agit d'attaques des messageries vocales permettant l'activation des fonctions de renvoi d'appels vers des pays étrangers.

Que faire pour éviter un piratage ?

Pour limiter les risques de piratage, il est conseillé de :

Contacter en premier lieu l'installateur en vue de réaliser un audit du système téléphonique et prendre ensuite les mesures idoines en vue de le sécuriser;
Paramètrer les indicatifs internationaux pour interdire les appels vers certaines destinations étrangères inutiles au fonctionnement quotidien de la société;
Vérouiller les lignes sortantes durant les périodes d'inactivité de l'entreprise (nuits, week-ends, jours fériés, vacances, ...) et désactiver les fonctions inutiles;
Mettre en place, en collaboration avec l'opérateur de téléphonie, un système de prévention permettant de détecter en temps réel toute surconsommation d'appels vers l'étranger;
Faire changer périodiquement les clés sécurisées d'accès au modem du serveur téléphonique et les mots de passe des comptes de messagerie vocale des salariés:
Déconnecter le modem de télé-maintenance (si possible) et ne le remettre en fonction que sur demande de votre opérateur ou à minima sécuriser l'accès à la maintenance;
Sensibiliser régulièrement les salariés notamment quant à la diffusion d'informations sur les réseaux sociaux concernant l'architecture télécom, lesquelles peuvent orienter les recherches d'éventuels pirates et augmenter ainsi le risque d'intrusion et leur rappeler l'importance du secret des identifiants de messagerie;
Intégrer la téléphonie dans la politique de sécurité du système d'information de l'entreprise.

Téléchargez le document PDF de la Gendarmerie de Rhône-Alpes sur l'alerte piratage d'un central téléphonique.

Défacement de sites internet

Qu'est-ce-que le défacement de sites internet ?

Le " défacement ou défaçage " consiste à défigurer un site internet classique en remplaçant la page d'accueil originale par une autre. Il est provoqué par l'exploitation d'une faille présente sur la page web ou tout simplement une faille du système d'exploitation du serveur web.

Que faire pour l'éviter ?

Il est conseillé de :

Mettre rapidement à jour votre site internet ou demander à votre prestataire de services d'effectuer ces opérations dans les plus brefs délais. Aplliquer les correctifs de sécurité et configurer correctement les applications.
Contrôler l'intégrité et mettre en place des journaux d'événements (serveurs, pare-feu...).
Effectuer des sauvegardes complètes régulièrement et des bases de données quotidiennement. Dans la mesure du possible, installer un plugin automatisant cette opération.
Si vous avez un utilisateur nommé " admin ", créez un nouveau compte utilisateur en choisissant un nom différent auquel vous adjoindrez un mot de passe fort.

Si le site s'est déjà fait pirater, effectuer un scan afin d'obtenir la liste des fichiers corrompus.

En cas d'atteinte, prendre toutes les mesures de préservation des preuves numériques.

Téléchargez le document PDF de la gendarmie de Rhône-Alpes sur l'alerte défaçage.
A consulter également : La fiche d'information de l'ANSSI sur le défacement.

Bonnes pratiques en cybersécurité

Les bonnes pratiques en matière de Cyber-sécurité ou sécurité informatique

Les conseils sur les bonnes pratiques en cybersécurité ci-dessous vous sont transmis par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).

Que faire pour se prémunir des cyber-attaques ?

1. Utiliser des mots de passe robustes : de 12 caractères minimum, avec des caractères spéciaux, sans lien avec soi, à utilisation unique...

Le mot de passe informatique permet d’accéder à l’ordinateur et aux données qu’il contient. Il est donc essentiel de savoir choisir des mots de passe de qualité, c’est-à-dire difficiles à retrouver à l’aide d’outils automatisés, et difficiles à deviner par une tierce personne.

Pour cela :

Choisir des mots de passe de 12 caractères minimum
Utiliser des caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux)
Ne pas utiliser de mot de passe ayant un lien avec soi (noms, dates de naissance,…)
Le même mot de passe ne doit pas être utilisé pour des accès différents
En règle générale, ne pas configurer les logiciels pour qu’ils retiennent les mots de passe
Éviter de stocker ses mots de passe dans un fichier ou lieu proche de l’ordinateur si celui-ci est accessible par d’autres personnes
Renforcer les éléments permettant de recouvrir les mots de passe d’un compte en ligne (question secrète, adresse de secours). Dans la plupart des cas, une adresse de messagerie ou un numéro de téléphone est nécessaire pour recouvrir un compte : il convient de renforcer l’accès à ces éléments

2. Ajouter ou modifier du contenu sur les sites internet et les réseaux sociaux depuis des postes sécurisés :

Toute mise à jour de contenu doit être effectuée exclusivement depuis un poste informatique maîtrisé par votre service informatique (DSI) et dédié à cette activité. Elle ne doit en aucun cas s’effectuer à distance depuis le domicile, une tablette ou un smartphone. Les connexions doivent être réalisées uniquement à partir d’un réseau maîtrisé et de confiance. Il est important de ne pas utiliser de réseau Wi-Fi ouvert ou non maîtrisé afin
d’éviter tout risque d’interception. Il est important de vérifier que le site visité est légitime et possède une connexion sécurisée (HTTPS).

3. Avoir un système d'exploitation et des logiciels à jour : navigateur, antivirus, bureautique...

La plupart des attaques utilisent les failles d’un ordinateur. En général, les attaquants recherchent les ordinateurs dont les logiciels n’ont pas été mis à jour afin d’utiliser la faille non corrigée et ainsi parviennent à s’y introduire. C’est pourquoi il est fondamental de mettre à jour tous les logiciels afin de corriger ces failles. Pour effectuer ce type de démarche, prendre contact avec la DSI.

4. Réaliser une surveillance du compte ou des publications :

Il convient de vérifier régulièrement les éléments publiés et prévoir une sauvegarde. En cas de suppression, il est possible de restaurer rapidement l’état préalable à l’attaque après avoir pris les mesures de réaction nécessaires.

Attention: les courriels et leurs pièces-jointes jouent souvent un rôle central dans les cyber-attaques. Lors de la réception de ce type de courriels, prendre les précautions suivantes :

Vérifier la cohérence entre l'expéditeur présumé et le contenu du message et vérifier son identité.
Ne pas ouvrir les pièces-jointes provenant de destinataires inconnus.
Si des liens figurent dans un courriel, passer la souris dessus avant de cliquer. L'adresse complète du site s'affichera dans la barre d'état du navigateur située en bas à gauche de la fenêtre.
Ne jamais répondre par courriel à une demande d'informations personnelles ou confidentielles.

5. Mettre un fichier témoin sur l’ensemble des partages réseaux existants et le surveiller. Ce fichier témoin ne doit être modifié par personne. S’il est modifié, il s’agit probablement d’une modification automatisée d’un ransomware. Il convient donc de surveiller son contenu régulièrement et de lever une alerte dès qu’il est modifié.

6. Définir et monter un partage réseau témoin sur l’ensemble des postes de travail.Tout accès en écriture sur ce partage réseau doit lever une alerte.

Les lettres de lecteur « A », « Z » et « M » peuvent être mises sur ce lecteur de réseau afin d’identifier un ransomware commençant le chiffrement sur les lecteurs réseau dans l’ordre alphabétique, anti-alphabétique, ou encore à partir de la lettre « M » (lettre utilisée en premier dans la plupart des ransomware).

Que faire en cas de cyber-attaque ?

Préserver les traces liées à l'activité du compte, notamment si un dépôt de plainte est envisagé.
Prendre immédiatement contact avec les responsables informatiques (DSI, SSI). S'ils ne sont pas joignables, prendre contact avec le Centre Opérationnel de l'ANSSI :

Point de contact H24 (7j/7), 24h/24) : cossi@ssi.gouv.fr - Tel : +33 (0)1 71 75 84 68 - Fax : +33(0)1 84 82 40 70

Version PDF : téléchargez la fiche des bonnes pratiques en cybersécurité. (ANSSI).

A consulter également :

guide hygiene informatique ANSSI Guide d'hygiène informatique

Renforcer la sécurité de son système d'information en 42 mesures (ANSSI).

Non exhaustives, ces mesures représentent cependant le socle minimum à respecter pour protéger les informations de votre organisation. Une fois ces règles partagées et appliquées, vous aurez accompli une part importante de votre mission : permettre à votre organisation d’interagir avec ses partenaires et de servir ses clients en respectant l’intégrité et la confidentialité des informations qui les concernent.