Wannacry : former, le remède anti-ransomware de l’IT ?

Une série d’attaques par ransomware Wannacry, également connu sous le nom WanaCrypt0r ou WCry, a touché depuis vendredi 12 mai plus de 200 000 systèmes dans 150 pays, selon un premier bilan.  Renault en France, Telefonica en Espagne, et des hôpitaux au Royaume-Uni figurent parmi les cibles. « La portée de cette nouvelle attaque montre qu’il est nécessaire que les collaborateurs s’approprient de bonnes pratiques pour lutter contre les nouvelles menaces », commente Michel Gérard, président de Conscio technologies. Ce dernier édite des solutions de sensibilisation à la sécurité de l’information. L’écosystème informatique, dont Conscio fait partie, joue un rôle important dans ce mouvement.

Quant au rançongiciel Wannacry, il exploite une faille dans les systèmes Windows. Cette faille a été divulguée dans des documents piratés de l’Agence nationale de sécurité (NSA) américaine. Wannacry, lui, verrouille l’accès aux fichiers et demande une rançon en échange des données… Mais « le paiement ne garantit en rien le déchiffrement de vos données », prévient l’Agence nationale de la sécurité des systèmes d’information (Anssi). Les chercheurs en sécurité déconseillent donc de payer.

De son côté, Microsoft a publié mi-mars 2017 un patch de sécurité pour colmater la faille du protocole SMB (Server Message Block) dans son OS. Malheureusement, « de nombreuses entreprises ne mettent pas à jour leurs systèmes ou ne changent pas leurs mots de passe par défaut », explique à CRN Ari Harrison, un manager de Silicon East. Les retardataires sont donc plus exposés que les autres, ajoute le fournisseur américain de services informatiques managés. Selon lui, c’est aux prestataires techniques, fournisseurs et revendeurs, « de sensibiliser les clients aux risques ». Et de les inciter à former et « éduquer » aux bonnes pratiques de sécurité de l’information tous les utilisateurs.

« Les sauvegardes seules ne suffisent plus »

Le contructeur Renault, l’opérateur Telefonica et des hôpitaux liés au système de santé publique du Royaume-Uni (NHS, National Health Service) font partie des organisations dont les systèmes ont été infectés lors de la vague d’attaques lancée vendredi 12 mai. Ce même jour, des unités de ces groupes ont été mises à l’arrêt pour éviter la propagation du virus, comme l’indique Silicon.fr. Si la première vague d’attaques est endiguée, des récidives sont à craindre, selon des chercheurs en sécurité.

Pour Jean-Christophe Vitu, directeur avant-vente et services professionnels France de CyberArk, la question n’est plus de se demander quand les entreprises seront attaquées, car elles le seront « tôt ou tard ». Mais comment mieux protéger leurs données, celles de leurs clients et de leurs partenaires. « Les ransomwares connaissent une croissance exponentielle ces trois dernières années et sont en perpétuelle évolution. Nous voyons de plus en plus de variantes apparaître qui ne se contentent pas uniquement de chiffrer ce qui se trouve sur le disque dur d’un PC. Ils se concentrent plutôt sur les points d’accès qui donnent un accès plus large [au SI], tels que ceux utilisés par les administrateurs IT ».

Dans ce contexte, « les back-ups seuls ne suffisent plus, en particulier si les organisations exposent leurs identifiants à privilèges aux hackers », ajoute le spécialiste de la sécurisation des comptes à privilèges. Selon lui, « les entreprises doivent, aujourd’hui plus que jamais, considérer que la menace se trouve déjà à l’intérieur de leurs systèmes ». La technologie seule ne suffit pas. Le fournisseur recommande donc aux organisations de mettre en place des « équipes dédiées pour surveiller et identifier tout accès non autorisé aux identifiants » et bloquer ainsi « le plus tôt possible » la progression de l’attaque.

Lire également :

Sécurité : Cyberark s’offre Conjur pour 42 millions de dollars

Generali et Ineo parient sur la cyber-assurance pour PME