De par sa nature destructrice, le ransomware crypte les fichiers essentiels nécessaires aux fonctions professionnelles quotidiennes et contient des données sensibles. Les cybercriminels accèdent généralement d'abord à un réseau spécifique via des vulnérabilités sur Internet, telles que les protocoles RDP (Remote Desktop Protocol) non corrigés, ou via un employé qui clique sur des liens malveillants ou des e-mails de phishing. Ensuite, ils déposent le ransomware en sortant d'un système après avoir résidé dans le réseau et collecté des données. Les cyberattaquants demandent ensuite des paiements pour, soi-disant, rétablir l'ordre.
Malheureusement, le chiffrement n’est généralement que la partie émergée de l’iceberg pour les entreprises. Étant donné que les cyberattaquants peuvent rester indétectables pendant 40 à 200 jours en moyenne, les entreprises risquent un arrêt total de leurs systèmes et une violation de données à grande échelle.
1. Exiger une authentification multifacteur pour l’accès à distance aux réseaux OT et IT ; Oui, FIDO2 pourrait faire des miracles.
2. Activez des filtres anti-spam puissants pour empêcher les e-mails de phishing d'atteindre les utilisateurs. Filtrez les e-mails contenant des fichiers exécutables pour les empêcher d'atteindre les utilisateurs ;
3. Mettre en œuvre un programme de formation des utilisateurs et des attaques simulées de phishing pour décourager les employés de visiter des sites Web malveillants ou de cliquer sur des pièces jointes malveillantes, ainsi que pour renforcer les réponses appropriées des utilisateurs aux e-mails de phishing ;
4. Filtrer le trafic réseau pour empêcher les communications entrantes et sortantes avec des adresses IP malveillantes en mettant en œuvre des listes de blocage d’URL et/ou des listes d’autorisation ;
5. Mettre à jour les logiciels, y compris les systèmes d'exploitation, les applications et les micrologiciels des actifs du réseau informatique. Envisager d'utiliser un système de gestion centralisée des correctifs utilisant une stratégie d'évaluation basée sur les risques pour déterminer les actifs et les zones du réseau OT qui doivent participer au programme de gestion des correctifs ;
6. Limitez l'accès aux ressources sur les réseaux, notamment en limitant le RDP. Après avoir évalué les risques, si le RDP est considéré comme nécessaire sur le plan opérationnel, limitez les sources d'origine et exigez une authentification multifacteur ;
7. Configurez des programmes antivirus/antimalware pour effectuer des analyses régulières des actifs du réseau informatique à l'aide de signatures à jour. Utilisez une stratégie d'inventaire des actifs basée sur les risques pour déterminer comment les actifs du réseau OT sont identifiés et évalués pour détecter la présence de logiciels malveillants ;
8. Mettre en œuvre une prévention contre les exécutions non autorisées.
Jusqu'à ce que votre organisation IT/OT soit victime d'une attaque de ransomware à l'avenir (oui, ce n'est qu'une question de temps), vous devez appliquer les mesures d'atténuation suivantes :
- Mettre en œuvre et assurer une segmentation robuste du réseau entre les réseaux IT et OT pour empêcher les attaquants de pivoter vers le réseau OT même si le réseau IT est compromis, en définissant une zone démilitarisée qui élimine la communication non réglementée entre les réseaux IT et OT ;
- Organisez les actifs OT en zones logiques en tenant compte de la criticité, des conséquences et de la nécessité opérationnelle.
- Identifier les interdépendances des réseaux OT et IT et développer des solutions de contournement ou des contrôles manuels pour garantir que les réseaux ICS peuvent être isolés si le fonctionnement sûr et fiable des processus OT est compromis ;
- Testez régulièrement les commandes manuelles afin que les fonctions critiques puissent continuer à fonctionner si les réseaux ICS ou OT doivent être mis hors ligne ;
- Mettre en œuvre des procédures de sauvegarde régulières des données sur les réseaux IT et OT ;
- Assurez-vous que les comptes d’utilisateurs et de processus sont limités via des politiques d’utilisation des comptes, un contrôle des comptes d’utilisateurs et une gestion des comptes privilégiés.
Les riches peuvent payer une rançon pour leur vie, mais les pauvres ne seront même pas menacés... Quoi qu'il en soit, c'est à vous de décider si vous voulez être protégé ou non. Si vous vous demandez comment mettre en œuvre de telles mesures préventives, contactez des experts en cybersécurité .