Lorsque des données vitales pour l’entreprise sont prises en otage par un rançongiciel (logiciel malveillant qui crypte les données et réclame une somme d’argent pour en débloquer l’accès), la tentation est forte de régler la rançon pour les récupérer. C’est ce que l’on peut déduire d’un sondage réalisé au mois d’avril par la société AppRiver auprès de chefs d’entreprise américains. Ainsi, il apparaît que 55 % des dirigeants de PME interrogés déclarent qu’ils paieraient les pirates pour récupérer leur données « bloquées » suite à une attaque de rançongiciel. Un chiffre qui atteint 74 % dans les entreprises employant entre 150 et 250 salariés. 39 % précisant qu’ils seraient même prêts à verser une rançon importante pour éviter la perte ou la diffusion des données de leur entreprise.
Une mauvaise idée
Payer un preneur d’otage n’est jamais une bonne idée. Dans la « vraie » vie comme dans le monde numérique, cela n’a jamais garanti la libération de la victime ni permis d’éviter une surenchère. En outre, cela ne fait qu’inciter les pirates à recommencer, ce qui, déjà en soi, est une raison suffisante pour ne pas donner suite.
Quoi faire ?
La première chose à faire est de circonscrire la contamination. Pour cela, il faut, dès que le message de demande de rançon apparaît sur l’écran, débrancher la machine du réseau afin que les autres ordinateurs de l’entreprise (les stations comme les serveurs) ne soient pas touchés à leur tour.
Ensuite, il est conseillé, si l’on n’est pas soi-même compétent en informatique, de faire intervenir un spécialiste (interne ou prestataire). Ce dernier pourra alors désinfecter la machine (via un logiciel anti-malwares) et tenter de libérer les données en les déchiffrant. Cette opération est très délicate mais néanmoins possible dans certains cas. Il existe en effet certains programmes qui ont été mis au point par les entreprises de sécurité informatique ou par les autorités publiques qui permettent de faire sauter les verrous mis en place par différentes familles de rançongiciels. Plusieurs dizaines de ces petits programmes sont disponibles sur le site No More Ransom.
Si cette récupération n’est pas possible, il faudra restaurer la dernière sauvegarde.
Des mesures de précaution
Sans surprise, la première précaution à prendre pour limiter les conséquences d’une attaque par rançongiciel est de réaliser des sauvegardes régulières des données de l’entreprise. Dès lors, même en cas d’impossibilité de déchiffrement, les conséquences, en matière de perte de données, seront réduites.
Ensuite, dans la mesure où les rançonçiciels « s’attrapent » comme de nombreux autres logiciels malveillants, il convient d’adopter (et de faire adopter par ses collaborateurs) certaines règles de prudence :
– ne pas naviguer sur les sites non sûrs ;
– ne pas télécharger et installer de logiciels piratés ou proposés gratuitement ;
– effectuer les mises à jour de sécurité du système d’exploitation, des antivirus, des pare-feux et de tous les autres logiciels utilisés ;
– ne jamais ouvrir un courriel suspect et surtout ne jamais cliquer sur sa pièce jointe ou sur un lien Web intégré dans le courriel.