Wie sich ein KMU nach einem Ransomware-Befall gerettet hat

Dans la pratique

Voici comment survivre aux raçongiciels – une PME concernée raconte

Le rançongiciel «WannaCry» fait la une dans les médias du monde entier. Mais d’autres logiciels malveillants sont tout aussi dangereux. Un directeur de PME concerné raconte comment il a reçu un document Word contaminé en réponse à une annonce d’emploi et échappé de peu à la catastrophe.

A peine la pièce jointe ouverte, plus rien ne fonctionnait. C’est ce qui est arrivé à Philipp Zollinger, le directeur de TSM Grindel AG de Basserdorf, qui gère des salles de tennis, squash, minigolf et badminton. «J’avais passé une annonce d’emploi pour un nouveau concierge et, le jour même, j’ai reçu une candidature par e-mail avec une pièce jointe PDF.» Zollinger a d’abord ouvert le document sur le PC de l’accueil, puis sur son ordinateur personnel. Il n’y avait aucun dossier de candidature; en revanche, le système a été immédiatement bloqué sur les deux appareils. «Et ce, malgré l’activation de Microsoft Security Essentials sur nos PC. Cela n’a apparemment servi à rien, mais je sais que d’autres logiciels de protection contre les programmes malveillants auraient aussi failli ici.»

Le pire a été évité

Zollinger s’y connait bien en informatique: il a immédiatement réagi et déconnecté les PC du réseau. Ainsi, le logiciel malveillant n’a pas pu se propager et l’archivage centralisé des données sur le serveur NAS a été épargné. Toutes les données ont toutefois été cryptées sur les deux PC – une attaque de rançongiciel typique, la forme moderne du chantage numérique. Actuellement, c’est surtout le logiciel malveillant «WannaCry» qui fait la une de l’actualité. Ce n’est qu’en payant une rançon de 2000 dollars en Bitcoins que Zollinger aurait obtenu le code de déverrouillage. Cette demande de rançon s’est affichée à chaque fois qu’il a voulu ouvrir un fichier. «Je n’ai pas cédé à ce chantage – on ne peut jamais être vraiment sûr qu’on recevra la clé ou que l’argent ne disparaîtra pas dans la nature. Cela ne marche pas avec moi», déclare Philipp Zollinger.

Comment vous protéger contre des rançongiciels comme WannaCry

  • Renseignez-vous auprès de votre fournisseur de messagerie pour savoir comment le flux d’e-mail est sécurisé.
  • Vérifiez votre stratégie de sauvegarde: Comment et à quels intervalles des sauvegardes sont-elles effectuées? Où sont stockées les données sécurisées?
  • Effectuez régulièrement une sauvegarde sur un support de données externe, que vous conservez à l’extérieur de l’entreprise. Une solution de cloud dédiée pour les sauvegardes offre les mêmes avantages – mais seulement si les documents ne sont pas accessibles via Windows Explorer ou Finder, mais par le logiciel de sauvegarde.
  • Soyez extrêmement prudent lorsque vous ouvrez des documents Office et PDF que vous recevez en pièce jointe à un e-mail. La même chose s’applique également aux fichiers ZIP susceptibles de contenir des documents avec des codes malveillants. N’ouvrez jamais des fichiers exécutables avec des extensions .exe ou .bat.
  • Ne versez aucune rançon – il est probable que vous ne receviez aucun code de déverrouillage. Seule exception: Si vous ne disposez pas d’une sauvegarde des données importantes, vous pouvez essayer d’obtenir la clé de déblocage en payant une rançon.
  • Veillez à avoir une infrastructure de sécurité suffisante. Cela inclut notamment un pare-feu UTM moderne (Unified Threat Management), qui fait appel à une intelligence collective basée sur le cloud et peut aussi contrer les menaces inconnues à ce jour.

Parmi les données concernées, il y a la comptabilité gérée par Zollinger sur son PC personnel. Heureusement, il sauvegarde régulièrement ses données ainsi que la base de données comptables sur un support de données externe, qu’il emporte chez lui le soir. «J’ai ainsi pu récupérer des données relativement récentes.»

Récupération compliquée

Mais il a d’abord fallu restaurer entièrement le PC, comme l’ont confirmé des spécialistes à Zollinger: «Le mot d’ordre: Tout effacer et réinstaller, il n’y a pas d’autre solution». Il a pu effectuer seul la restauration proprement dite ainsi que le rapatriement des données centralisées et mobiles, grâce à ses bonnes connaissances des bases de données. Il estime y avoir passé 40 heures, sans compter tous les tracas. Et il a payé près de 2000 francs pour faire appel à des spécialistes externes. Chez TSM Grindel, les mesures de sécurité ont par ailleurs été améliorées grâce à un nouveau pare-feu. Zollinger a automatisé la sauvegarde des données sur le système NAS. Il a aussi rappelé à la comptable extérieure qu’elle devait effectuer des sauvegardes régulières. «Dans tous les cas, il doit y avoir une sauvegarde séparée à l’extérieur de la société. Ne serait-ce que parce que lors d’une telle attaque, la sauvegarde sur le NAS pourrait elle aussi être cryptée».

Encore plus prudent à l’avenir

Outre les dépenses, l’attaque n’a pas eu de conséquences graves pour TSM Grindel. Selon le directeur, l’échange d’e-mails a été interrompu pendant quelques jours et Zollinger a dû retrouver divers documents dans un premier temps. Les e-mails individuels n’ont pas été récupérés à ce jour. Mais aucun client n’a été perdu. «Le plus difficile dans tout cela, ce sont tous les tracas qui ont été engendrés. Si la société avait été plus dépendante de l’informatique pour les affaires courantes, elle aurait pu être affectée beaucoup plus durement», résume Philipp Zollinger. Il ne peut toutefois exclure qu’une telle attaque se produise à nouveau à l’avenir – notamment via WannaCry. Aujourd’hui, il est plus prudent que jamais lorsqu’il ouvre un fichier. Par exemple, il n’ouvre plus de document Word reçu par mail.

Image de titre: Alamy