FORMULAIRE URGENCE RANSOMWARE IVISION

Que faire en cas d’attaque par Ransomware ?

Les données informatiques sont au cœur du fonctionnement d’une entreprise. C’est pourquoi il s’agit désormais de la première cible visée par les pirates, notamment au moyen d’attaques par ransomwares, appelés également rançongiciels en français.

Comment réagir ? Quelles sont les bonnes pratiques à suivre ? Les erreurs à ne pas commettre ? Quelle entreprise ou organisme contacter pour une assistance rapide ? Découvrez les réponses à toutes ces questions dans cette page.

Illustration page Urgence Ransomware Déessi

Comment se produit généralement une attaque par ransomware ?

En fin de journée ou à la veille d’un week-end, l’un de vos employés signale ne plus pouvoir accéder à l’une de vos applications métier. Un peu plus tard, votre service informatique constate qu’une grande partie des postes de travail et des serveurs de l’entreprise sont désormais chiffrés et inutilisables. A l’intérieur des répertoires chiffrés, vous découvrez un document “Lisez-moi” contenant une demande de rançon. En échange d’un paiement en bitcoin, les pirates, dont les tournures de phrases évoquent une origine étrangère, promettent un service de déchiffrement vous rendant accès à l’ensemble de vos fichiers. VOUS VENEZ D’ÊTRE VICTIME D’UN RANSOMWARE !

Conséquences immédiates :

  • Une majorité de vos fichiers, postes et applications sont inaccessibles du fait du chiffrement des fichiers.
  • Tous les appareils, même ceux qui n’ont pas été identifiés comme infectés, doivent être analysés et sécurisés avant d’être reconnecté au système, dans le but d’éviter une réinfection ou une surinfection.
  • L’ensemble de votre système d’information est totalement à l’arrêt pour une durée indéterminée.

Conséquences à long terme :

  • Des conséquences économiques
  • Des conséquences juridiques
  • Des conséquences sur vos relations avec vos clients, fournisseurs et partenaires
  • Des conséquences sur votre image de marque

Vos problématiques

  • Détecter ou identifier le ransomware
  • Supprimer le ransomware et récupérer l’accès à vos données
  • Répondre à la question : faut-il payer la rançon
  • Protéger votre système des futures attaques

FORMULAIRE URGENCE RANSOMWARE IVISION

Ransomware : comment bien réagir ?
Quels sont les bons réflexes ?

Découvrez ci-dessous nos conseils pratiques pour adopter la meilleure attitude possible face à cette situation et obtenir toute l’aide nécessaire.  

Extinction totale des machines en débranchant la prise électrique des appareils.

Ceci permettra de se prémunir d’un éventuel démarrage à distance de l’appareil par un mécanisme de Wake-on-LAN (WoL) .

NB : L’extinction des machines est recommandée sauf si vous avez pour priorité d’investiguer afin d’identifier ou de poursuivre les auteurs du piratage. Dans ce cas et seulement dans ce cas, il pourra être nécessaire de garder des postes allumés dans le but d’analyser la mémoire vive… tout en encourant le risque de voir pendant ce temps le ransomware continuer de se propager au reste de votre système. À ne réaliser que sous assistance professionnelle.

Déconnecter les postes, serveurs et applications concernés d’Internet.

Pour ce faire, débrancher les prises et les câbles des appareils eux-mêmes ne suffit pas.

Ces appareils disposent souvent de solutions de connexion automatique de secours, ce qui fait qu’en débranchant l’Ethernet, la connexion va peut-être basculer sur du WiFi ou du partage de connexion Bluetooth, par exemple. De plus, rebrancher correctement tous les appareils après l’incident pourrait se révéler compliqué et allonger le temps de remise en service du système.

À la place, il est recommandé de couper électriquement le matériel réseau, c’est-à-dire, éteindre la box et les switch. De cette façon, on évite les problèmes de basculement des connexions, de rebranchement, et on évite également d’éventuelles tentatives de Wake-on-LAN (WoL).

Enquêter sur l’incident et prendre des notes.

Notez l’heure exacte à laquelle le problème a été identifié, la personne ayant signalé l’incident, la description exacte du problème, le type de support de données, le système d’exploitation, le mode d’infection, le nom du ransomware si vous le connaissez et le mode de paiement demandé.

En lieu et place de captures d’écran, on préfèrera des photos d’écran réalisées avec un appareil externe. Ne négligez pas ces étapes, car ces informations seront précieuses pour les équipes chargées de résoudre votre incident !

Faire appel à un professionnel de la sécurité informatique.

Ce dernier prendra les mesures stratégiques pour :

  • trouver la source de l’infection,
  • redémarrer les équipements dans un ordre précis,
  • permettre d’obtenir un diagnostic.

Vous avez besoin d’une assistance immédiate ? D’un prestataire ou d’une entreprise spécialisée dans la prise en charge des ransomwares / rançongiciels ?

Utilisez en bas de page notre formulaire « Urgence ransomware » pour une assistance rapide et efficace.

Rançongiciel : les 3 erreurs à ne pas commettre

Ne tentez d’intervenir que si vous êtes certains de pouvoir maîtriser la situation. En effet, les erreurs dans ce genre de situation sont légion :

  • Erreur n°1 : Se connecter aux systèmes infectés avec des comptes à privilèges (type administrateur).
    En effet, en cas d’infection malencontreuse de ce compte administrateur, tous les fichiers et accès sensibles du compte seront compromis. Il est préférable, pour résoudre le problème, d’utiliser des comptes utilisateurs à usage unique, dédiés à la réponse aux incidents.

  • Erreur n°2 : chercher des solutions en ligne et installer des programmes censés vous débarrasser du ransomware.
    Ces programmes ne sont bien évidemment pas assez fiables, et sont parfois même source d’une surinfection. Des données chiffrées deux fois coup sur coup sont quasi impossibles à récupérer…
  • Erreurs n°3 : Restaurer une sauvegarde.
    Attention, nul ne peut dire depuis combien de temps votre système est compromis. Il est en effet courant qu’un ransomware fonctionne comme une “bombe à retardement” et qu’il soit programmé pour ne se déclencher que plusieurs jours, semaines ou mois après l’infection. Dans ce cas, il est fort probable que vos sauvegardes soient infectées sur une longue durée. Il est donc indispensable de procéder à une vérification de la sauvegarde avant restauration.

D’autres bonnes pratiques :

  • Équipements éteints : Si vous aviez des équipements éteints au moment de l’attaque, il est préférable de ne pas les démarrer pour éviter que le rançongiciel ne se propage à ces nouveaux équipements. De plus, étant donné qu’il est parfois difficile ou impossible d’identifier la date exacte de contamination du système, ces équipements devront, comme les autres, être scrupuleusement vérifiés avant reconnexion au SI.
  • Destruction des données : Ne détruisez pas les données qui ont été chiffrées. Une bonne pratique consiste à copier sur un disque dur, de bloc à bloc, les données qui ont été chiffrées. En effet, il arrive parfois que des solutions de déchiffrement soit découvertes et rendues publiques ultérieurement. Il pourrait donc être utile de disposer de cette copie afin de récupérer certaines des informations perdues.
  • Cellule de crise : Sachez que plusieurs jours à plusieurs semaines peuvent être nécessaires avant une reprise complète du niveau d’activité de votre système d’information, selon les cas. Il est donc important de préparer à l’avance, avant toute infection, la mise en place d’une cellule de crise, qui prendra en charge les décisions et la communication tout au long de votre incident.
  • Ne pas payer la rançon : Le paiement ne garantit pas la récupération de vos données, d’une part, parce que les pirates ne sont pas toujours de bonne foi, et d’autre part, parce qu’eux-mêmes ne sont pas toujours capables de réussir la récupération. Et ce, d’autant plus que des données modifiées par une application et chiffrées dans le même temps par le rançongiciel ont de fortes chances d’être, en fin de compte, corrompues et inexploitables. Enfin, payer la rançon incite au piratage en général, mais aussi et surtout, à cibler à nouveau votre entreprise ultérieurement.

FORMULAIRE URGENCE RANSOMWARE IVISION

Obtenez une assistance auprès d’un prestataire expert

Devant des enjeux économiques importants pour votre structure, il est prudent de vous tourner vers un professionnel de la sécurité informatique pour organiser la reprise de votre activité et prévenir une réinfection ultérieure du même ransomware.

À l’aide de compétences et d’outils spécifiques, le prestataire tâchera d’obtenir une visibilité sur les infrastructures et terminaux contaminés par le ransomware et de comprendre l’attaque dont vous avez été victime.

Il procèdera notamment aux actions suivantes :

  • Recherche de fichiers chiffrés
  • Identification des tentatives d’accès (si disponible dans les journaux système)
  • Conseils sur les suites pénales possibles

L’assistance « Urgence Ransomware » Ivision

Chez IVISION, nos collaborateurs sont formés pour prendre en charge des incidents ransomware dans les entreprises. Nos équipes vous accompagneront dans :

  • L’identification de votre problème
  • La correction de votre vulnérabilité
  • L’accompagnement à une reprise d’activité de votre SI
  • La mise en place de bonnes pratiques de protection et de prévention

Vous disposerez d’une assistance technique, mais aussi de conseils sur les procédures à réaliser, notamment sur le plan juridique (dépôt de plainte, déclaration à la CNIL en cas de données personnelles concernées, contact éventuel avec vos assurances RC pro cybersécurité etc…)

Vous êtes victime d’un rançongiciel et souhaitez une assistance experte pour vous aider à résoudre votre situation en minimisant au maximum les données perdues et les coûts d’indisponibilité de votre système ?

Nos équipes vous prennent en charge : Merci de remplir le formulaire ci-dessous en renseignant tous les champs nécessaires. Nous répondons à votre demande sous 4h à 12h.  Attention : pour tout sujet ne concernant pas une urgence ransomware, votre demande ne sera pas prise en compte : merci d’utiliser notre formulaire de contact standard.

Formulaire Ivision « Urgence Ransomware »

« * » indique les champs nécessaires

Votre nom **
Date de l'incident (facultatif)
Hidden
Contact Web
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Ransomware :
votre protection et votre prévention avec Ivision

Enfin sachez également que nous proposons une assistance complète à la protection de votre système d’information aux menaces informatiques, qu’il s’agisse de ransomware ou de tout autre type de menaces.

Une sauvegarde externalisée est confiée aux soins d’un prestataire et inclue dans le cadre d’une stratégie globale de gestion des données

PCA et PRA sont des mesures pour garantir une reprise ou une continuité de fonctionnement de tout ou partie du système d’information d’incident.

L’infogérance consiste à confier tout ou une partie de la gestion de son système d’information à un prestataire externe spécialisé.

L’audit de sécurité permet de connaître le niveau de sécurité de son SI et mettre à plat la politique d’accès aux données et de configurations réseau.

Un test d’intrusion consiste à tester un système informatique, un réseau ou une application web, afin de déceler des vulnérabilités.

La DSI externalisée consiste à déléguer la gestion du SI et la mise en œuvre des enjeux et ambitions de l’entreprise en informatique.