Ce mois, encore 5 de nos clients ont été attaqués par des Crypto Lockers. Cela doit porter à une vingtaine les attaques de nos clients sur l’année. Pour certains d’entre-deux, nous avons passé plus de 4 jours à remettre en état le système d’exploitation, le logiciel de sauvegarde puis restaurer les données. Dans un des cas, et malgré nos efforts sans relâche, les logiciels sont restés indisponible une semaine entière. Imaginez les conséquences si une telle attaque vous arrivait.
Alors, comment se prémunir contre ce fléau ? :
Rappelons d’abord que la quasi-totalité des attaques sont réalisées par mail. Vous recevez des dizaines voire des centaines de mails par jour, aussi bien de relations habituelles que d’émetteurs connus ou inconnus. Nous ne prenons pas de risque en vous disant que dans ces mails, aujourd’hui, demain ou après-demain, se sera glissé un cheval de trois qui permettra aux agresseurs d’installer sur votre serveur un programme qui cryptera partiellement ou totalement vos fichiers et bases de données (tableaux Excel, Documents Word, PowerPoint, Base de données de Gestion commerciale, Comptabilité, Facturation, paie, etc…)
Un seul clic sur le mauvais mail et le mal est fait…
Ainsi, la plus efficace des préventions est de s’interdire de cliquer sur tout lien, toute pièce jointe ou tout mail provenant d’une personne qui n’est pas en relation avec l’entreprise. Pour exemple, certains de nos clients n’ont pas vu le mal en cliquant sur un mail de HSBC, TNT ou DHL (enfin, de faux mails bien sûr). Mais hélas… c’était trop tard.
Nous ne saurions donc vous recommander de communiquer très régulièrement auprès de la totalité de vos collaborateurs sur les risques encourus et les procédures à respecter.
Comment savoir si l’on est attaqué :
Vous vous en rendrez compte rapidement, trop rapidement. Vos fichiers seront cryptés. Leur nom changera souvent en arborant une jolie extension ou un beau nom à rallonge.
Que faire quand on se rend compte que l’on est attaqué :
Un de nos clients nous a raconté : ‘’J’ai vu que des fichiers étaient cryptés alors j’ai couru vers le serveur et j’ai arraché la prise 220v’’. On pourrait penser que la méthode était un peu radicale mais en fait, il est très probable qu’il ait fait plus de bien que de mal en débranchant ainsi le serveur car chaque seconde compte et augmente un peu plus les dégâts du cryptage. Alors, même si nous ne sommes pas très favorables aux arrêts brutaux de serveurs, si vous subissez une attaque, faites-en sorte que ce dernier soit éteint le plus rapidement possible (idéalement par la fonction prévue à cet effet mais nous vous laissons apprécier la situation et le niveau des risques de chaque décision.
Comment remettre en état le serveur :
En cas de cryptage il n’y a pas 50 solutions :
Soit payer la rançon mais c’est sans garantie que cela fonctionne (les résultats sont très variables)
Soit restaurer des sauvegardes. Et là nous touchons un point sensible que nous avons déjà évoqué de nombreuses fois. Voici quelques questions qui aident à réfléchir :
• Etes-vous sûr que votre sauvegarde est fiable (1 client a récemment perdu 1 an de comptabilité et de gestion commerciale car son disque dur ne sauvegardait plus car il était plein)
• Les sauvegardes sont-elles quotidiennes (à défaut on perd vite beaucoup de travail et on ne sait plus identifier ce que l’on a fait depuis cette sauvegarde)
• Les sauvegardes sont-elles limitées aux données ou intègrent-elles le système d’exploitation.
• Etc…
En conclusion :
Prévention, prévention et prévention, dans la gestion des mails et la gestion des sauvegardes
A bon entendeur.
Comments are closed.