Rançongiciels, que faire pour prévenir et réagir en cas de cyberattaques ?

Dans la nuit du 30 au 31 janvier 2020, la mairie de Tullins-Fures, en Isère, a été victime d'une importante cyberattaque. Une rançon a été réclamée en échange des données volées et cryptées. « Les agents et élus de la commune n’ont plus accès à leurs fichiers qui ont été cryptés. La messagerie est donc hors service », a expliqué la municipalité. Toutes les données informatiques de la mairie ont ainsi été bloquées.

La région Grand Est, la métropole Aix-Marseille-Provence, l’agglomération Grand Cognac, de petites communes comme Saint-Paul-en-Jarez (Loire) ou Aussonne (Haute-Garonne), un hébergeur de données de nombreuses collectivités du Jura… les collectivités locales sont de plus en plus touchées par des cyberattaques. Or, ces campagnes d’attaque par messagerie, qu’ont aussi subies plusieurs ministères, représentent un risque important pour les services publics qu’il ne faut pas ignorer.
Ces logiciels de rançon prennent en otage des données de l’institution qu’ils cryptent, ou bloquent l'accès de tout utilisateur à une machine. Une somme d’argent, parfois relativement modique, est ensuite demandée à la victime en échange d’une clé de déchiffrement ou d’un outil de débridage.

Pour réduire le risque d’attaque, l’Anssi (l’Agence nationale de la sécurité des systèmes d’information) recommande certaines règles de bon sens que tous les agents devraient connaître et respecter.

La sensibilisation des agents peut passer par des articles dans le journal interne, un espace dédié dans l’intranet, des réunions d’information, des campagnes d’affichage ou encore la distribution de guides de bonnes pratiques. Car, le plus souvent, « l’attaque par rançongiciel commence par l’ouverture d’une pièce jointe piégée ou la consultation d’une page web malveillante », explique l’Anssi. « L’objectif est de faire naître ou de renforcer certains réflexes chez les utilisateurs en les invitant à signaler au service informatique de l’organisation tout élément suspect. »

Des réflexes indispensables doivent être partagés par tous les agents.

• Ne pas ouvrir des messages ou des pièces jointes dont la provenance ou la forme est douteuse.
• Ne pas connecter une clé USB qui représente le moindre risque.
• Effectuer des sauvegardes régulières des données.
• Déconnecter les sauvegardes du système d’information car de plus en plus de cybercriminels cherchent à s’en prendre aux sauvegardes pour limiter les possibilités pour la victime de retrouver ses données.
• Déplacer physiquement la sauvegarde du réseau et s’assurer qu’elle fonctionne.
• Mettre à jour les principaux outils : Windows, antivirus, lecteur PDF, navigateur, etc.
• Mettre en œuvre une politique de filtrage sur les postes de travail. Créer un compte « utilisateur » et n’utiliser que celui-ci, une fois l’ordinateur configuré. Cette règle ralentira l’escroc.
• Désactiver, si possible, les macros des solutions de bureautique qui permettent d’effectuer des tâches de manière automatisée. Cette règle évitera la propagation des rançongiciels via les vulnérabilités des applications.

Si l’attaque n’a pu être évitée, quelques mesures urgentes sont à prendre. L’Anssi en recommande plusieurs.

• Ouvrir une main courante permettant de tracer les actions et les événements liés à l’incident. En y indiquant l’heure et la date de l’événement, le nom de la personne à l’origine de cette action ou ayant informé sur l’événement, la description de l’action ou de l’événement.
• Déconnecter au plus tôt les supports de sauvegarde après s’être assuré qu’ils ne sont pas infectés et isoler les équipements infectés du système d'information en les déconnectant du réseau pour éviter une propagation du rançongiciel sur les autres équipements informatiques de la collectivité.
• Isoler votre système d’information en bloquant toutes les communications vers et depuis internet afin de couper l’accès de votre système d’information à un attaquant agissant depuis internet, pour qu’il ne soit plus en mesure de piloter son rançongiciel ni de déclencher une nouvelle vague de chiffrement.
• Ne jamais payer la rançon, car son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités, notamment en renouvelant une attaque auprès d’une première victime, et entretient donc le système frauduleux. 
• Déposer plainte au commissariat.

Enfin, la collectivité doit élaborer un plan de continuité informatique en réponse à une attaque qui doit lui permettre de « continuer à fonctionner quand survient une altération plus ou moins sévère du système d’information ». Les collectivités victimes peuvent faire appel à Cybermalveillance.gouv.fr, l’organisme gouvernemental qui a pour mission d'aider les entreprises, les particuliers et les collectivités victimes de cybermalveillance, de les informer sur les menaces numériques et de leur donner les moyens de se défendre.

Face à l’augmentation des attaques par rançongiciel, c’est aux communicants publics de promouvoir la culture de prévention et d’informer sur les bonnes pratiques et les règles de bon sens que tout agent se doit de respecter.