Rançongiciels : les bonnes pratiques recommandées par la CNIL

Dans une note du 23 avril 2021, la CNIL rappelle ses recommandations en matière de prévention des risques et de gestion des attaques.

Sources : Article de la CNIL du 23 avril 2021 et Attaque par rançongiciels, tous concernés

 

Un rançongiciel, plus communément appelé sous le terme anglais « ransomware », est un programme ayant pour finalité l’obtention par la victime du paiement d’une rançon dès lors que ce programme ne programme ne permet plus le fonctionnement de l’ordinateur ou du système d’information « infecté ».

 

En pratique, le rançongiciel chiffre par des mécanismes cryptographiques les données de l’ordinateur ou du système d’information, rendant son utilisation impossible. En contrepartie de la fourniture du moyen de déchiffrer ces données et donc de retrouver l’usage de son outil informatique et de ses données, la victime doit payer une rançon.

 

Les attaques par rançongiciels sont généralement la conséquence d’un faible niveau de sécurité des systèmes d’information.

 

Après avoir ciblé les particuliers, ces attaques visent à présent des organisations aux moyens financiers importants ou aux activités particulièrement sensibles (par exemple les structures hospitalières ou de santé en ces temps de pandémie).

 

Le préjudice peut s’avérer conséquent et dépasser la seule perte de données ou le paiement d’une rançon, tel un arrêt de la production ou une perte de chiffre d’affaires.

 

C’est dans ce contexte que la CNIL est venue rappeler les bonnes pratiques, prenant la suite de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) qui avait publié un ses propres guidelines en août 2020.

 

La CNIL relève en premier lieu que cette pratique est logiquement facilitée dès lors que les failles de sécurité dans la protection du système d’informations sont nombreuses, telles un niveau de cloisonnement insuffisant entre les postes d’utilisateurs et les serveurs, une absence de sauvegarde des données ou encore de mise à jour des logiciels antivirus.

 

Au chapitre des bonnes pratiques préventives, elle recommande de :

 

  disposer de sauvegardes « hors ligne » de données et de conserver ces données dans un lieu différent ;

 

  sensibiliser le personnel aux risques de sécurité et aux bonnes pratiques à suivre : elle constate en effet que les attaques par rançongiciel résultent généralement du téléchargement d’un fichier malveillant, adressé sur une messagerie autre que celle de l’établissement, mais dont le message aurait été ouvert depuis un poste de travail interne à l’établissement ;

 

  mettre à jour les principaux outils utilisés : notamment le système d’exploitation, les antivirus et le navigateur ;

 

  cloisonner le système d’information : en effet, sans mesure de protection et à partir d’une seule machine « infectée », le rançongiciel peut se propager sur l’ensemble du système d’information et infecter la plupart des machines ;

 

  maitriser les accès internet ;

 

  limiter les droits des utilisateurs, lesquels ne doivent pas être les administrateurs de leur poste de travail.

 

Quant à l’hypothèse d’une attaque, la CNIL recommande de :

 

  déconnecter rapidement l’ensemble des équipements

 

  isoler les équipements infectés

 

  bloquer tous les accès vers et depuis Internet

 

  ne verser aucune rançon

 

  conserver les preuves : tracer les événements et actions liés à l’incident

 

  déposer une plainte

 

Dans ce cadre, il est rappelé que doit être notifiée à la CNIL toute violation portant atteinte à des données personnelles et ce, en application de l’article 33 du Règlement Général sur la Protection des Données (RGPD), cette notification devant intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir eu connaissance.