Lancement du Manuel de prévention et d'atténuation des risques liés aux attaques de rançongiciels

Grâce à la surveillance et à la supervision, le Département de la sécurité de l'information a constaté l'émergence d'attaques de ransomware ciblant de nombreuses agences, organisations et entreprises au Vietnam, en particulier dans des domaines importants tels que la finance, la banque, l'énergie, les télécommunications, etc., causant des dommages matériels, des atteintes à la réputation et des interruptions d'activité pour les unités concernées.

Selon le Département de la sécurité de l'information, les attaques par rançongiciel partent souvent d'une faille de sécurité d'une agence ou d'une organisation. Les attaquants pénètrent le système, maintiennent leur présence et étendent la portée de leur intrusion. De là, ils peuvent prendre le contrôle de l'infrastructure informatique de l'organisation et paralyser le système.

Face à cette situation, le Département de la sécurité de l'information a élaboré un manuel sur un certain nombre de mesures visant à prévenir, combattre et minimiser les risques d'attaques de ransomware pour les organisations et les entreprises, visant à assurer la sécurité nationale du cyberespace.

9 mesures pour prévenir et minimiser le risque d'attaques de ransomware

Le manuel du Département de la sécurité de l'information répertorie 9 mesures pour prévenir et minimiser le risque d'attaques de ransomware pour les organisations et les entreprises.

Tout d'abord, il est nécessaire de construire un plan de sauvegarde et de récupération des données des systèmes d'information importants selon la règle de sauvegarde 3-2-1, comprenant 3 copies de sauvegarde sur des supports de stockage différents, enregistrées sur au moins 2 types de supports différents, et une copie enregistrée hors ligne.

Ensuite, mettez en œuvre des mesures d'authentification renforcées pour les comptes d'accès système. Parmi les solutions possibles, citons la mise en place d'une politique de mots de passe sécurisés pour tous les comptes administrateurs et les comptes d'accès système importants, ainsi que l'activation de l'authentification multifacteur (MFA) pour tous les services, si possible, notamment pour les e-mails, les VPN et vCenter.

De plus, il est nécessaire de cloisonner strictement l'accès au réseau, de séparer les partitions des ressources importantes, de cloisonner entre le réseau administratif et le réseau utilisateur, d'utiliser des pare-feu pour contrôler l'accès entre les zones...

Pour les systèmes critiques, le principe de privilège peut être appliqué : ne pas utiliser les comptes administrateurs pour les opérations régulières, désactiver les fonctionnalités inutiles, évaluer périodiquement les comptes administrateurs, utiliser des privilèges limités dans le temps...

Les pirates informatiques exploitant souvent les vulnérabilités pour pénétrer dans leurs systèmes, les entreprises doivent les analyser régulièrement et appliquer les correctifs nécessaires. Mettez à jour vos logiciels, systèmes d'exploitation, hyperviseurs et infrastructures informatiques associées avec les dernières versions, en veillant à ce que les correctifs soient téléchargés depuis des sources fiables.

De plus, limitez l'utilisation des services de contrôle d'ordinateur à distance tels que TeamViewer, Anydesk... Ensuite, examinez tous les comptes de connexion à distance utilisant VPN, limitez l'accès VPN aux ressources et déployez MFA sur toutes les connexions VPN pour augmenter la sécurité.

Suivez et téléchargez le contenu du Manuel sur la prévention et la minimisation des risques d'attaques de ransomware sur khonggianmang.vn.

Les solutions de prévention des ransomwares incluent également : une surveillance proactive et continue pour détecter les intrusions, la recherche proactive de signes d'attaques en recherchant des logiciels malveillants, la demande à des unités spécialisées en sécurité de l'information (IT) de gérer les logiciels malveillants s'ils sont détectés, la vérification des avertissements de logiciels malveillants sur les serveurs et la mise à jour régulière des indicateurs de logiciels malveillants APT.

Enfin, planifiez un processus de réponse rapide aux ransomwares : élaborez un plan d’ensemble, mettez à jour les documents pour chaque étape, préparez un plan de communication, créez une liste de tâches, formez régulièrement les employés à la sécurité informatique et surveillez les systèmes après un incident.

Récupération du système après la détection d'une attaque de ransomware

Le manuel du département de sécurité de l'information comprend également quelques instructions pour restaurer les systèmes après la détection d'une attaque de ransomware.

Tout d'abord, identifiez le système affecté et isolez le réseau en bloquant les connexions vers et depuis ces systèmes et zones réseau. Si le blocage est impossible, vous pouvez l'isoler en débranchant le câble réseau.

Ensuite, classez les systèmes affectés pour la récupération dans une zone réseau distincte, priorisez la récupération des systèmes critiques, assurez-vous que le système d’exploitation du serveur récupère en toute sécurité et identifiez les fichiers à récupérer.

De plus, il est possible de collecter des données depuis le serveur et des échantillons de logiciels malveillants présents dans le système. Analysez les échantillons de données chiffrées pour identifier les rançongiciels et échangez avec les autorités pour trouver un décrypteur, le cas échéant.

Enfin, déterminez l'étendue de l'impact et le risque de vol de données. Identifiez la liste des comptes d'utilisateurs et de clients de l'organisation concernés.

Si vous avez besoin d'aide, vous pouvez contacter les agences spécialisées en sécurité de l'information, notamment le Centre vietnamien de réponse aux urgences du cyberespace (VNCERT/CC) et le Centre national de surveillance de la cybersécurité (NCSC).

Voir le manuel détaillé ici.