Ressources > Glossaire des termes de sécurité > Qu'est-ce que la protection contre les ransomwares

Qu'est-ce que la protection contre les ransomwares ?

Qu'est-ce que la protection contre les ransomwares ?

La protection contre les ransomwares désigne les outils, les technologies et les stratégies utilisés pour empêcher les cybercriminels de déposer et d’exécuter des logiciels malveillants qui contraignent les entreprises à payer une somme, généralement en crypto-monnaie, pour recouvrer l’accès à leurs données, leur infrastructure et leur réseau.

Les cybercriminels utilisent les ransomwares depuis plus de 30 ans pour menacer et extorquer des entreprises à des fins lucratives, mais leur utilisation s’est généralisée en 2015. En juin 2015, une souche de ransomware appelée CryptoWall a engrangé plus de 18 millions de dollars américains, selon le Federal Bureau of Investigation (FBI) des États-Unis. Les ransomwares continuent de faire les gros titres dans le monde entier, car les stratégies de protection existantes n’ont pas été en mesure de répondre à l’évolution constante des tactiques des cybercriminels.

Les outils anti-ransomware modernes sont très efficaces et simples à déployer. Une protection adéquate contre les ransomwares commence par l’adoption d’une posture de sécurité moderne, conçue nativement dans le cloud pour protéger les utilisateurs, les applications et les données sensibles contre ces attaques.

 

Pour faire face aux menaces actuelles et protéger votre réseau et votre infrastructure contre ces attaques, une stratégie anti-ransomware efficace doit inclure des principes et des outils qui vont :

  • Utiliser un sandbox piloté par l’IA pour mettre en quarantaine et inspecter le contenu suspect
  • Inspecter tout le trafic chiffré SSL/TLS
  • Mettre en œuvre une protection permanente en suivant les connexions hors réseau

Le modèle de protection le plus efficace contre les ransomwares, parmi toutes les solutions de cybersécurité actuelles, consiste à associer des solutions modernes et une philosophie émergente consistant à prévenir les attaques par ransomware avant qu’elles ne se produisent. Nous allons nous intéresser de plus près à ce modèle dans un instant. D’abord, abordons brièvement la question du ransomware en général.

 

Comment fonctionnent les attaques par ransomware ?

Les ransomwares sont le plus souvent introduits dans un système de la même manière que de nombreux autres types de programmes malveillants : soit un utilisateur télécharge une pièce jointe contenant un programme malveillant, soit il interagit sans le savoir avec un lien malveillant ou visite un site web compromis. Une fois présent sur un système, le ransomware chiffre généralement les fichiers ou données importants de ce système, ou le verrouille complètement. Le hacker exige ensuite un paiement, souvent en bitcoins ou en une autre crypto-monnaie, en échange d’une clé qui déverrouillera le système ou les fichiers chiffrés. Telle est l’idée de base. Il existe plusieurs sous-types de ransomware qui servent différents objectifs en fonction des buts du hacker.

 

Types de ransomware

1) Crypto ransomware

Probablement le type de ransomware le plus connu, cette variété chiffre les fichiers et les données d’un système, les rendant inutilisables sans la clé de déchiffrement détenue par le hacker. Ce type de ransomware et le sous-type locker peuvent se révéler particulièrement efficaces lorsqu’ils ciblent des entreprises qui ne peuvent pas se permettre des interruptions de service.

 

2) Locker ransomware

Le lockerware est similaire au crypto ransomware, mais au lieu de chiffrer les fichiers, il bloque l’accès de l’utilisateur à l’ensemble de son système et affiche généralement les demandes de rançon de l’attaquant sur un « écran de verrouillage » (lock screen).

 

3) Leakware

Également appelé doxware, cette variété cible des individus ou des entreprises et menace de divulguer publiquement et en ligne des données sensibles, ou parfois de les vendre à un tiers, si la victime ne verse pas de rançon. Le leakware est généralement introduit sur les réseaux d’entreprise par l'intermédiaire d'un e-mail d’hameçonnage.

 

4) Scareware

Le scareware exploite la peur, l’incertitude et le doute en prétendant frauduleusement avoir trouvé un problème sur l’appareil d’un utilisateur, tel qu'un programme malveillant, puis en demandant un paiement pour résoudre ce faux problème.

 

5) Ransomware en tant que service

Les fournisseurs de RaaS perçoivent des paiements d’autres cybercriminels en échange d’une licence d’utilisation d’un ransomware préconçu. Le criminel « client » n’a généralement pas grand-chose à faire car le logiciel exécute automatiquement une attaque complète de ransomware.

 

Cibles classiques des attaques par ransomware

Quel que soit leur type, les ransomwares sont particulièrement efficaces en partie parce qu’ils peuvent contourner les formes courantes de protection des données, telles que l’antivirus de base et l’authentification de l’utilisateur. En outre, certains types d’entreprises sont plus vulnérables aux ransomwares : celles qui ne peuvent pas risquer une interruption en raison de services ou de coûts critiques, celles qui disposent d’importantes réserves de données sensibles et/ou celles qui ont les moyens de payer. En conséquence, certains des secteurs les plus durement touchés par ces attaques sont les services de santé, l’informatique, l’éducation et l’industrie.

 

Solutions de protection contre les ransomwares

Un large éventail de solutions de sécurité propose des outils de détection et de résolution des ransomwares. Certaines d’entre elles sont des solutions dédiées qui se concentrent sur quelques fonctionnalités spécifiques, tandis que d’autres font partie de suites plus larges de protection contre les menaces.

Zscaler propose une protection cloud-native contre les ransomwares destinée à sécuriser les entreprises contre les ransomwares de trois manières fondamentales :

  • Sandboxing piloté par l’IA pour mettre en quarantaine et inspecter le contenu suspect.
  • Inspection de tout le trafic chiffré SSL/TLS.
  • Protection permanente qui suit les connexions hors réseau.

Examinons chacun de ces aspects plus en détail.

 

Utilisation de la mise en quarantaine par sandbox piloté par l’IA

Les variantes actuelles des ransomwares étant spécialement conçues pour leurs cibles, des mesures de prévention efficaces doivent déjouer les nouvelles souches et les menaces de type zero-day avant qu’elles ne puissent causer des dommages. Les approches obsolètes de protection contre les ransomwares reposent sur une analyse hors bande des programmes malveillants qui envoie des fichiers inconnus à l’utilisateur en même temps qu’ils sont analysés. Ces approches de type « passthrough » envoient une alerte si elles trouvent un fichier malveillant, mais celui-ci aura alors déjà atteint sa cible, créant un important risque d’infection.

Avec un sandbox de quarantaine piloté par l’IA et reposant sur une architecture proxy cloud-native, les fichiers peuvent être mis en quarantaine et entièrement analysés avant d’être transmis, ce qui élimine pratiquement tout risque d’infection de type patient zéro. Contrairement aux approches de type passthrough traditionnelles, les fichiers suspects ou jamais rencontrés auparavant sont retenus pour analyse et n’atteindront pas votre environnement.

Une solution cloud-native, pilotée par l’IA, comme Zscaler Cloud Sandbox, offre plus d'avantages que les solutions anti-malware traditionnelles, notamment :

  • Un contrôle complet des actions de quarantaine avec une politique granulaire définie par groupes, utilisateurs et type de contenu
  • Des verdicts de sécurité en temps réel sur les fichiers inconnus grâce à l’apprentissage automatique et à Zscaler Zero Trust Exchange, la plus grande plateforme de sécurité au monde conçue pour le cloud.
  • Un téléchargement rapide et sécurisé des fichiers, tout fichier identifié comme malveillant étant mis en quarantaine.

En substance, Zscaler Cloud Sandbox empêche les attaques par ransomware en veillant à ce que les fichiers non reconnus ou malveillants n’atteignent jamais votre réseau.

 

Inspection de l’ensemble du trafic chiffré

Jusqu’à 90 % du trafic Internet est désormais chiffré. Les hackers en tirent parti pour dissimuler leurs attaques, y compris les ransomwares. Pour réduire les risques, une protection complète contre les ransomwares doit inspecter tout le trafic chiffré. Néanmoins, l’inspection SSL complète peut s’avérer difficile avec les technologies traditionnelles. Le déchiffrement, l’inspection et le rechiffrement du trafic est gourmand en ressources informatiques et la plupart des appliances (telles que les pare-feu de nouvelle génération) ne disposent pas de la puissance de traitement nécessaire pour éviter un ralentissement considérable des performances. De plus, qu’il s’agisse d’une appliance ou d’une machine virtuelle dans le cloud, toutes deux subissent une baisse de performance lors de l’inspection du trafic SSL.

Alors, qu’est-ce qui peut répondre aux critères d’une inspection SSL/TLS de bout en bout ?

Une architecture proxy cloud-native comme celle de Zscaler permet aux entreprises d’effectuer une inspection SSL complète à grande échelle sans avoir à se soucier de l’impact sur les performances ni devoir étendre la capacité de traitement d’appliances coûteuses. Un cloud global réparti sur plus de 150 data centers sur six continents permet d’inspecter minutieusement le trafic SSL à la recherche de menaces de ransomware cachées, sans aucune baisse de performance, même si la bande passante des utilisateurs augmente considérablement.

Toutes ces mesures de protection éliminent la moindre faille de sécurité causée par la difficulté d'analyser des ransomware cachés dans le traffic chiffré.

 

Suivre les connexions hors réseau

De nombreuses entreprises peinent à assurer une sécurité permanente lorsqu’il s’agit de ransomware. Selon les normes actuelles, une sécurité permanente implique d’étendre vos politiques de sécurité d’entreprise pour assurer la sécurité de votre réseau, même lorsque les utilisateurs quittent le VPN, utilisent des appareils personnels et se connectent via des réseaux Wi-Fi privés ou publics. En s’appuyant sur des approches traditionnelles liées aux data centers et aux passerelles régionales, les politiques de sécurité ne peuvent pas suivre vos utilisateurs hors réseau. Cela permet aux hackers de transmettre des ransomwares à ceux qu’ils savent opérer en dehors de vos contrôles de sécurité.

Zscaler peut fournir aux utilisateurs ces deux premières stratégies mentionnées plus haut (sandbox de quarantaine piloté par l’IA et inspection SSL complète) quel que soit leur emplacement ou l’appareil qu’ils utilisent. Chaque connexion sur n’importe quel réseau bénéficie d’une protection identique pour découvrir et contrecarrer les menaces connues et inconnues, ce qui préserve votre entreprise des infections par ransomware de type patient zéro. 

Cette approche de prévention des ransomwares commence par la sécurisation des connexions des utilisateurs par le biais de Zscaler Zero Trust Exchange. Il suffit aux utilisateurs hors réseau d’ajouter Zscaler Client Connector, notre agent endpoint léger, à leurs ordinateurs portables ou à leurs appareils mobiles (avec prise en charge des systèmes d’exploitation Android, iOS, macOS et Windows) pour bénéficier de la protection apportée par les mêmes outils de sécurité, application des politiques et contrôles d’accès dont ils bénéficieraient à votre siège.

Lire la fiche technique de Zscaler Client Connector.

 

Renforcez dès aujourd'hui votre stratégie de protection contre les ransomwares

Comme le montrent les recherches et les gros titres des journaux à travers le monde, les ransomwares ne sont pas près de disparaître. Zscaler a déjà aidé des milliers de clients à empêcher que les ransomware et d’innombrables autres cyberattaques n’atteignent leurs réseaux grâce à une évolutivité inégalée et à une expérience utilisateur exceptionnelle.

Voici quelques ressources supplémentaires à prendre en compte pour affiner votre stratégie de sécurité globale :