Le cyber-rançonnage utilise la vulnérabilité des systèmes d’information et les comportements à risques des internautes. En cas de piratage, la prévention et l’accompagnement par des spécialistes en cybersécurité facilitent une reprise rapide de l’activité.
mafassurances

« En matière de cyber-rançonnage, la question n’est pas vraiment de savoir si vous allez être piratés, mais plutôt quand ? » Thibault Carré, expert en cybercriminalité chez Inquest, ne mâche pas ses mots : « L’objectif des cybercriminels est de faire de l’argent le plus facilement possible. Ils ne visent pas une personne ou un métier en particulier mais pratiquent l’attaque d’opportunité, qui utilise la vulnérabilité des systèmes et les comportements à risques des internautes. » Avec une vingtaine de cas identifiés en 2019, les piratages de cabinets d’architectes recensés par la MAF sont en progression constante depuis leur apparition il y a trois ans. Si le nombre de victimes peut paraître modeste au regard de l’effectif de la profession, les conséquences sur l’activité des adhérents touchés sont lourdes. Pertes de données et interruptions de l’activité pénalisent fortement le fonctionnement de l’agence. Concrètement, le cybercriminel prend en otage vos données en les cryptant et vous demande de l’argent en échange du moyen de les rendre à nouveau lisibles. « Les demandes de rançon étaient de 500 euros il y a trois ans. Elles sont plutôt de 3 000 euros actuellement », prévient Gilles Caloiaro, responsable chez MAF Conseil.

Une pièce jointe ou un lien piégé 
Faut-il payer ? « D’une façon générale, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) préconise de ne pas payer la rançon », signale Thibault Carré. Parmi ceux qui ont payé, certains n’ont jamais récupéré leurs données. D’autres ont vu leurs données libérées puis à nouveau bloquées quelques heures après avec une demande de rançon plus élevée. Et cela, même si les pirates ont plutôt intérêt à tenir parole pour encourager les paiements. Pour accomplir leurs forfaits, ces derniers utilisent principalement deux méthodes  : la première recourt à l’email contenant un message qui vous donne envie d’ouvrir la pièce jointe. Il s’agit généralement de prétendus documents provenant d’une entreprise publique connue – Direction générale des finances publiques, opérateur télécoms…– sous un prétexte censé vous mettre en confiance. Une fois la pièce jointe ouverte, un « exécutable » lance le logiciel malveillant qui chiffre vos données sur votre ordinateur. Une variante consiste à vous proposer un lien plutôt qu’une pièce jointe. L’effet est le même. 
La seconde méthode consiste pour le pirate à prendre la main sur votre ordinateur à distance. Il agit le week-end, par exemple, lorsque vous n’êtes pas connecté. Le cybercriminel recherche sur Internet la page de connexion de votre serveur. En « faisant tourner un script » qui exécute des milliers de combinaisons pendant parfois plusieurs mois, il finit par trouver vos identifiants et mots de passe. Il entre alors sur votre système et examine votre réseau – y compris le cloud – qui est connecté à votre ordinateur, ainsi que les autres machines et disques durs qui y sont également associés. Enfin, il applique l’algorithme de chiffrement et met en place la demande de rançon dont le montant peut être proportionnel au poids des données chiffrées : « Avec des fichiers numériques de projets d’architecture lourds, les demandes de rançon adressées aux maîtres d’œuvre sont plutôt tirées vers le haut », constate Gilles Caloiaro.


Se préparer à une cyber-attaque

Avant l’incident 
- Préparez-vous un processus interne  : désignez et formez un référent, voire deux, capable de s’occuper du sinistre et de prendre immédiatement les mesures d’urgence ;
- Faites réaliser un audit de la sécurité informatique de votre agence

En cas d’attaque :
- Déconnectez l’ordinateur contaminé du réseau pour stopper l’attaque. 
- Maintenez l’ordinateur contaminé sous tension sans le redémarrer pour ne pas risquer de perdre d’informations sur le virus. 
- Débranchez les disques durs externes et autres supports amovibles. 
- Ne payez pas la rançon demandée sans l'avis d'un spécialiste. 
- Prévenez le partenaire technique de MAF Conseil.

 

Sauvegarde hors d’atteinte
En cas de piratage, le seul moyen de se remettre rapidement de l’attaque est de disposer d'une sauvegarde hors d’atteinte, c’est-à-dire hors connexion. « Pour cela, recommande Thibault Carré, posez-vous dès maintenant la question : quelle quantité de données - exprimée en jours de travail - suis-je prêt à perdre ? Si la réponse est une journée, effectuez une, voire deux sauvegardes quotidiennes non connectées que vous garderez dans un lieu protégé... » Pour vous accompagner dans la gestion de ce risque, la MAF vous conseille de recourir à un expert en sécurité numérique. Avec lui, vous pourrez agir rapidement. Après une attaque, ne vous contentez pas de faire réinstaller vos données par votre prestataire informatique avec la même vulnérabilité. L’expert veillera à ce que le redémarrage rapide de votre activité soit associé à une démarche de sécurité renforcée. « La cybercriminalité n’est pas forcément le domaine d’expertise de votre prestataire informatique. La réinstallation simple de la sauvegarde est insuffisante ! » prévient Thibault Carré,  qui poursuit : « Pour une petite entreprise, il faut compter trois à cinq jours pour réimplanter une sauvegarde en toute sécurité. L’arrêt total de l’activité informatique est, en effet, généralement suivi d’une phase de reprise progressive des systèmes en mode dégradé. » Hors assurance, la restauration peut coûter de 5  000 à 20  000 euros… Consciente de ce danger auquel les entreprises d’architecture sont de plus en plus confrontées, MAF Conseil recommande à ses adhérents de se préparer aux cyberattaques


Pour en savoir plus…

- Tous les conseils de l’ANSSI pour lutter contre la cyber-malveillance : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/

- Découvrez l’offre MAF sur https://www.maf.fr/assurance-cyber-securite ou appelez le 01.53.70.30.00 MAF Conseil propose un contrat «Cyber-risques» couvrant notamment le piratage informatique, la cyber-extorsion, la perte d’exploitation suite au vol ou à la perte de données confidentielles, la responsabilité civile de transfert du virus à un tiers. Avec une assistance 24 h/24 - 7 jours/7, la restauration des données électroniques se fait en lien avec votre prestataire informatique et la pré déclaration à la CNIL suite au vol des données.