Limiter l’impact des attaques par ransomware

La prochaine étape pour prévenir les attaques de ransomwares consiste à protéger les rôles privilégiés -- c’est-à-dire le type d’emplois dans lesquels les personnes manipulent de nombreuses informations privilégiées au sein d’une organisation.

Cette phase de prévention contre les ransomwares vise à empêcher les personnes malveillantes d’obtenir un accès étendu à vos systèmes.

Plus un cybercriminel a accès à votre organisation et à vos appareils, plus les dommages potentiels à vos données et systèmes sont élevés.

Important

Lisez la série sur la prévention des ransomwares et faites en sorte que les cyberattaques soient difficiles à mener contre votre organisation.

• Avoir un plan de récupération
• Un plan pour limiter les dommages causés
• Rendre difficiles les intrusions

Créer une stratégie d’accès privilégié contre les ransomwares

Vous devez appliquer une stratégie approfondie et globale pour réduire le risque de compromission des accès privilégiés.

Tout autre contrôle de sécurité que vous appliquez peut facilement être invalidé par un attaquant disposant d’un accès privilégié à votre environnement. Les personnes malveillantes peuvent obtenir un accès à l’aide de l’ingénierie sociale et même tirer parti de l’IA pour générer et effectuer un rendu de code malveillant et d’URL. Les attaquants utilisant des ransomwares se servent de l’accès privilégié pour contrôler rapidement toutes les ressources critiques de l’organisation afin de l’attaquer à des fins d’extorsion.

Qui est responsable dans le programme ou le projet

Ce tableau décrit une stratégie d’accès privilégié pour prévenir les ransomwares en termes de hiérarchie de parrainage/gestion de programme/gestion de projet pour déterminer et générer des résultats.

Lead	Implémenteurs	Responsabilité
Responsable de la sécurité des systèmes d'information (CISO) ou directeur informatique (CIO)		Parrainage de la direction
Responsable de programme		Susciter des résultats et une collaboration entre les équipes
	Architectes informatiques et de la sécurité	Classer par ordre de priorité les composants à intégrer dans les architectures
	Gestion des identités et des clés	Implémenter des changements d'identités
	Équipe en charge de la productivité de l'informatique centrale et/ou des utilisateurs finaux	Implémenter des changements sur les appareils et le locataire Office 365
	Stratégie et standards de sécurité	Mettre à jour les normes et les documents de stratégie
	Gestion de la conformité de la sécurité	Superviser pour garantir la conformité
	Équipe en charge de l'éducation des utilisateurs	Mettre à jour les recommandations concernant les mots de passe

Liste de contrôle de la stratégie d’accès privilégié contre les ransomwares

Créez une stratégie en plusieurs parties en suivant les recommandations de l'article https://aka.ms/SPA qui comprend cette check-list.

Terminé	Tâche	Description
	Appliquer une sécurité de session de bout en bout.	Valide explicitement la confiance des utilisateurs et des appareils avant d'autoriser l'accès aux interfaces d'administration (en utilisant l'accès conditionnel de Microsoft Entra).
	Protéger et superviser les systèmes d'identité.	Empêche les attaques par élévation des privilèges incluant les répertoires, la gestion des identités, les comptes et groupes d'administrateurs et la configuration de l'octroi de consentement.
	Atténuer les effets du parcours latéral.	Garantit que la compromission d'un seul appareil ne débouche pas immédiatement sur le contrôle d'un grand nombre voire de l'ensemble des appareils à partir de mots de passe de comptes locaux, de mots de passe de comptes de service ou d'autres secrets.
	Assurer une réponse rapide face aux menaces.	Limite l'accès d'un adversaire et le temps qu'il passe dans l'environnement. Pour plus d'informations, consultez Détection et réponse.

Résultats de l'implémentation et chronologie

Essayez d'obtenir ces résultats dans un délai de 30 à 90 jours :

• 100 % des administrateurs sont tenus d’utiliser des stations de travail sécurisées

• 100 % des mots de passe des stations de travail/serveurs locaux sont générés aléatoirement

• 100 % des mesures d’atténuation d’élévation des privilèges sont déployées

Détection et réponse aux ransomwares

Votre organisation doit pouvoir détecter et corriger de façon réactive les attaques courantes ciblant les points de terminaison, la messagerie et les identités. Il s'agit d'une course contre la montre.

Vous devez rapidement corriger les points d’entrée vulnérables à des attaques courants pour limiter le temps dont dispose l’attaquant pour traverser votre organisation d’un bout à l’autre.

Qui est responsable dans le programme ou le projet

Ce tableau décrit l'amélioration de votre capacité de détection et de réponse face aux attaques par ransomwares sous l'angle d'une hiérarchie de parrainage/gestion de programme/gestion de projet pour déterminer et susciter des résultats.

Lead	Implémenteurs	Responsabilité
Responsable de la sécurité des systèmes d'information (CISO) ou directeur informatique (CIO)		Parrainage de la direction
Responsable de programme des opérations de sécurité		Susciter des résultats et une collaboration entre les équipes
	Équipe en charge de l'infrastructure informatique centrale	Implémenter des fonctionnalités/agents client et serveur
	Opérations de sécurité	Intégrer de nouveaux outils dans les processus d'opérations de sécurité
	Équipe en charge de la productivité de l'informatique centrale et/ou des utilisateurs finaux	Activer les fonctionnalités pour Defender for Endpoint, Defender for Office 365, Defender pour Identity et Defender for Cloud Apps
	Équipe en charge des identités de l'informatique centrale	Implémenter la sécurité Microsoft Entra et Microsoft Defender pour Identity
	Architectes de sécurité	Fournir des conseils pour la configuration, les standards et les outils
	Stratégie et standards de sécurité	Mettre à jour les normes et les documents de stratégie
	Gestion de la conformité de la sécurité	Superviser pour garantir la conformité

Liste de contrôle de détection et de réponse aux ransomwares

Appliquez ces bonnes pratiques pour améliorer vos capacités de détection et de réponse.

Terminé	Tâche	Description
	Classer par ordre de priorité les points d'entrée courants : - Utilisez les outils intégrés de détection et de réponse étendues (XDR) tels que Microsoft Defender XDR pour fournir des alertes de haute qualité et minimiser les frictions et les étapes manuelles pendant la réponse. - Être attentif aux tentatives d'attaque par force brute comme la pulvérisation de mots de passe.	Les opérateurs (et autres) de ransomwares favorisent les points de terminaison, la messagerie, les identités et le protocole RDP comme points d'entrée.
	Être attentif à la désactivation de la sécurité par un adversaire (cela fait souvent partie d'une chaîne d'attaque), par exemple : - Effacement du journal des événements, en particulier le journal des événements de sécurité et les journaux des opérations PowerShell. – Désactivation des outils et des contrôles de sécurité.	Les attaquants ciblent les fonctionnalités de détection de la sécurité pour poursuivre leur attaque sans risque.
	Ne pas ignorer les logiciels malveillants standard.	Les attaquants utilisant des ransomwares achètent fréquemment l’accès aux organisations cibles au marché noir.
	Intégrer des experts externes aux processus pour bénéficier de compétences supplémentaires comme l'équipe de détection et de réponse Microsoft (DART).	L'expérience compte en matière de détection et de récupération.
	Utilisez Defender pour point de terminaison pour isoler rapidement les appareils affectés.	L'intégration de Windows 11 et 10 facilite cette tâche.

Étape suivante

Passez à la phase 3 pour compliquer la tâche d’un attaquant qui cherche à s’introduire dans votre environnement en éliminant les risques de manière incrémentielle.

Autres ressources de ransomware

Informations clés de Microsoft :

• The growing threat of ransomware, billet du blog Microsoft On the Issues, publié le 20 juillet 2021
• Rançongiciels d'origine humaine
• Se protéger rapidement contre les rançongiciels et l'extorsion
• Microsoft Digital Defense - Rapport 2021 (voir pages 10-19)
• Rapport d’analyse des menaces Ransomware : une menace omniprésente et continue dans le portail Microsoft Defender
• Approche et étude de cas de l'équipe de détection et d'intervention de Microsoft (DART) en matière de rançongiciel

Microsoft 365 :

• Déployer la protection contre les rançongiciels pour votre client Microsoft 365
• Optimiser la résilience contre les ransomwares avec Azure et Microsoft 365
• Récupération après une attaque par ransomware
• Protection contre les programmes malveillants et les ransomware
• Protégez votre PC Windows 10 contre les ransomware
• Gestion des ransomware dans SharePoint en ligne
• Rapports d’analyse des menaces pour les ransomware dans le portail Microsoft Defender

Microsoft Defender XDR :

• Rechercher des ransomware avec la chasse avancée

Microsoft Azure :

• Azure Defenses for Ransomware Attack
• Optimiser la résilience contre les ransomwares avec Azure et Microsoft 365
• Plan de sauvegarde et restauration pour la protection contre les rançongiciels
• Protégez vos applications contre les ransomware avec la Sauvegarde Microsoft Azure (vidéo de 26 minutes)
• Récupération après une compromission de l'identité système
• Détection avancée des attaques multiphases dans Microsoft Sentinel
• Détection de fusion des rançongiciels dans Microsoft Sentinel

Microsoft Defender for Cloud Apps :

• Créer des stratégies de détection d'anomalie dans les applications Defender pour le cloud

Le blog de l’équipe Sécurité Microsoft effectue des publications sur les instructions d’atténuation des rançongiciels :

• Se défendre contre des attaques par rançongiciels gérés par l’homme avec Microsoft Copilot pour la sécurité (mars 2024)

• 3 steps to prevent and recover from ransomware (septembre 2021)

• Guide de lutte contre les rançongiciels d'origine humaine : partie 1 (septembre 2021)

  Étapes clés sur la façon dont l'équipe de détection et d'intervention de Microsoft (DART) effectue des enquêtes sur les incidents de rançongiciels.

• Guide de lutte contre les rançongiciels d'origine humaine : partie 2 (septembre 2021)

  Recommandations et meilleures pratiques.

• Devenir résilient en comprenant les risques de cybersécurité : partie 4. Explorer les menaces actuelles (mai 2021)

  Cf. section Ransomware.

• Human-operated ransomware attacks: A preventable disaster (Attaques par ransomware dirigées par une main humaine  : un incident évitable) (mars 2020)

  Inclut des analyses de chaîne d'attaque des attaques courantes.

• Réponse aux rançongiciels : payer ou ne pas payer ? (Décembre 2019)

• Norsk Hydro responds to ransomware attack with transparency (Norsk Hydro répond avec transparence à une attaque par ransomware) (décembre 2019)