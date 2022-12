Avec 66 % des entreprises qui ont été touchées par des attaques l’année passée, les ransomwares restent l’une des plus grandes cybermenaces pour les organisations du monde entier.

La barrière à l’entrée pour de potentiels auteurs de ransomware n’a jamais été aussi basse, en grande partie en raison du passage massif au modèle “as-a-service” qui a mis des tactiques de menace avancées entre les mains de presque tous les cybercriminels souhaitant en bénéficier. De plus, à mesure que les cyberdéfenses se renforcent, les opérateurs de ransomware ont fait évoluer leurs approches pour tenter de contourner les technologies de protection avancées actuelles, en abusant d’outils IT légitimes et même en apprenant de nouveaux langages de programmation pour échapper à la détection.

La protection des systèmes endpoint reste l’un des moyens les plus efficaces de sécuriser vos appareils contre les ransomwares, mais elle doit être configurée correctement pour offrir une protection optimale. Dans notre rapport récemment mis à jour intitulé Les bonnes pratiques Endpoint pour bloquer les ransomwares, et dans cet article, nous allons vous présenter des conseils pratiques en matière de sécurité des systèmes endpoint pour vous aider à renforcer vos défenses contre les ransomwares.

1. Activez toutes vos politiques et vérifiez que tous les paramètres souhaités soient bien actifs

Les politiques sont conçues pour stopper des menaces spécifiques. Le fait de vérifier régulièrement que toutes les options de protection soient activées permet de s’assurer que vos systèmes endpoint soient bien protégés contre les ransomwares actuels et émergents.

Les clients Sophos qui gèrent leur sécurité Endpoint depuis Sophos Central bénéficient de l’outil “Vérifier l’état du compte“, qui évalue automatiquement la configuration de votre compte pour identifier les failles potentielles et vous aide à les modifier afin d’optimiser la protection. Pour en savoir plus, découvrez notre article de blog dédié.

2. Vérifiez régulièrement vos exclusions

Les exclusions permettent d’éviter que les répertoires et les types de fichiers de confiance soient analysés à la recherche de malwares. Elles sont parfois utilisées pour réduire les temps de réponse du système et minimiser le risque de faux positifs au niveau des alertes de sécurité. Au fil du temps, une liste grandissante de répertoires et de types de fichiers exclus peut avoir un impact sur de nombreuses personnes au sein du réseau. Les malwares qui parviennent à s’introduire dans des répertoires exclus (peut-être déplacés accidentellement par un utilisateur) ont toutes les chances d’atteindre leurs objectifs. Vérifiez régulièrement votre liste d’exclusions au niveau de vos paramètres de protection et limitez leur quantité.

3. Activez l’authentification multifacteur (MFA)

Le MFA fournit une couche de sécurité supplémentaire qui s’ajoute au premier facteur d’authentification, qui est souvent un mot de passe. Il est essentiel d’activer le MFA au niveau de l’ensemble de vos applications pour tous les utilisateurs ayant accès à votre console de sécurité. Cette mesure garantit que l’accès à votre solution de sécurité Endpoint soit sécurisé et reste protégé contre les tentatives accidentelles ou délibérées de modification de vos paramètres, ce qui pourrait rendre vos systèmes endpoint vulnérables aux attaques. Il est également essentiel d’activer le MFA pour sécuriser le RDP.

4. Assurez-vous que chaque endpoint soit bien protégé et mis à jour

Vérifiez régulièrement vos appareils pour savoir s’ils sont bien protégés et à jour. Un appareil qui ne fonctionne pas correctement peut ne pas être protégé et être ainsi vulnérable à une attaque de ransomware. Les outils de sécurité Endpoint fournissent souvent ce type de télémétrie. Un programme de maintenance et d’hygiène IT s’avère également utile pour vérifier régulièrement les potentiels problèmes informatiques.

5. Maintenez une bonne hygiène informatique

Instaurer une maintenance informatique régulière garantit que vos systèmes et les logiciels qui y sont installés, fonctionnent avec une efficacité maximale. Cette pratique limite vos risques en matière de cybersécurité et peut vous faire gagner du temps lorsque vous devrez traiter de futurs incidents.

6. Chassez activement les adversaires actifs au sein de votre réseau

Dans le paysage actuel des menaces, les acteurs malveillants sont plus rusés que jamais. Ils déploient souvent des outils légitimes et utilisent des identifiants volés pour éviter la détection. Afin d’identifier et de bloquer de telles attaques, il est indispensable de chasser de manière proactive les menaces avancées et les adversaires actifs. Une fois découverts, vous devez également être capables de prendre les mesures nécessaires pour les bloquer rapidement. Des outils tels que le XDR (Extended Detection and Response) permettent aux analystes en sécurité de lancer une chasse et une neutralisation des menaces. Les entreprises disposant de ces technologies devraient pouvoir les exploiter au maximum.

Bon nombre d’entreprises peinent à maintenir une couverture 24h/24 pour se protéger contre les attaques de ransomware avancées. C’est pourquoi les services gérés de détection et de réponse ou MDR (Managed Detection and Response) jouent un rôle essentiel. Les services MDR fournissent une chasse aux menaces 24h/24 et 7j/7, orchestrée par des experts spécialisés dans la détection et la réponse aux cyberattaques, que les solutions technologiques seules ne peuvent pas gérer. Ils offrent également le plus haut niveau de protection contre les attaques de ransomware avancées pilotées par des humains. Pour en savoir plus sur les avantages du MDR, découvrez notre article dédié.

Pour explorer ces bonnes pratiques plus en détail et découvrir comment les solutions de sécurité Sophos améliorent votre protection contre les ransomwares, vous pouvez télécharger notre livre blanc.

