À en croire les chiffres publiés par les éditeurs d’antivirus et repris par la presse, au cours de ces deux derniers jours, pas moins de 200 000 ordinateurs dans 150 pays auraient été infectés par un rançongiciel baptisé WannaCry. Une cyberattaque inédite par son ampleur et sa vitesse de propagation qui a frappé sans distinction des entreprises, des hôpitaux, des banques ou encore des services publics dans le monde entier. En France, Renault a même dû mettre à l’arrêt pendant quelques heures ce week-end plusieurs sites de production pour limiter la propagation du malware. L’usine de Douai qui emploie 5 500 employés a été la plus touchée du groupe. Elle devrait rester à l’arrêt ce lundi.

Les indispensables mises à jour

Ce qui est tout à fait étonnant dans cette attaque est qu’elle s’appuie sur une faille de sécurité de Windows qui a été corrigée par l’éditeur américain depuis plusieurs mois. On ne peut qu’en déduire que les entreprises victimes n’avaient pas effectué les mises à jour de sécurité proposées et fortement conseillées par Microsoft. Or, comme le rappelle la célèbre Agence nationale de la sécurité des systèmes d’information (Anssi) dans un communiqué mis en ligne sur son site il y a quelques heures, il est absolument nécessaire d’appliquer sans délai toutes les mises à jour de sécurité des éditeurs de systèmes d’exploitation (Windows, Mac OS, Linux) et des logiciels donnant accès à Internet, comme les navigateurs, par exemple. Compte tenu des risques encourus en raison de cette vague d’attaques, l’agence précise que s’il n’est pas possible de mettre à jour une machine ou un serveur (en raison d’un système d’exploitation trop ancien, par exemple), « il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires ». Windows vient d’ailleurs, de manière exceptionnelle, de publier en urgence des correctifs pour des systèmes d’exploitation dont elle n’assure plus la mise à jour depuis plusieurs années (Windows XP, Windows 8, Windows Server 2003).

Bien entendu, l’Anssi recommande également aux entreprises de maintenir à jour les antivirus qu’elles utilisent.

Des règles de bon sens

Mettre à jour les systèmes d’exploitation et les antivirus n’est pas suffisant pour se mettre à l’abri des rançongiciels qui, pour rappel, une fois installés, bloquent l’accès aux données de la machine et réclament une rançon pour les « libérer ». D’autres règles de bons sens doivent également, selon l’Anssi, être scrupuleusement suivies :
– ne jamais ouvrir des courriels dont la provenance ou la forme est douteuse (les courriels sont le mode de contamination « favori » des rançongiciels) ;
– effectuer, sur des supports non connectés en permanence aux machines, des sauvegardes régulières des données de l’entreprise (en cas d’attaque, cela permettra de formater les machines, puis de réinstaller les données) ;
– limiter les droits d’accès des machines sur les serveurs de l’entreprise (une machine infectée pourra ainsi, plus difficilement, contaminer le serveur).

En cas d’attaque

Si votre entreprise est victime d’une attaque de rançongiciel, l’Anssi vous conseille :
– de déconnecter immédiatement du réseau toute machine infectée ;
– d’alerter immédiatement les services informatiques internes ou votre prestataire ;
– de sauvegarder les fichiers importants sur un support isolé (en prenant soin de ne pas écraser la dernière sauvegarde au cas où les fichiers en cours de copie seraient altérés ou déjà infectés) ;
– de ne pas payer la rançon.

Les Echos Publishing 2017