Les pratiques constatées
Les incidents les plus massifs sont souvent dus à une accumulation de plusieurs défauts de sécurité.
Lors de ses contrôles ou dans le cadre de l’analyse des notifications qu’elle a pu recevoir, la CNIL a ainsi constaté que des conséquences importantes d’attaques par rançongiciel résultaient notamment :
- d’un cloisonnement insuffisant du réseau entre les différents serveurs ainsi qu’entre les postes des utilisateurs et les serveurs ;
- de l’absence de mise en œuvre de dispositif de détection automatisée de chiffrement massif de fichiers ;
- de l’absence de mesures de sécurité permettant d’empêcher le chiffrement par un rançongiciel des données personnelles hébergées ou stockées ;
- dans les cas les plus graves, d'absence de sauvegarde des données par les organismes.
En cas d’incident, la restauration des données peut prendre un temps important pendant lequel le système d’information de l’organisme concerné ne sera toujours pas opérationnel. La CNIL a ainsi constaté des opérations de restauration ayant duré plus de 48 h, du fait du volume important de fichiers concernés.
La règle
Le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité des systèmes. Il doit également mettre en œuvre des moyens permettant de rétablir la disponibilité des données personnelles en cas d’incident (article 32 du RGPD).
Pour les établissements publics, et notamment les établissements de santé, la circulaire du Premier ministre du 17 juillet 2014, relative à la politique de sécurité des systèmes d’information de l’État, indique qu’un système de cloisonnement du système d’information en sous-réseaux de sécurité homogène doit être mis en place pour garantir la sécurité des réseaux locaux.
Les bonnes pratiques
- Disposer de sauvegardes « hors ligne » de données, à jour et testées, afin de permettre la restauration du système d’information depuis des sources saines, et conserver ces données dans un lieu différent, distant de l’environnement de production.
- Segmenter le système d’information selon des zones présentant chacune un niveau de sécurité homogène. Plus précisément, la mise en place d’un filtre entre le poste de l’utilisateur et les serveurs de l’organisme peut limiter la diffusion de l’attaque.
- Sensibiliser le personnel aux risques de sécurité et aux bonnes pratiques à suivre. En effet, la CNIL a constaté que ces attaques par rançongiciel résultaient très souvent du téléchargement d’un fichier malveillant reçu par hameçonnage, adressé sur une messagerie autre que celle de l’établissement, mais dont le message aurait été ouvert depuis un poste de travail interne à l’établissement de santé.
- Mettre à jour les principaux outils utilisés : système d’exploitation, antivirus, lecteur PDF, navigateur, etc. et, si possible, désactiver les macros des solutions de bureautique qui permettent d’effectuer des tâches de manière automatisée. Cette règle permet d’éviter la propagation des rançongiciels via les vulnérabilités des applications.
- Créer un compte « utilisateur », qui sera l’unique compte accessible une fois l’ordinateur configuré. Cette règle ralentira l’attaquant dans ses actions malveillantes et évitera la compromission de comptes « administrateur » aux privilèges étendus sur le système.
- Mettre en œuvre un mécanisme de détection de l’altération massive des fichiers (en particulier par chiffrement) ou restreindre les programmes autorisés à être exécutés afin d’empêcher le chiffrement de serveurs de fichiers ou de bases de données par un rançongiciel.
- Limiter les droits d’écriture sur les serveurs de fichiers afin de réduire le volume de données susceptibles d’être chiffrées par un rançongiciel.