{"id":388818,"date":"2024-12-06T14:52:35","date_gmt":"2024-12-06T14:52:35","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=388818"},"modified":"2025-04-07T08:20:17","modified_gmt":"2025-04-07T08:20:17","slug":"survivre-a-une-attaque-de-ransomware-entreprise-msp","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/fr\/blog\/survivre-a-une-attaque-de-ransomware-entreprise-msp\/","title":{"rendered":"Entreprise MSP : 6 cl\u00e9s pour survivre \u00e0 une attaque de ransomware dans votre base de clients"},"content":{"rendered":"

Des infections \u00e0 grande \u00e9chelle des clients \u00e9tant signal\u00e9es chaque semaine, les MSP doivent trouver un \u00e9quilibre entre la pr\u00e9vention et la planification de la r\u00e9ponse, afin d’\u00eatre pr\u00eats lorsque le pire se produira.<\/h4>\n

La semaine derni\u00e8re, nous avons eu le plaisir d’organiser un webinaire avec Kyle Hanslovan, PDG de Huntress Labs<\/a>, sur un sujet qui pr\u00e9occupe tout le monde : les ransomwares<\/a>. Plus pr\u00e9cis\u00e9ment, il s’agit d’incidents de ransomware o\u00f9 les attaquants ont compromis les MSP, utilis\u00e9 leurs informations d’identification pour d\u00e9tourner les outils logiciels l\u00e9gitimes du MSP et utilis\u00e9 ces outils pour d\u00e9ployer des ransomwares sur l’ensemble de leur base de clients.<\/p>\n

Kyle a personnellement travaill\u00e9 avec pr\u00e8s de 40 d\u00e9put\u00e9s qui ont \u00e9t\u00e9 victimes de ces attaques. Il a donc vu et entendu de premi\u00e8re main ce que vivent les propri\u00e9taires et les techniciens, et a appris ce qui s\u00e9pare ceux qui r\u00e9ussissent \u00e0 se remettre sur pied de ceux qui n’y parviennent pas.<\/p>\n

Si vous avez manqu\u00e9 le webinaire en direct, vous pouvez en regarder l’enregistrement \u00e0 tout moment ici.<\/a><\/p>\n

\"\"<\/a>
\nAvant de nous plonger dans les conclusions de Kyle, voici un bref aper\u00e7u de la situation : Ces attaques se sont rapidement intensifi\u00e9es depuis le mois de juin. Ils ont touch\u00e9 des MSP de toutes tailles, provoquant des temps d’arr\u00eat et des interruptions pour un large \u00e9ventail de clients MSP allant de 22 municipalit\u00e9s du Texas<\/a> \u00e0 des centaines de cabinets dentaires<\/a> \u00e0 travers les \u00c9tats-Unis.<\/p>\n

\"attaques<\/a><\/p>\n

Cliquez sur l’image pour agrandir<\/em><\/p>\n

Il est important de noter qu’\u00e0 l’exception des attaques de f\u00e9vrier impliquant un plugin ConnectWise ManagedITSync obsol\u00e8te pour Kaseya VSA, aucun de ces incidents ne semble avoir impliqu\u00e9 des attaquants exploitant une vuln\u00e9rabilit\u00e9 dans un logiciel MSP. Au lieu de cela, il s’agissait d’abuser d’informations d’identification faibles ou vol\u00e9es, que les attaquants utilisaient pour d\u00e9tourner le RMM ou l’outil d’acc\u00e8s \u00e0 distance utilis\u00e9 par le fournisseur de services de gestion de contenu.<\/p>\n

C’est pourquoi l’activation de l’authentification \u00e0 deux facteurs est largement consid\u00e9r\u00e9e comme un moyen de dissuasion efficace contre ces attaques.\u00a0<\/strong>De nombreux fournisseurs (dont NinjaOne<\/a>) ont d\u00e9j\u00e0 rendu l’authentification \u00e0 deux facteurs<\/strong>obligatoire pour leurs utilisateurs ou sont en train de le faire.<\/p>\n

 <\/p>\n

\n

Remarque\u00a0: Si vous utilisez un RMM ou un logiciel d’acc\u00e8s \u00e0 distance et que vous n’avez pas encore configur\u00e9 2FA, arr\u00eatez de lire et faites-le maintenant. La question n’est vraiment pas de savoir si<\/em> vous verrez une de ces attaques, mais quand.\u00a0<\/strong><\/h3>\n<\/blockquote>\n

 <\/p>\n

Puisque nous parlons de pr\u00e9vention, voici deux recommandations suppl\u00e9mentaires qui sont super basiques, mais incroyablement efficaces. En fait, ils peuvent vous aider \u00e0 vous prot\u00e9ger contre la plupart des attaques de ransomware les plus courantes aujourd’hui :<\/p>\n

    \n
  1. Assurez-vous que vous n’exposez pas RDP. <\/strong>Selon Coveware, RDP est le point d’acc\u00e8s initial le plus courant pour les attaquants de ransomware<\/a>, repr\u00e9sentant 59% des incidents qu’ils ont \u00e9tudi\u00e9s au deuxi\u00e8me trimestre 2019. Vous trouverez ici un excellent guide pour s\u00e9curiser l’acc\u00e8s RDP.<\/a><\/li>\n
  2. Bloquer les macros dans les documents Microsoft Office t\u00e9l\u00e9charg\u00e9s sur Internet.\u00a0<\/strong>Le deuxi\u00e8me vecteur d’attaque le plus populaire identifi\u00e9 par Coveware \u00e9tait les documents d’hame\u00e7onnage, et le type de leurre d’hame\u00e7onnage le plus courant reste un document Office con\u00e7u pour tromper l’utilisateur et lui faire activer les macros. C’est ainsi que les victimes sont infect\u00e9es par Emotet, qui d\u00e9ploie Trickbot, qui d\u00e9ploie Ryuk<\/a>, la variante de ransomware la plus active du deuxi\u00e8me trimestre 2019 selon Coveware. Le moyen le plus simple d’\u00e9viter tout cela ? Effectuez ce simple r\u00e9glage d\u00e8s maintenant.<\/a><\/li>\n<\/ol>\n

    Vous pouvez trouver un tas de choses suppl\u00e9mentaires que vous pouvez faire pour durcir vos syst\u00e8mes et vous garder en s\u00e9curit\u00e9 dans notre check-list de cybers\u00e9curit\u00e9 MSP 2019<\/a>, mais les trois choses ci-dessus sont simples, super critiques que vous devez absolument faire, baseline.<\/p>\n

    Sur ce, je vais quitter ma tribune. Car ce que je veux vraiment partager, ce sont les six choses sur lesquelles Kyle a dit que vous devriez vous concentrer maintenant pour vous assurer que vous \u00eates pr\u00eat \u00e0 agir rapidement si\/quand le $#*% frappe le ventilateur.<\/p>\n

    Mais d’abord…<\/p>\n

    Deux raisons pour lesquelles vous n’\u00eates peut-\u00eatre pas pr\u00eat<\/strong><\/h2>\n

    L’une des principales choses \u00e0 comprendre \u00e0 propos de ces attaques est qu’elles ne sont pas comme les autres auxquelles vous vous \u00eates peut-\u00eatre pr\u00e9par\u00e9s. Il s’agit d’une cat\u00e9gorie enti\u00e8rement diff\u00e9rente, avec une port\u00e9e et des implications diff\u00e9rentes. M\u00eame si vous disposez de proc\u00e9dures bien document\u00e9es pour aider vos clients \u00e0 faire face aux incidents li\u00e9s aux ransomwares, celles-ci ne seront, au mieux, que partiellement applicables dans ce cas.<\/p>\n

    Pourquoi ? Deux raisons \u00e0 cela :<\/p>\n

    1) Ce n’est pas eux, c’est vous<\/h3>\n
    \n

    Fatigu\u00e9 : Les MSP r\u00e9agissent aux ransomwares de leurs clients en se demandant ce qu’ils ont fait de stupide ?<\/p>\n

    C\u00e2bl\u00e9 : Les MSP r\u00e9agissent aux ransomwares de leurs clients en disant : \u00ab\u00a0Oh, $#*&…\u00a0\u00bb. Sommes-nous compromis ?\u00a0\u00bb ?<\/p>\n

    Renvoy\u00e9 : Vous, en tant que MSP (\u00e0 moins que vous ne sachiez quoi faire rapidement)<\/p>\n

    – Jonathan Crowe (@jonathanscrowe) 27 septembre 2019<\/a><\/p><\/blockquote>\n