ITSkillsCenter
Cybersécurité

Comment protéger votre entreprise contre les ransomwares

7 min de lecture

Ransomware : la menace numero un pour les entreprises

Un ransomware (rancongiciel) est un logiciel malveillant qui chiffre vos fichiers et exige une rancon pour les dechiffrer. Au Senegal, les PME sont des cibles privilegiees car elles investissent peu en securite et paient souvent la rancon par desespoir. Le cout moyen d’une attaque ransomware pour une PME en Afrique de l’Ouest depasse 5 millions de FCFA quand on cumule la rancon, l’arret d’activite et la reconstruction.

Comment fonctionne un ransomware

Les 5 phases d’une attaque

  1. Infection : le malware entre via un email de phishing (piece jointe infectee), un site compromis, un logiciel pirate ou une faille non corrigee
  2. Installation : le ransomware s’installe silencieusement et peut rester dormant pendant des jours
  3. Propagation : il se repand sur le reseau local, infectant les partages reseau, NAS, serveurs et sauvegardes accessibles
  4. Chiffrement : tous les fichiers sont chiffres (documents, photos, bases de donnees). Les extensions changent (.locked, .encrypted, .ryuk)
  5. Rancon : un message s’affiche demandant un paiement en Bitcoin ou en cryptomonnaie pour obtenir la cle de dechiffrement

Types de ransomware

Type Fonctionnement Exemples connus Gravite
Crypto-ransomware Chiffre les fichiers WannaCry, LockBit, Conti Critique
Locker Bloque l’acces au systeme WinLocker, Police Ransomware Moyen (pas de perte de donnees)
Double extorsion Chiffre ET vole les donnees (menace de publication) REvil, Maze, BlackCat Tres critique
RaaS Ransomware-as-a-Service (vendu comme un outil) LockBit, BlackBasta En hausse

Vecteurs d’infection courants au Senegal

Vecteur Description Frequence locale
Email phishing Piece jointe .doc, .xls, .pdf ou .zip avec macro malveillante Tres eleve
Logiciels pirates Cracks et keygens telecharges qui contiennent le ransomware Tres eleve (Office, Photoshop, Sage pirates)
RDP expose Bureau a distance accessible depuis Internet avec mot de passe faible Eleve (serveurs VPS mal configures)
Cles USB infectees Cle USB trouvee ou partagee contenant le malware Courant
Sites compromis Sites WordPress pirate servant de vecteur de telechargement En hausse
Failles non corrigees Systemes non mis a jour (Windows, plugins WordPress) Tres eleve

Point critique : l’utilisation massive de logiciels pirates au Senegal est le vecteur numero un. Un crack pour Microsoft Office ou Sage peut contenir un ransomware qui chiffrera tous vos fichiers comptables.

Prevention : les 10 mesures essentielles

1. Sauvegardes deconnectees (la protection ultime)

La seule garantie contre un ransomware est une sauvegarde recente et HORS LIGNE :

# Strategie de sauvegarde anti-ransomware

# Sauvegarde quotidienne vers un disque externe
# QUE VOUS DECONNECTEZ apres la sauvegarde
# Le ransomware ne peut pas chiffrer un disque debranche

# Script de sauvegarde Windows (PowerShell)
$source = "C:\Donnees-Entreprise"
$dest = "E:\Sauvegardes\$(Get-Date -Format yyyy-MM-dd)"
robocopy $source $dest /MIR /XO /R:1 /W:1

# Sauvegarde base de donnees MySQL
mysqldump -u root -p --all-databases > "E:\Sauvegardes\db-$(Get-Date -Format yyyy-MM-dd).sql"

# IMPORTANT : debranchez le disque externe apres la sauvegarde !
# Un ransomware chiffrera aussi les disques connectes

Strategie 3-2-1 anti-ransomware :

  • 3 copies de vos donnees critiques
  • 2 supports differents (disque dur local + cloud ou NAS)
  • 1 copie deconnectee (disque externe debranche ou bande magnetique)

2. Mises a jour systematiques

# Windows : activer les mises a jour automatiques
# Parametres > Windows Update > Options avancees
# Activer "Recevoir les mises a jour des lors qu'elles sont disponibles"

# WordPress : mises a jour automatiques
# Dans wp-config.php :
define('WP_AUTO_UPDATE_CORE', true);

# Plugins et themes : activer les mises a jour auto
# Tableau de bord > Extensions > Activer les mises a jour auto pour chaque plugin

3. Protection email

  • Bloquer les pieces jointes executables (.exe, .bat, .vbs, .js, .scr, .ps1)
  • Desactiver les macros dans Office par defaut (Fichier > Options > Centre de gestion de la confidentialite > Desactiver toutes les macros avec notification)
  • Utiliser un filtre anti-spam efficace (Google Workspace ou Microsoft 365 filtrent bien)
  • Former les employes a reconnaitre le phishing

4. Eliminer les logiciels pirates

C’est specifique mais crucial au Senegal :

  • Remplacez Microsoft Office pirate par Google Workspace (gratuit) ou LibreOffice (gratuit)
  • Remplacez Photoshop pirate par GIMP (gratuit) ou Canva
  • Utilisez les versions gratuites legales quand elles existent
  • Le cout d’une licence est toujours inferieur au cout d’une attaque ransomware

5. Securiser RDP

# Si RDP est necessaire, ne l'exposez JAMAIS directement
# Option 1 : le desactiver
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 1

# Option 2 : le restreindre a des IP specifiques
# Via le pare-feu Windows
New-NetFirewallRule -DisplayName "RDP Bureau Only" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress "41.82.xxx.xxx" -Action Allow

# Bloquer RDP pour tout le reste
New-NetFirewallRule -DisplayName "RDP Block All" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block

# Option 3 : utiliser un VPN pour acceder au RDP
# Le RDP n'est accessible qu'une fois connecte au VPN

6-10. Autres mesures essentielles

  • 6. Antivirus a jour : Windows Defender est suffisant s’il est maintenu a jour. Activez la protection en temps reel et la protection contre les ransomwares (Acces controle aux dossiers)
  • 7. Segmentation reseau : separez le reseau comptabilite du reseau general. Un ransomware dans le PC d’un commercial ne doit pas atteindre le serveur Sage
  • 8. Moindre privilege : les employes ne doivent pas etre administrateurs de leur PC. Un ransomware a les memes droits que l’utilisateur qui l’execute
  • 9. Filtrage web : bloquer les sites malveillants connus avec un DNS filtrant (CleanBrowsing, OpenDNS)
  • 10. Plan de reponse : avoir une procedure ecrite de ce qu’il faut faire en cas d’attaque (voir section suivante)

Windows Defender : protection anti-ransomware integree

# Activer la protection contre les ransomwares dans Windows Defender
# Parametres > Securite Windows > Protection contre les virus
# > Gerer la protection contre les ransomwares
# > Activer "Dispositif d'acces controle aux dossiers"

# Via PowerShell :
Set-MpPreference -EnableControlledFolderAccess Enabled

# Ajouter des dossiers proteges
Add-MpPreference -ControlledFolderAccessProtectedFolders "C:\Donnees-Entreprise"
Add-MpPreference -ControlledFolderAccessProtectedFolders "D:\Comptabilite"

# Autoriser une application specifique (ex: Sage)
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files\Sage\sage.exe"

# Verifier le statut
Get-MpPreference | Select-Object EnableControlledFolderAccess

Que faire en cas d’attaque ransomware

Les 60 premieres minutes (critiques)

  1. DECONNECTEZ immediatement les machines infectees du reseau (debranchez le cable Ethernet, desactivez le WiFi). Chaque seconde compte pour limiter la propagation
  2. NE PAS eteindre les machines infectees (la RAM peut contenir des indices forensiques et parfois la cle de chiffrement)
  3. Alertez la direction et le responsable IT immediatement
  4. Identifiez le type de ransomware : photographiez le message de rancon et l’extension des fichiers chiffres
  5. Verifiez l’etendue : quelles machines et quels partages reseau sont touches ?
  6. Protegez les sauvegardes : deconnectez immediatement les disques de sauvegarde du reseau

Etapes de remediation

  1. Identifier le ransomware : utilisez id-ransomware.malwarehunterteam.com en uploadant le message de rancon ou un fichier chiffre. Cela identifie la variante et indique si un decrypteur gratuit existe
  2. Chercher un decrypteur gratuit : consultez nomoreransom.org (projet europol). De nombreux decrypteurs gratuits y sont disponibles
  3. Restaurer depuis les sauvegardes : si vos sauvegardes sont intactes, reformatez les machines infectees et restaurez
  4. Analyser et corriger : identifiez comment le ransomware est entre (email ? logiciel pirate ? RDP ?) et corrigez la faille avant de remettre en ligne

Faut-il payer la rancon ?

La reponse est NON, sauf en tout dernier recours :

  • 30% des victimes qui paient ne recoivent jamais la cle de dechiffrement
  • Payer encourage les attaquants et finance la cybercriminalite
  • Rien ne garantit que vos donnees n’ont pas ete copiees (double extorsion)
  • Vous devenez une cible preferee pour de futures attaques (« ils paient »)
  • Exception : si des vies ou la survie de l’entreprise en dependent ET qu’aucune sauvegarde n’existe, la decision revient a la direction

Cas pratiques au Senegal

Cas 1 : Cabinet comptable touche via Sage pirate

Un cabinet comptable a Dakar installe une version crackee de Sage. Le crack contenait un ransomware qui a chiffre toutes les bases de donnees comptables de 15 clients pendant la nuit. Aucune sauvegarde deconnectee. Rancon demandee : 2 Bitcoins (environ 50 millions FCFA). Le cabinet a perdu 3 mois de donnees comptables.

Lecon : n’utilisez jamais de logiciel pirate pour des donnees critiques. LibreOffice Calc ou Google Sheets sont gratuits pour la comptabilite de base.

Cas 2 : PME infectee par email

Un employe ouvre une piece jointe « Facture_Fournisseur.docx » qui contenait une macro malveillante. Le ransomware s’est propage via les partages reseau et a chiffre le serveur de fichiers. Mais l’entreprise avait un disque dur externe de sauvegarde debranche dans un tiroir, date de 3 jours. Restauration reussie avec perte minimale.

Lecon : les sauvegardes deconnectees sauvent des entreprises.

Outils gratuits anti-ransomware

Outil Type Fonction
Windows Defender Antivirus + anti-ransomware Protection en temps reel + acces controle aux dossiers
Malwarebytes (gratuit) Anti-malware Scan et suppression de malwares (version gratuite : scan a la demande)
No More Ransom Site web Decrypteurs gratuits pour de nombreux ransomwares
ID Ransomware Site web Identifier le type de ransomware a partir d’un echantillon
RansomFree (Cybereason) Protection proactive Detecte le comportement de chiffrement et le bloque

Checklist anti-ransomware pour PME

  • Sauvegardes quotidiennes avec au moins une copie deconnectee physiquement
  • Test de restauration des sauvegardes effectue ce trimestre
  • Mises a jour automatiques activees sur tous les postes et serveurs
  • Macros Office desactivees par defaut
  • Aucun logiciel pirate sur les machines de l’entreprise
  • RDP desactive ou accessible uniquement via VPN
  • Protection anti-ransomware Windows Defender activee
  • Employes formes a reconnaitre le phishing
  • Procedure de reponse aux incidents documentee et connue
  • Numeros d’urgence IT accessibles rapidement
#entreprise #protection #ransomware
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 350.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires