Protection contre WannaCry pour de nombreuses applications

Protection contre WannaCry pour de nombreuses applications

De récents événements ont montré l'importance de protéger les systèmes contre l'accès non autorisé par des pirates ou des logiciels malveillants. Les appareils FL mGuard de Phoenix Contact protègent votre réseau industriel grâce à un pare-feu réactif, puissant et flexible.

Le nombre de cas de détournements de fichiers a augmenté dans le monde. C'est pourquoi nous avons décidé de répondre à quelques questions de base relatives à la cybersécurité et de prendre en considération les attaques par des logiciels malveillants. Vous pourrez ainsi mieux comprendre pourquoi la question du ransomware (rançongiciel) gagne en importance.

Qu'est-ce qu'un ransomware ?

Un ransomware est un logiciel malveillant destiné à obliger l'utilisateur de l'ordinateur touché à verser une somme d'argent pour récupérer l'accès à l'ensemble de son système ou à des fichiers qu'il aura alors chiffrés.

Dès que le logiciel malveillant s'est infiltré dans l'ordinateur, il est activé et provoque une panne de l'ensemble du système d'exploitation.

Comment fonctionne un ransomware ?

Capture décran de WannaCry  

Capture d'écran du ransomware WannaCry

Il existe deux types de ransomware. Leur fonctionnement se distingue par la présence ou non d'un chiffrement.

  • Prise de contrôle du système sans chiffrement des données
    En général, ce logiciel malveillant désactive le gestionnaire des tâches, bloque l'accès au registre et infecte le fichier EXPLORER.EXE, entraînant la disparition de toutes les icônes du bureau. Le logiciel vous empêche ainsi d'utiliser vos programmes.
  • Chiffrement des données du disque dur
    Ce type de logiciel malveillant chiffre les données de votre disque dur à l'aide de codes qui, sans connaissance du codage, sont quasiment impossibles à déchiffrer. Tant que le chiffrement ne concerne que les fichiers système, un antivirus peut récupérer le contrôle en les réinstallant. En revanche, lorsque l'ensemble du système d'exploitation, voire pire, vos données d'utilisateur, sont chiffrées par le programme, la seule solution est le formatage du disque dur qui entraîne la perte irréversible des données.

Des cibles potentielles ?

Tous les ordinateurs, smartphones et tablettes sur lesquels s'exécute un système d'exploitation (OS) sont des cibles potentielles pour un ransomware. Cela signifie que les applications hébergées par ces appareils, ou avec lesquelles ils communiquent, peuvent en être altérées.

Par exemple, dans le secteur de la santé, on a constaté que des appareils de radiographie, d'IRM etc. utilisaient pour partie d'anciens ordinateurs sous Windows non mis à jour.

Les systèmes de commande industriels sont un autre marché sur lesquels des processus stratégiques sont exécutés par des systèmes d'exploitation anciens et auxquels les correctifs de sécurité n'ont pas été appliqués. On retrouve dans cette catégorie les centrales, les installations hydrauliques et de traitement des eaux qui alimentent nos habitations en eau potable.

Trois mesures de protection des systèmes d'exploitation ayant fait leurs preuves

  • Correctif : la mesure la plus directe et la plus importante est de combler les failles du système d'exploitation par des mises à jour de sécurité (correctifs).
  • Segmentation réseau : l'utilisation de routeurs avec pare-feu intégré peut limiter le trafic de données issu des appareils de confiance et des autres. De plus, elle permet d'empêcher une diffusion horizontale d'un logiciel malveillant.
  • Protection du système d'exploitation : le fonctionnement d'un logiciel antivirus classique repose sur un système basé sur des signatures. Le moteur de l'antivirus compare les données et activités avec les signatures des virus gérées dans sa base de données. S'il trouve une correspondance, le programme supprime ou met en quarantaine le fichier. Ce modèle a deux points faibles. D'une part, les systèmes d'exploitation actifs doivent fréquemment mettre à jour la base de données de leur antivirus pour que ce dernier soit en mesure d'assurer leur protection adéquate en reconnaissant les nouveaux vers et virus. D'autre part, les nouveaux logiciels malveillants et virus exploitent les vulnérabilités dites "zero day" qui ne sont pas encore reconnues, leur signature n'existant pas encore dans la base de données. Des méthodes alternatives de sécurisation de l'intégrité système pour la protection des systèmes industriels ont ainsi gagné en importance.

Que peut apporter FL mGuard ?

La gamme mGuard  

La gamme mGuard

La gamme mGuard propose des dispositifs de sécurité robustes, comprenant notamment des fonctionnalités de pare-feu, de routage et de VPN (en option) pour les réseaux stratégiques. Ces fonctions de "troisième couche" haut de gamme sont d'importance capitale dans la protection de votre réseau industriel contre les attaques ou les interruptions imprévues, de même qu'en vue de la connexion au réseau de bureau ou d'entreprise.

Différents modèles de matériel couvrant une multitude de cas d'application offrent la flexibilité tout en assurant une protection et une connectivité mGuard complète. Le matériel comprend des appareils pour les techniciens du service extérieur, des appareils pour l'utilisation avec des ordinateurs de bureau/portables dans un environnement de bureau ainsi que des modèles robustes pour des applications industrielles avec interfaces fibre optique et cuivre, connectivité Gigabit, format PCI et autorisations pour zones dangereuses. De plus, la fonction CIFS Integrity Monitoring vous propose une alternative aux solutions antivirus classiques.

CIFS Integrity Monitoring vérifie régulièrement les systèmes Windows pour savoir si certaines données, comme .exe ou .dll, ont été modifiées par rapport à leur statut de référence. Si des fichiers du système d'exploitation Windows ont été modifiés ou supprimés ou qu'un fichier a pénétré dans un dossier surveillé, mGuard émet une alerte par e-mail, trap SNMP ou avertissement de protocole. Les collaborateurs du développement, de la maintenance ou de l'informatique peuvent alors mettre en œuvre des mesures correctives.

Découvrez plus d'informations sur la cybersécurité ainsi que nos produits dédiés à la sécurité des réseaux industriels.

PHOENIX CONTACT AG

Zürcherstrasse 22
CH-8317 Tagelswangen
+41 (0) 52 354 55 55