Comprendre la menace ransomware

• Les principaux rançongiciels et leur évolution depuis AIDS/PC Cyborg (1989) à aujourd’hui.
• Évolution de la menace : de la simple à la quadruple extorsion.
• Typologie des entreprises impactées.
• Les 10 mythes du ransomware.
• Les motivations des cybercriminels (l’argent n’est pas toujours le but…).
• Qui sont les grands groupes de cybercriminels spécialisés dans ce domaine ?
• L’écosystème cybercriminel (Groupe RaaS, affiliés, IAB, BPHS, dark web).
• Anonymat et modus operandi des cybercriminels.
• Le modèle économique du Ransomware as a Service (RaaS).
• L’évolution du nombre d’attaques ces 3 dernières années.

Impact des cyberattaques pour les entreprises

• Quels sont les coûts directs et indirects d’une cyberattaque ?
• Quel est le montant moyen/médian des rançons ? Comment est-il calculé ?
• Peut-on négocier ? Quelle est la marge de manœuvre ? Autres intérêts d’une négociation.
• Faut-il payer les rançons ? La position de l’ANSSI est-elle toujours applicable ?
• Comment se passe la récupération des données après paiement ?
• Le débat en France autour de la prise en charge des rançons par les assureurs et la LOPMI 2023.

Aspects juridiques

• Les principales lois françaises en matière de cybercriminalité et de cybersécurité.
• Les obligations réglementaires en matière de protection des données.
• Quelles sont les sanctions encourues par les cybercriminels ?
• Le traitement judiciaire de la cybercriminalité en France, en Europe et dans le monde.
• Comment s’organise la lutte mondiale contre la cybercriminalité : convention de Budapest et MLAT.
• Quel est l’efficacité des investigations et des poursuites judiciaires en dehors de l’Hexagone ?

Anatomie d’une attaque moderne par rançongiciel

• Description d’une attaque de type "Big Game Hunting".
• Déroulement de la kill chain : de l’accès initial à l’extorsion.
• Analyse des tactiques, techniques et procédures utilisées (TTP) avec le framework MITRE ATT&CK.
• Les cyberattaques médiatisées WannaCry et NotPetya.
• Attaques sur OIV (Colonial Pipeline), fournisseur (Kaseya) ou hôpital (CHSF Corbeil-Essonnes).

L’accès initial au système d’information

• Identifier la surface d’attaque de son entreprise.
• Les 9 techniques utilisées pour obtenir un accès initial.
• Les attaques par ingénierie sociale (spear phishing, deepfake phishing…).
• La problématique des accès distants (RDP et VPN).
• Les principales vulnérabilités logicielles exploitées par les rançongiciels (CVE, CVSS et EPSS).
• Les attaques via la chaine d’approvisionnement (supply chain).

Identifier les principales solutions de sécurité

• Pourquoi et comment sensibiliser les utilisateurs ?
• L’apport des solutions EPP par rapport aux antimalwares traditionnels.
• Comprendre le rôle et la complémentarité des solutions EPP, EDR, NDR et XDR.
• Le renforcement de la sécurité d’Active Directory (AD).
• La segmentation des réseaux et l’application du principe de Zero Trust sur AD et les sauvegardes.
• Le scanning des vulnérabilités et la gestion des correctifs de sécurité.
• La gestion du risque ransomware via la supply chain.
• Quelles sont les mesures de sécurité les plus efficaces ?
• Évaluation du ROM (ratio efficacité/facilité d’exploitation) des principales solutions de sécurité.

Assurer la cyberrésilience de son entreprise

• Réaliser un Business Impact Analysis spécifique à la menace ransomware.
• Les plans de continuité (PCA) et de reprise d’activité (PRA).
• Pourquoi la règle de sauvegarde 3-2-1 n’est-elle plus suffisante ?
• La sécurisation des backups (chiffrement, immuabilité, mode offline).
• Les contrats de cyberassurance (garanties, coûts, exclusions et limites).

Gestion d’une crise ransomware

• Organisation de la cellule de crise.
• Les principales étapes d’une crise ransomware.
• Communication interne et externe : quel niveau de transparence ?
• Le secret de l’enquête et application de l’article 11 du CPP.
• Les principales erreurs à éviter dans la gestion d’une crise ransomware.
• Clôture de crise et Retex.