1 – Histoire des ransomwares

• Les principaux rançongiciels et leur évolution depuis AIDS / PC Cyborg (1989) à aujourd’hui
• Les motivations des cybercriminels – L’argent n’est pas toujours le but
• Qui sont les grands groupes de cybercriminels spécialisés dans ce domaine ?

2 – Comprendre la menace ransomware

• Anonymat et modus operandi des cybercriminels
• Le rôle des crypto-monnaies (Bitcoin, Dash, Monero, Zcash,…) dans les attaques
• Au menu des attaques : simple, double, triple et quadruple extorsion
• L’inquiétante progression du Ransomware as a Service (RaaS)
• Les vendeurs d’accès initiaux (IAB)
• Rôles respectifs IAB vs groupes cybercriminels

3 – Les rançons

• Quel est le montant des rançons ? Comment est-il calculé ?
• Peut-on négocier ? Quelle est la marge de manœuvre ? Autres intérêts d’une négociation
• Faut-il payer les rançons ? La position de l’ANSSI est-elle toujours applicable ?
• Que représentent les rançons dans le montant total du préjudice subi ?
• Le débat autour de la prise en charge des rançons par les assureurs – Iimpact sur la menace

4 – Aspects juridiques

• Les obligations réglementaires de protection des données
• Quelles sont les sanctions encourues par les cybercriminels ?
• Lutte mondiale contre la cybercriminalité : les trous dans la raquette juridique
• Dépôt de plainte et procédure judiciaire

5 – Anatomie d’une attaque moderne par rançongiciel

• Description d’une attaque de type « Big Game Hunting »
• Déroulement de la kill chain : de l’accès initial à l’extorsion
• Analyse de la cyberattaque avec le framework MITRE ATT&CK

6 – Quelques cyberattaques célèbres et retours d’expérience

• Les cyberattaques Wannacry et Notpetya
• Les attaques sur un OIV (Colonial Pipeline) et sur une ville (Baltimore)
• Les attaques sur les hôpitaux français (CH Dax, CHU Rouen et CHFS Corbeil)

7 – Les principaux vecteurs d’infection initiale

• Les techniques de Phishing utilisées dans le ransomware
• Accès RDP et passerelles VPN
• Les principales vulnérabilités logicielles exploitées par les rançongiciels

8 – Prévention de la menace

• Pourquoi et comment sensibiliser les utilisateurs ?
• Le déploiement de solutions EDR, NDR et XDR
• Le renforcement de la sécurité d’Active Directory (AD)
• Le scanning des vulnérabilités et la gestion des correctifs de sécurité
• La protection de la messagerie électronique

9 – Mesures détectives et correctives

• La détection des attaques via un SOC et les outils de SIEM
• La segmentation des réseaux
• La sécurisation des backup (accès, mode offline)
• Les plans de continuité (PCA) et de reprise d’activité (PRA)
• Les contrats de cyberassurance

10 – Gestion d’une crise ransomware

• Organisation de la cellule de crise
• Les principales étapes d’une crise ransomware
• La communication interne et externe
• Clôture de crise et RETEX