Comment ne pas être la prochaine victime d’une prochaine attaque de ransomware

En 2018, nous avons assisté à l’une des attaques de ransomware les plus dévastatrices jamais constatées. Quelque 200 000 ordinateurs dans 150 pays ont été victimes d’une attaque mondiale de ransomwares à une échelle sans précédent.

Au Royaume-Uni, le National Health Service (NHS) figure parmi les victimes. Les services ont été grandement perturbés. De nombreux hôpitaux ont été contraints d’annuler des traitements et des consultations. 

L’épidémie de ransomware

Si une attaque de cette ampleur est effectivement inédite, le ransomware n’est pas nouveau en soi. On connaît son existence depuis plusieurs décennies. Ce qui est nouveau, toutefois, c’est le degré de dépendance de la plupart des entreprises vis-à-vis des applications IT et des données. Plus l’on compte sur les applications et les données pour délivrer des services d’importance stratégique, plus l’occasion est belle pour les cybercriminels.  
Selon le groupe Cyber Edge, 61% des entreprises ont été victimes d’une attaque de ransomware l’an dernier. Un tiers de ces victimes ont reconnu avoir payé pour récupérer leurs données. L’an dernier, le FBI estimait que les versements de rançons approchaient déjà 1 milliard de dollars en 2016 et que la tendance est à la hausse ! 1 milliard de dollars versés à des criminels simplement parce que les victimes n’avaient aucun moyen d’accéder à leurs données ou de les récupérer pour pouvoir poursuivre leur activité ou délivrer des services d’importance critique.

Quelques mesures pratiques à mettre en place immédiatement

On pourrait parler indéfiniment de l’importance de protéger la sécurité de votre réseau, de mettre à jour tous les systèmes, de sensibiliser les utilisateurs et d’investir dans la solution la plus sophistiquée de détection et de prévention des menaces. Tout ceci revêt une importance capitale. Mais, l’histoire a maintes fois prouvé que peu importe l’impression que vous avez d’être suffisamment protégé, il n’est pas toujours possible de combattre les cybercriminels.
Ce qui est plus important encore, à mon sens, c’est de s’assurer que l’on dispose d’une stratégie de restauration permettant de rétablir les services vitaux avec une perte de données minimale et zéro impact sur les utilisateurs, même si vous êtes victime d’une attaque de ransomware ultra sophistiquée.
J’aime que les choses soient simples. Aussi concernant la sauvegarde et la restauration dans le contexte des ransomwares, je pense qu’il y a trois choses simples que l’on peut faire pour s’assurer de ne jamais verser un dollar à des criminels ou risquer de nuire à sa réputation pour avoir été victime de la dernière cyberattaque.

1. Protégez vos données fréquemment

Ceci peut sembler évident. Mais je ne parle pas d’effectuer une sauvegarde complète chaque jour. Il s’agit plutôt de prendre des instantanés en continu toute la journée, à intervalles réguliers. Heureusement, de nombreux produits existent qui proposent cette fréquence de protection au service IT. Par exemple, il est possible de configurer des produits comme Rapid Recovery pour qu’ils prennent des instantanés toutes les cinq minutes au besoin. Si vous le vouliez, vous pourriez prendre jusqu’à 288 instantanés dans une journée de 24 heures. Ainsi, en cas d’attaque de ransomware, le risque se limiterait à perdre l’équivalent de 5 minutes de données.

2. Réduisez vos délais de restauration

Par le passé, on pouvait tolérer des accords de niveau de service (SLA) de plusieurs heures ou plusieurs jours pour la restauration d’applications métier et de données. C’est révolu ! Les exigences des utilisateurs et des professionnels en terme de disponibilité des applications sont montées en flèche ces dernières années. On estime que 35% des serveurs ont un SLA de reprise de moins de 15 minutes. 

Un article de recherche de V3 (The Cost of Doing Nothing) confirme que 77% des équipes IT s’inquiétaient de ne pouvoir tenir les objectifs de restauration des données de leur entreprise avec les stratégies et les outils à leur disposition. Heureusement, la technologie existe qui permet au service IT de raccourcir ses délais de restauration à quelques minutes. 

A titre d’exemple, Rapid Recovery utilise une fonction baptisée Virtual Standby qui crée une VM en miroir actualisée en continu pour refléter la machine de production. La VM de secours pourrait se trouver au même endroit, sur un site distant ou même dans le cloud. Si le serveur principal tombe en panne suite à une défaillance ou à une attaque, alors la VM de secours s’active et le service peut revenir à la normale en quelques minutes.

3. Assurez-vous que les données puissent être restaurées

Un vieil ami à moi m’a dit une fois "Je n’ai jamais vu personne se faire virer pour n’avoir pas fait de sauvegarde, mais j’en ai vu perdre leur emploi faute de pouvoir restaurer les données". Faire des sauvegardes fréquentes, c’est une chose, mais les sauvegardes sont inutiles si elles ne permettent pas des restaurations efficaces.

Pendant des années, les équipes IT se sont plaint d’outils de sauvegarde et de restauration de données qui tombaient en panne trop souvent. De nombreuses entreprises effectuent régulièrement des tests de reprise après sinistre pour simuler un sinistre et vérifier que tous les systèmes, les applications et les données puissent effectivement être rétablis en cas d’attaque majeure ou de panne. Une autre étape simple consiste à utiliser des outils qui testent et vérifient automatiquement que chaque sauvegarde puisse être restaurée. Par exemple, Rapid Recovery dispose d’une fonction interne appelée Verified Recovery qui teste automatiquement chaque sauvegarde en réalisant une restauration test en coulisses. Le logiciel monte automatiquement chaque instantané et vérifie que les données sont intactes et qu’il est possible de les restaurer au besoin.

Il y a quand même une bonne nouvelle

Oui, les attaques de ransomwares sont en progression et tout le monde est exposé au risque d’une attaque, les grands groupes mondiaux comme les consommateurs. Mais il y a une bonne nouvelle. 

Il est possible d’adopter une stratégie de reprise vous garantissant que vous n’aurez jamais à verser un centime aux cybercriminels. En optant pour des outils qui vous permettent de protéger fréquemment vos données, de réduire les SLA de restauration, de vérifier les sauvegardes, alors vous pourrez dormir du sommeil du juste sachant que même dans le pire scénario, si vous êtes ‘victime’ d’une attaque, vous pourrez rétablir le fonctionnement complet de vos systèmes et l’accès en ligne à vos applications et données en quelques minutes, sans impact sur les utilisateurs, comme si l’attaque ne s’était jamais produite.