6 étapes pour limiter les pertes et dommages causés par les ransomwares

Les ransomwares sont une menace pour toutes les sociétés. Il est important que les équipes IT en prennent conscience et adaptent leur stratégie de protection des données en conséquence.

Apparus pour la première fois dans les années 90, les ransomwares, également appelés rançongiciels, sont devenus un véritable fléau pour les individus et les entreprises. Selon le rapport McAfee publié en 2016 sur les menaces existantes, le nombre total de ces logiciels malveillants prenant en otage les données des utilisateurs et des entreprises a ainsi augmenté de plus de 140% depuis 2014.

La prévention et la vigilance s’imposent donc, face à des cybercriminels qui ne cessent d'inventer de nouveaux moyens d'accéder aux informations sensibles et aux fichiers critiques. Gartner indique dans un récent rapport que « les techniques existantes de prévention contre les virus ne sont pas assez fiables pour détecter et stopper tous les rançongiciels ».1 Sachant cela, les sociétés doivent planifier et mettre en place une véritable stratégie de prévention qui les aidera à identifier les signes d'une attaque et à gérer la situation.

Stratégie de lutte contre les ransomwares en six étapes :

1. Définir une durée acceptable de blocage des activités et évaluer la potentielle perte de données.

Définir des objectifs de temps de reprise d’activité (RTO) et des objectifs de point de reprise (RPO) est la première étape à valider dans le cadre d’une attaque de ransonware. Cette étape est cruciale pour déterminer la capacité à restaurer son activité en ligne sans payer les pirates informatiques. Pour définir ces objectifs, il faut se demander combien de temps la société peut rester inactive en attendant la restauration et combien d'heures de données critiques la société peut se permettre de perdre.

2. Choisir une solution adaptée aux RTO et aux RPO définis.

Après avoir défini les RTO et RPO, il faut trouver une solution répondant à ces exigences pour pouvoir assurer la restauration de l’infrastructure et son bon fonctionnement. D'après le Ponemon Institute, le coût moyen d'une indisponibilité de l'infrastructure informatique est en moyenne de 7900 $ par minute. Cela signifie que la société perd de l'argent à chaque seconde qui passe, en attendant le retour à la normale. Il existe des plans de protection des données disponibles pour tous profils de sociétés, qu’elle que soit leur taille et leur budget. L'important est de s'assurer que la stratégie de protection des données choisie est adaptée et qu'elle est en mesure de restaurer l'infrastructure dans les délais souhaités.

3. Évaluer des solutions intégrées pour protéger les succursales et les sites distants.

Avoir plusieurs solutions de sauvegarde et de reprise sur sinistre ne garantit pas nécessairement une meilleure protection des données. Gartner affirme dans son dernier Magic Quadrant sur les logiciels de sauvegarde et de reprise sur sinistre pour les datacenters, que « les appliances intégrées sont fortement recommandées pour s'épargner l'obligation de dimensionner et d'acquérir du matériel supplémentaire et éviter la complexité qui y est parfois associée. » La complexité augmente à chaque ajout de nouvelle solution. Il semble préférable de simplifier son plan de protection en choisissant des solutions intégrées, adaptées à son environnement. Les architectures ROBO notamment (bureaux distants et succursales), ne disposent généralement pas d'une protection suffisante, en raison d’effectifs spécialisés sur le terrain peu nombreux, voire inexistants, et du coût élevé de la protection des données sur les sites distants. Des fonctions de protection intégrées aident à soulager ce type d’architecture et à garantir une efficacité optimale.

4. Informer et former les collaborateurs de la société.

Le travail en silos fermés conduit souvent à des situations d’échec. Les équipes IT doivent s'assurer que tous les collaborateurs connaissent les enjeux et maîtrisent les actions à engager en amont et pendant une attaque de ransomware. La pédagogie est importante, non seulement pour empêcher les ransomwares de pénétrer les systèmes, mais également pour les stopper rapidement une fois l'attaque lancée. Les ransomwares infiltrent généralement le système suite une invitation involontaire d’un collaborateur qui clique sur un lien infecté. Former les collaborateurs aux ransomwares est primordial pour se défendre contre les attaques : distinguer les différents types de ransomwares, comprendre les techniques de pénétration dans le système, se tenir informé des cas concrets récents, etc. Un des premiers conseils à appliquer pour éviter une infection par rançongiciel serait de ne pas ouvrir les pièces jointes d’emails lorsque la source n'est pas connue.

Une attaque de ransomware se caractérise le plus souvent par le verrouillage de fichiers, de dossiers et d'applications jusqu'à ce que la somme demandée soit réglée aux pirates informatiques en bitcoins. Souvent, les attaques sont lancées sous l'identité d'un organisme gouvernemental ou d'une autorité policière qui accuse le propriétaire de l'ordinateur d'une activité criminelle et exige qu'un paiement soit effectué dans un certain délai, sans quoi l'utilisateur sera appréhendé. Il est important d'identifier rapidement les attaques pour pouvoir lancer le processus de restauration dès que possible.

6. S'assurer que la solution choisie est assez simple pour permettre un retour en ligne rapide des systèmes.

Il est important d'avoir une solution facile à utiliser en cas d'attaque de ransomware. Selon le Magic Quadrant de Gartner sur les logiciels de sauvegarde et de reprise sur sinistre pour les datacenters, une interface intuitive et des solutions de sauvegarde intuitives sont utiles, car elles proposent des options basées sur un assistant et requièrent peu de formation. Souvent, la facilité d'utilisation n'est pas un critère prépondérant. Pourtant, sachant que l'indisponibilité de l'infrastructure informatique coûte 7900 $ par minute à votre société, chaque seconde compte et quelques clics peuvent faire la différence.

Les ransomwares sont une menace pour toutes les sociétés. Il est important que les équipes IT en prennent conscience et qu'elles adaptent leur stratégie de protection des données en conséquence. Elles doivent veiller à minimiser les temps d'indisponibilité en cas d'infection et adopter une stratégie de protection des données adaptée à leurs RTO et RPO. Les six étapes décrites ci-dessus permettent déjà de limiter les dégâts !

1 Gartner, Use These Five Backup and Recovery Best Practices to Protect Against Ransomware, 8 juin 2016