La sauvegarde : l'outil essentiel dans la lutte contre les ransomwares
Alors que le coronavirus faisait des ravages, les cyberattaques et les rançongiciels se sont multipliés, profitant de l'isolement des télétravailleurs et du manque de préparation des entreprises. La sauvegarde n'est plus une option.
La cybercriminalité ne fait jamais de pause. On l'a encore constaté pendant la crise sanitaire et économique mondiale du Covid-19. Ainsi, dès le premier jour de confinement en mars dernier, le Groupement d'Intérêt Public Action contre la Cybermalveillance (GIP ACYMA) et le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT), lançaient des appels au renforcement des mesures de vigilance en cybersécurité pendant l'épidémie du Covid-19.
Le GIP ACYMA et le CERT ont ainsi rappelaient les bonnes pratiques, les gestes élémentaires pour les professionnels et l’importance des sauvegardes pour lutter contre les cyberattaques.
En effet, alors que le coronavirus faisait des ravages, les cyberattaques et les ransomwares se sont multipliés, profitant de l’isolement des télétravailleurs et du manque de préparation des entreprises. Les cybercriminels semblaient suivre la propagation du Covid-19 à travers le monde avec cinq fois plus de cyberattaques que d’habitudes et trois fois plus d’arnaques par email selon les derniers chiffres des éditeurs de sécurité. "L’impact de la pandémie Covid-19 sur la cybercriminalité a été le plus visible et le plus frappant par rapport à d’autres activités criminelles", a d’ailleurs précisé Europol dans un rapport de mars 2020, rappelant ainsi à tous pourquoi la sauvegarde est plus que jamais essentielle dans la lutte contre les ransomwares.
De la sauvegarde à la restauration pour lutter contre les ransomwares
La sauvegarde n’est donc plus une option. Une étude de McAfee Labs Threats Report révèle une augmentation de 118% des attaques de ce type pour le seul premier trimestre 2019. Les prévisions pour 2020 devraient être bien en dessous de la réalité. Pourtant, le ransomware n’est pas une menace récente, puisque cette menace remonte aux années 90. Le phénomène a toutefois pris une ampleur sans précédent depuis les attaques WannaCry et NotPetya de 2017 qui avaient mis le monde en émoi. Et, depuis, la menace ne fait que croître. L’entreprise Honda vient encore d’en faire les frais avec l’arrêt partiel de sa production au Japon en juin dernier suite à l’attaque d’un ransomware.
Avec cette technique, les pirates exigent une rançon pour déverrouiller les données d’une entreprise que leur malware a préalablement chiffrées. Cette méthode d’attaque se perfectionne au fil des années comme le montre le récent piratage de Bouygues Construction. Au-delà du chiffrement des fichiers, les cybercriminels menacent désormais de rendre publiques les données exfiltrées. Les dommages potentiels sont alors démultipliés.
Des solutions sont possibles. Avec une approche web-scale grâce à une plateforme évolutive et souple, on-premise, cloud hybride ou multicloud. C’est ce que permet les solutions modernes de gestion des données.
L’offre actuelle des spécialistes de la gestion de données, repose aujourd’hui sur des solutions de cloud data management (CDM). Les plateformes se présentent ainsi sous forme d’appliances, des logiciels installables sur les gammes de serveurs type industrie ou de service SaaS. Elles assurent alors la gouvernance et la sécurisation en continu des données ainsi que la reprise après sinistre. Elles peuvent automatiser la protection des machines virtuelles (VM), des serveurs physiques (Windows, Linux et Unix), des databases et périmètres NAS via des niveaux d’engagement de service (SLA) et de restauration granulaire des données. Les entreprises peuvent alors concrètement sauvegarder, sécuriser et récupérer leurs données.
Un RTO proche de zéro
Dans cette lutte contre les cyberattaques, les solutions actuelles surveillent les systèmes et les données en étudiant leurs schémas comportementaux et en signalant toute activité qui s’écarte fortement du comportement de base, comme un chiffrement dû à un ransomware par exemple.
Grâce aux technologies associées à l’intelligence artificielle et au machine learning, en cas d’attaque avérée, les systèmes de protection adaptés identifient rapidement quelles applications et quels fichiers ont été impactés. Ils vont ensuite proposer de restaurer leur version non infectée la plus récente en détectant les points de restauration viables et rejouables. Selon l’indexation native des données à rejouer, le RTO (Recovery Time Objective) – qui peut être vu comme la durée maximale d’interruption admissible – est proche de zéro.
Conformité au RGPD
Ces réponses aux cyberattaques de type ransomwares sont aujourd'hui conformes aux impératifs de compliance et permettent de gérer celle-ci en facilitant la détection des données sensibles et leur gestion. Les solutions de protections modernes doivent être conformes au référentiel Common Criteria qui reprend un ensemble de normes. Internationalement reconnu. Ce référentiel a pour objectif d’évaluer de façon impartiale la sécurité des systèmes et des logiciels informatiques. La certification de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) repose sur ce référentiel.