Ransomware : et si les sauvegardes devenaient une porte dérobée ?

Si la prévention reste la meilleure stratégie contre les ransomwares, il n'est pas toujours possible d'y avoir recours en raison de la réalité du paysage des menaces actuel. Pourtant, il est primordial de protéger en priorité les sauvegardes pour ne pas qu'elles deviennent une porte d'entrée dérobée.

Les ransomwares peuvent causer des dommages importants, nuire à la marque et la réputation de l’entreprise, mais également avoir un impact financier sur elle. Le coût des dommages liés aux ransomwares, à l’échelle mondiale, devrait s’élever à 20 milliards de dollars en 2021, selon le dernier rapport publié par Cybersecurity Ventures

Les projections de Cybersecurity Ventures révèlent également qu’une entreprise sera affectée par une attaque ransomware toutes les 11 secondes en 2021. Sachant que tous les systèmes informatiques sont vulnérables aux intrusions, les entreprises doivent se préparer à affronter des vagues continues de cyberattaques et établir un plan de reprise en cas de scénario catastrophe.

En disposant de sauvegardes hors site et hors ligne et d’un solide dispositif de reprise après incident, les entreprises auront les moyens de restaurer des données chiffrées en cas d’attaque. Toutefois, compte tenue de la multitude des risques liés aux ransomwares, les entreprises ont le devoir de constituer un plan de prévention et de s’assurer que leurs données de sauvegarde ne puissent pas être utilisées contre elles.

Des menaces de plus en plus perfectionnées

On observe aujourd’hui une fragmentation des attaques de ransomwares. Les responsables de la sécurité des systèmes d’information (RSSI) les associent principalement à du chiffrement de données sensibles ou stratégiques par des agents malveillants. Dans ce scénario, en payant une rançon, l’entreprise est sensée récupérer des fichiers déchiffrés sous une forme exploitable. Les RSSI doivent pourtant se préparer à d’autres menaces : en fonction des préférences des cyberattaquants, les données peuvent être aussi bien chiffrées que téléchargées. Dans ce cas, la rançon aura pour but d’empêcher la fuite, dans le domaine public, d’informations potentiellement sensibles.

Face à ces menaces fragmentées, mettre en place une défense cohérente s’avère de plus en plus difficile. Les entreprises s'efforcent de développer une meilleure perception de ce qui constitue un environnement sûr, pour être plus à même de détecter des activités suspectes et malveillantes, et surtout d’accélérer leur temps de réponse.

Lorsqu’il est utilisé intelligemment, le chiffrement est également un point névralgique pour les entreprises ; en effet, si les menaces malveillantes ne sont pas en mesure de voir les données de l’entreprise, il leur est plus difficile de lui nuire. Le rapport Privacy in the Internet Trends publié par Duo met en exergue le fait que 87% du trafic internet est chiffré, et ce chiffre est en constante augmentation. En revanche, il est impossible de savoir quelle part des données d’entreprise est chiffrée. Dans son étude "IoT in Enterprise", Zscaler indique que 91,5% du trafic sur les réseaux d’entreprise IoT n’utilise pas le cryptage SSL. Ces chiffres mettent donc en évidence l’existence d’un écart conséquent entre la manière dont les entreprises exploitent le chiffrement par rapport aux principales plateformes web et fournisseurs de services.

Les cybercriminels ciblent en priorité  les sauvegardes

L'entreprise peut être exposée à des attaques dévastatrices par un seul point d'entrée vulnérable. Pour renforcer les défenses des entreprises contre les ransomwares et les menaces internes, il existe un domaine où le chiffrement est essentiel : le chiffrement nearline des sauvegardes de données. Selon un récent rapport, les cybermenaces font partie des principaux défis que les entreprises françaises vont devoir relever au cours des 12 prochains mois. En tant que données "dormantes", les sauvegardes et les données archivées sont davantage négligées par les équipes informatiques et sont donc davantage ciblées. Cependant, le même rapport montre l'insatisfaction des besoins fondamentaux en matière de sauvegarde, avec près des deux tiers (65%) des entreprises françaises déclarant un "déficit de protection", c'est-à-dire la quantité de données qu'une entreprise a la possibilité de perdre par rapport à la fréquence à laquelle elle les protège. Les cyberattaquants peuvent alors utiliser cette tendance pour faire chanter les entreprises s'ils parviennent à accéder à l’ensemble de leur système de sauvegardes. Les entreprises doivent adopter une gestion des données efficace, à commencer par le chiffrement des sauvegardes, surtout si les bandes sont stockées hors site ou lorsque les données sont transférées via internet. Le but est de s'assurer que leurs sauvegardes ne se retournent pas contre elles en devenant une porte d'accès dérobée à leurs données. Pour être efficace, le chiffrement des données doit être réalisé au plus près du processus de sauvegarde.

Des sauvegardes de plus en plus sécurisées

Le stockage de sauvegarde ultra-résilient demeure la forme de stockage la plus efficace pour se protéger efficacement contre les ransomwares car il comprend l'isolation logique ou physique des données, appelé "Air gap", qui les rend inatteignables. Il existe plusieurs options pour y parvenir. Bien qu’elle s'avère imbattable en matière de sécurité, de portabilité, de fiabilité et de coûts, l’utilisation des bandes de sauvegarde hors ligne, est souvent considérée comme obsolète et inefficace.

La deuxième voie est celle que propose l'offre de cloud public AWS S3 ainsi qu’un certain nombre de systèmes de stockage compatibles S3 (à la fois sur site et en tant qu’offre de cloud public) : l'immuabilité des sauvegardes dans le cloud. Cela signifie qu'elles ne peuvent pas être supprimées ni par un ransomware, ni par un utilisateur malveillant ni même un accident.

Les RSSI cherchent continuellement un compromis entre praticité et sécurité. En plus des nombreux besoins en matière d’investissement liés à leur transformation digitale, la protection contre les ransomwares doit être un élément vital permettant d’assurer leur continuité d’activité. Si elle est associée aux solutions de sécurité adaptées et à la formation des collaborateurs, la sauvegarde ultra-résiliente permettant la gestion des données dans le cloud offre aux entreprises la garantie d’une protection optimale en dépit de l’évolution du paysage des menaces.