La cybersécurité, ce "Far West" organisé autour des ransomwares

La technologie a bien évolué, depuis l'époque du Far West, mais une constante demeure : l'état d'esprit des voleurs et des cybercriminels, qui cherchent la récompense la plus grosse pour un minimum de risques. L'utilisation d'un ransomware et le ciblage des données sont, pour cela, les options les plus adaptées.

De la même façon que les criminels du Far West en leur temps, les cybercriminels modernes cherchent à repérer les vulnérabilités des processus de sécurité des entreprises pour mettre la main sur leurs ressources les plus précieuses. S'ils disposent pour cela de nombreux outils, entre escroqueries d'ingénierie sociale, attaques par hameçonnage et piratages, les ransomwares sont la voie privilégiée à l'heure actuelle et concentrent le plus de préoccupations liées à la cybersécurité.

Le "golden rush" des ransomwares

Les ransomwares ont donné lieu, en 2020, à des centaines de milliards de dollars de dommages économiques à travers le monde, selon le groupe Emsisoft, expert en cybersécurité. L'augmentation des attaques cyber a été stimulée par la pandémie de Covid-19 et la généralisation du télétravail. En parallèle, le montant moyen des rançons demandées a augmenté de plus de 80%, menant au versement de rançons à hauteur d'environ 18 milliards de dollars et un paiement moyen de 150 000 dollars. Dans un contexte de difficultés subies par de nombreuses entreprises depuis plus d'un an, les ransomwares constituent une véritable ruée vers l'or pour les cybercriminels.

Le constat des entreprises est indéniable : le rythme d'augmentation des attaques par ransomware est sans précédent et il est devenu impossible de ne pas être un jour pris pour cible. Mettre en place une stratégie de protection des données fiable et solide est donc primordial pour se remettre d'une attaque si le pire se produit. Car la possibilité de restaurer les données en utilisant les sauvegardes est un élément essentiel de la stratégie de récupération. Malheureusement, les cybercriminels font eux aussi preuve d'une grande capacité d'adaptation.

Les sauvegardes sont souvent visées par les pirates

Les sauvegardes constituent la dernière ligne de défense, les pirates en ont tout à fait conscience : si les entreprises parviennent à récupérer leurs données sauvegardées, jamais elles ne choisiront de payer la rançon exigée. Les hackers passent en moyenne plus de 200 jours en veille sur le réseau d'une entreprise avant de procéder à un cryptage de données, ils préparent soigneusement et longuement leur attaque, pour espérer accéder au plus de systèmes possibles avant de lancer l'attaque, y compris sur les sauvegardes.

Ainsi, l'attaque se déroule en deux phases, la première étant destinée à entrer dans le réseau sans être détecté. Une fois cette première étape réussie, le pirate cherche à accéder à des informations d'identification compromettantes, qui constituent la clé de l'attaque ; certains outils de piratage sont spécifiquement conçus pour attaquer les services d'annuaire et obtenir ce type d'informations d'identification. Une fois obtenues, les pirates ont quasiment toutes les cartes en main pour agir.

Se protéger en trois étapes

La stratégie de protection qui s'offre aux entreprises s'appuie sur trois volets pour se préparer à une attaque, en minimiser l'impact et s'en remettre :

· Premièrement, il faut dédier du temps à l'analyse holistique des bonnes pratiques et de l'hygiène de sécurité pour accélérer le temps de détection d'une attaque. Parmi les bonnes pratiques, il est important de mettre à jour les logiciels et les systèmes d'exploitation avec les derniers correctifs, d'enseigner la prudence aux équipes face à des liens ou des pièces jointes dans les courriels, en particulier ceux qui ne sont pas sollicités, de sauvegarder régulièrement les données et de conserver les sauvegardes sur des dispositifs distincts des données de production ("air gaps"). Les sauvegardes doivent toujours être protégées et immuables, pour que l'impact des pirates soit limité s'ils y accèdent.  

· Dans le cas d'une attaque, il est important d'avoir conscience de ce qui est considéré comme "normal" dans le fonctionnement de l'infrastructure. Cela permet d'éviter d'attendre des semaines avant de réaliser que quelque chose d'"anormal" s'est produit et que les données ou les systèmes sont compromis.

· Enfin, l'impératif absolu est de reprendre l'activité rapidement après une attaque. Pour cela, les entreprises ont besoin de copies de sauvegarde valides, immuables et protégées de leurs données, qu'il est impossible d'effacer, de modifier ou de crypter. Enfin, il est important que les données puissent être restaurées rapidement. En choisissant un fournisseur, les responsables informatiques doivent tenir compte des accords de niveau de service (SLA) pour la restauration des données et leur sauvegarde.

Isoler les données est important

Grâce aux "air gaps", il est possible d'isoler les données critiques des réseaux locaux et des zones de production qui sont plus vulnérables aux attaques. Les sauvegardes sont ensuite régulièrement mises à jour en laissant entrer les données du réseau de production à intervalles réguliers, sans pour autant connecter les deux parties.

Malgré leur utilité, les air gaps présentent quelques limites : tout d'abord une vulnérabilité aux attaques et un certain coût de mise en œuvre et d'exploitation ; ils sont aussi assez difficiles à gérer et à maintenir, ne sont pas très évolutifs et peuvent mettre plus de temps à récupérer de grands volumes de données. Ils n'apportent pas de solution face aux menaces internes ni aux informations d'identification compromises des administrateurs de stockage ou de sauvegarde. Enfin, ils mettent du temps pour récupérer de gros volumes de fichiers dans le cas où il faut respecter des RPO stricts - et classer ces données pour une récupération hiérarchisée demande du temps et des efforts.

S'appuyer sur une stratégie de sécurité "air gap" ne résout pas complètement les problèmes de fiabilité et de rapidité, qui sont deux éléments déterminants pour réussir une récupération.

La restauration rapide est le nouveau "shérif" en ville

Malgré l'utilisation d'instantanés immuables et de "air gaps", la vitesse à laquelle les entreprises peuvent restaurer leurs données reste limitée. Le coût d'une interruption d'activité, même seulement d'une heure, peut être très élevé et endommager durablement la confiance et la fidélité des clients. Une attaque par ransomware n'est pas le scénario typiqe de récupération des données, et peut nécessiter de restaurer tous les fichiers ou plusieurs bases de données, ce qui représente plusieurs heures de procédure, voire plusieurs jours. La rapidité de la récupération à la suite d'une attaque est donc d'autant plus importante dans le cas où il y aurait 50 ou 100 bases de données à restaurer.

Les entreprises qui évaluent les fournisseurs de solutions de stockage et de sauvegarde doivent donc établir des accords de niveau de service et choisir une solution de sauvegarde qui restaure les données à un rythme de plusieurs centaines de téraoctets par heure, pour être sures d'avoir la vitesse de récupération maximale si le pire devait se produire.

En résumé, il faut aux entreprises une stratégie qui associe des mesures préventives appropriées, des instantanés de données immuables réguliers et une solution de restauration rapide pour pouvoir relancer rapidement leur activité. En cas de restauration des données trop lente pour éviter d'impacter trop fortement l'entreprise, sa réputation et ses finances, toute la stratégie de sécurité mise en place se révèlera un échec. Quelle que soit la plateforme ou la technologie sous-jacente utilisées, une vitesse élevée de restauration, qui ne pénalise pas les entreprises est un élément indispensable. C'est aussi le seul moyen d'éviter que les cyber-cowboys entrent dans le réseau et de protéger les données contre le vol.