Ransomwares : tester les défenses pour une meilleure protection
Le ransomware a-t-il atteint son apogée ? Probablement pas, mais la question mérite d'être posée. Kaspersky a détecté 16 017 nouvelles modifications de ransomware au deuxième trimestre 2019, c'est plus du double par rapport à celles découvertes l'an dernier à la même période.
Le ransomware est un juteux business représentant des revenus annuels estimés à 1 milliard de dollars. Il est devenu une économie sous-marine dont le succès ne cesse de croître. Cependant, il ne profite pas à tout le monde. En moyenne, une attaque coute 175 000 euros aux entreprises françaises et peut endommager à long terme leur image et la satisfaction de leurs clients. De plus, le paiement de la rançon ne garantit pas la récupération des données : 20% des victimes qui décident de payer ne récupèrent pas leurs données volées !
Nous le savons désormais, si les données sont des ressources clés de l'entreprise, elles peuvent aussi devenir son talon d'Achille. Elles contribuent à anticiper des changements et à répondre aux besoins des clients, mais elles sont toujours plus complexes, variées et difficiles à protéger. Pour éviter qu'elles ne tombent entre de mauvaises mains, il faut pouvoir s'appuyer sur une politique de sécurité robuste et une stratégie de sauvegarde. Mais elles ne seront performantes que si elles sont régulièrement mises à l'épreuve.
Une stratégie de défense performante doit protéger à tous les niveaux. Elle doit permettre de rechercher et de réparer de façon proactive les vulnérabilités, de déployer des solutions de supervision réseau, de détection intelligente des menaces et de protection des terminaux. En couvrant tous ces aspects, les potentiels attaquants ne peuvent plus se cacher.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Cependant, la seule prévention des menaces n'est plus suffisante. Même avec la meilleure stratégie de prévention en place, le risque zéro n'existe pas. En effet, plus de 77 pour cent des victimes de ransomware avaient un système de protection parfaitement à jour lorsqu'elles ont été attaquées.
Le ransomware n'est plus une industrie artisanale opérée par de petits groupes isolés. C'est une arme de choix pour des acteurs d'états et des criminels plein de ressources. Les cybercriminels ne cherchent plus juste à exploiter une entreprise, mais à attaquer le système de défense. De plus, ils font continuellement évoluer leurs techniques et peuvent agir en moins de temps qu'il n'en faut pour mettre à jour les méthodes de défense.
Sans un plan de gestion des incidents bien conçu, une simple mauvaise journée peut se transformer en véritable cauchemar. Impossible de se défendre seul contre chaque attaque ransomware potentielle, donc un plan de sauvegarde bien précis est indispensable. Cela consiste à créer plusieurs copies des données importantes, à la fois localement et dans ledaniecloud. S'il faut bien réfléchir à comment sont créées les sauvegardes, il faut surtout anticiper quelle sera la stratégie de reprise après sinistre en étant sous pression.
Malgré la menace qui pèse sur les entreprises, elles sont peu nombreuses à mettre véritablement leurs stratégies de protection à l'épreuve. Il y a toujours cette perception que « cela n'arrive qu'aux autres », alors que les attaques ransomwares sont très courantes. Aussi bien en Europe, qu'au Moyen-Orient et en Amérique du Nord, plus d'un tiers des entreprises bancaires et des compagnies d'assurance en ont été victimes.
Le risque zéro n'existe pas mais vous ne devriez pas être pris par surprise par une éventuelle attaque. Les plans de sauvegarde sont complexes et comprennent plusieurs niveaux, ils couvrent plusieurs environnements applicatifs, dans le cloud et on premise. Il est difficile de prévoir comment un plan de sauvegarde va interagir avec tous ces systèmes sans les avoir mis en action au préalable.
En soumettant la configuration de sauvegarde à des tests de résistance, il est possible de découvrir des vulnérabilités insoupçonnables jusqu'alors. Les plans de sauvegarde sont-ils suffisamment isolés pour éviter à l'infection de se propager, existe-t-il assez de copies des données critiques et sont-elles conservées suffisamment longtemps ? Seuls des tests et des exercices réguliers peuvent permettre de répondre à ces questions.
Un test de résistance peut se résumer à un employé qui vérifie l'intégrité et la cohérence des sauvegardes si l'application principale vient à tomber, ou au test de la récupération d'un fichier et à la vérification que la copie correspond bien à l'original. Le plus important est que ces tests soient faits régulièrement.
Mais il ne faut pas se concentrer uniquement sur la résilience des données principales. Les copies de données secondaires créées par les sauvegardes doivent aussi être défendues et testées. La manière dont les sauvegardes sont effectuées doit être examinée, puis il faut les soumettre aux mêmes processus que les données principales. De plus, un certain nombre de solutions de sauvegarde intègrent des fonctionnalités de résilience par rapport aux données secondaires, il faut en tirer parti.
Mettre une stratégie à l'épreuve permet d'améliorer les temps de réponse et réduit le délai entre la perte et la récupération des données. C'est un aspect critique, particulièrement dans nos environnements connectés où perdre l'accès aux données peut compromettre la continuité d'activité.
En matière de ransomware, la seule prévention ne suffit plus. Un plan de sauvegarde et de reprise après sinistre est essentiel et ce plan doit être mesurable et reproductible pour s'adapter au rythme des pirates. Vous ne pourrez pas affirmer vous être totalement remis d'une attaque si votre entreprise a été endommagée par des temps d'arrêt ou des données perdues. Une approche « testée et approuvée » va non seulement contribuer à accélérer le temps de réponse et la résilience mais elle va aussi permettre de renforcer la confiance des clients et de tout l'écosystème de l'entreprise.
Sur le même thème
Voir tous les articles Cybersécurité