Cybersécurité: La protection au niveau du stockage pour tordre le cou aux ransomwares

Quelle solution face aux ravages des ransomwares ? Année après année, ces cybermenaces deviennent toujours plus préoccupantes. Actuellement, un système d’information est touché par un ransomware toutes les 11 secondes, provoquant des dommages financiers évalués à 20 milliards de dollars en 2021, soit 57 fois plus qu’en 2015, selon Cybersecurity Ventures. Il s’agit donc d’un enjeu de sécurité majeur, qui concerne autant les gouvernements et services publics que les entreprises privées, comme en témoigne l’attaque ciblant le ministère de la Justice français en janvier 2022 : le chantage visait alors des fichiers confidentiels cryptés pour lesquels une rançon a été exigée pour ne pas que les données se retrouvent diffusées. En août 2022, les services d’urgence et de  chirurgie du Centre hospitalier sud francilien ont été contraints de cesser leur activité, alors que des cyberattaquants exigeaient 10 millions de dollars. Côté entreprise, on peut citer l’exemple de Cisco, en mai 2022, pour qui une demande de rançon avait impliqué la violation de 2,8 Go de données, impliquant des documents sensibles comme des accords de non-divulgation, ou des dessins techniques.

Une réponse technique mieux adaptée

La plupart des systèmes disposent de protections au niveau des couches d’accès réseaux (firewall, Control Access List, etc…), ainsi que directement sur les serveurs applicatifs et les postes des utilisateurs (Antivirus, formations des utilisateurs, etc…). Or, ces protections, étant des mécanismes « passifs » et agissant sur des virus ou types d’attaques connus, peuvent être inefficaces à empêcher une attaque par ransomware. Pendant très longtemps, les DSI s’appuyaient sur leur système de sauvegarde et de restauration pour récupérer des données chiffrées, mais cette méthode seule impose un certain nombre de contraintes (Immutabilité des sauvegardes ? Délais de restauration ?). La protection native au niveau des stockages primaires et secondaires des données constitue donc la dernière ligne de défense pour prévenir les attaques.

Un bouclier efficace dans ce domaine implique une réponse à plusieurs niveaux. Il faut être capable d’agir avant d’être attaqué, en bloquant les attaques de ransomware et en protégeant les données contre la perte, et également à l’aide d’une protection hors ligne des données copiées pour prévenir les attaques. L’enjeu est aussi de pouvoir s’apercevoir quand on est attaqué, par un dépistage en ligne des comportements anormaux, en déclenchant de manière proactive la protection des données, pour détecter au plus vite des ransomwares pour réduire les pertes de données. Enfin, l’action a posteriori joue également un rôle essentiel : il faut toujours s’assurer qu’une copie non infectée des données est disponible pour la récupération.

Huawei propose une solution réellement adaptée qui couvre à la fois le stockage primaire et la sauvegarde avec plusieurs niveaux de protection, fournissant ainsi bien plus de garanties contre la menace des ransomwares. Cette offre consiste à proposer plusieurs couches de protections sur les baies primaires Dorado v6 et les appliances de sauvegarde OceanProtect : Proposer une détection pro-active d’une attaque via une analyse comportementale et IA directement sur les données NAS (taux de détection des menaces de 99.9%) ; Assurer une immutabilité des données SAN/NAS via un mécanisme de Secure SnapShots ou de WORM ; Chiffrer les données sur les disques et sur les liens d’accès client ou de réplication ; Créer une zone indépendante, physiquement isolée en déconnectant automatiquement les liens d’accès (AirGap). Enfin, si nécessaire, les délais de récupération des données sont réduits à leur strict minimum pour assurer une reprise d’activité le plus rapidement possible, aussi bien via les Secure SnapShots ou via une restauration de données depuis les appliances OceanProtect spécialement conçue pour cet usage.

En savoir plus