Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Quelle approche choisir lorsque les solutions de sécurité échouent face aux cyberattaques

novembre 2021 par Nicolas Groh, Field CTO EMEA de Rubrik

La pandémie actuelle de COVID-19 a vu l’apparition de menaces de sécurité de plus en plus sophistiquées, et les criminels qui se cachent derrière sont devenus, eux, de plus en plus confiants. Les entreprises, de l’autre côté, ont été prises au dépourvu en raison de l’accroissement du risque de sécurité dues au travail à distance, à l’élargissement des périmètres et globalement à une grande vague d’incertitudes. Tout cela réunis, crée un environnement propice aux ransomwares, au phishing et autres attaques. Tout comme les violations de données, les défaillances des solutions de sécurité sont devenues quasi inévitables, et ce, quels que soient le temps, l’énergie et l’argent consacrés. C’est une dure réalité, mais cela ne signifie pas qu’il n’est plus possible de protéger ses données. En fait, la capacité à protéger les données dépend aussi de la réussite d’une organisation à se remettre, ou non, d’une attaque.

À la suite d’une attaque par ransomware, le principal facteur de différenciation entre les deux issues est généralement une solide stratégie de continuité des activités, mais avant toute chose, sur une sauvegarde. La première chose, dont ils doivent s’assurer, c’est d’avoir mis en place une solution de sauvegarde immuable afin que les données ne puissent pas être réécrites ou modifiées par des attaquants.

Ensuite, le monde d’aujourd’hui a besoin d’une nouvelle façon d’envisager la sécurité, et c’est une notion définie par le NIST sous le terme de "Zero Trust". Lorsqu’un individu rentre chez lui et qu’il déverrouille sa porte d’entrée, on ne supposerait en aucun cas que quelqu’un puisse s’être introduit à l’intérieur. Cependant, si cela n’était pas le cas ? Et si un jour un intrus était présent sans le savoir ? Un tel cas de figure mènerait ensuite à une méfiance constante. Comment est-il possible d’agir différemment ? Quelles mesures pourraient être prises pour assurer une sécurité continue ? Afin de pouvoir comprendre, il faut considérer le réseau de l’entreprise comme une maison.

En supposant que des intrus soient déjà présents sur le réseau, la première étape évidente serait d’évaluer le risque perçu et de comprendre qui a franchi le périmètre. Ensuite, il faut se tourner vers les sauvegardes, en s’assurant que toutes les données critiques sont sauvegardées, nettoyées et récupérables si les systèmes font l’objet d’une demande de rançon. Enfin, lorsque la certitude qu’il est possible de surmonter ces failles de sécurité avec des sauvegardes intactes est établie, il faut agir. L’efficacité de cette action fera la différence entre un processus de récupération sans faille et un temps d’arrêt coûteux et préjudiciable.

Bien sûr, y penser après coup n’est d’aucune utilité. Les organisations avisées devront suivre les étapes suivantes pour être prêtes à agir au moment où leurs solutions de sécurité tomberont en panne. Tout d’abord, et celà peut sembler évident, elles devront être prêtes. Avant tout scénario réel, il faut s’assurer d’avoir anticipé le pire des cas et de travailler à rebours à partir de là. La prévention est également un aspect important de la démarche. En utilisant des solutions tierces, l’organisation doit s’assurer que tout est mis en place pour stopper les menaces avant qu’elles ne fassent de réels dégâts. Il faut ensuite mettre l’accent sur la visibilité. Comme pour la prévention, les outils personnalisés conçus pour détecter les ransomwares et autres attaques au moment où ils pénètrent un périmètre sont essentiels pour identifier et éliminer rapidement la menace. Vient ensuite l’évaluation. En cas de violation due à une défaillance des solutions de sécurité, il faut identifier et hiérarchiser les données critiques à restaurer. Enfin, la position de récupération entre en jeu. Une fois que la menace est efficacement éliminée, les données peuvent être restaurées et l’activité peut se poursuivre.

Ces mesures, associées à une solution moderne de reprise après sinistre suffisamment sophistiquée pour commencer à orchestrer la reprise dès que les solutions de sécurité échouent, permettront de rebondir quoi qu’il arrive. Mais comment trouver la bonne solution ?

Pour cela, il est nécessaire de renforcer l’intégration entre les solutions de reprise après sinistre et les capacités de détection des ransomwares, de sorte que, lorsqu’une activité de ransomware est détectée, un basculement immédiat vers un datacenter secondaire ou un cloud est déclenché. Cette réponse automatisée aux ransomwares signifie que les données sont sauvegardées en toute sécurité et prêtes à être utilisées en cas de défaillance d’un système de sécurité.

Ces données automatiquement protégées sont en sécurité grâce à l’immuabilité, une fonctionnalité inexistante dans les solutions traditionnelles de récupération des données. Les données immuables ne peuvent pas être infectées, ne peuvent pas être chiffrées après coup et sont donc à l’abri des ransomwares et autres activités malveillantes ou erreurs administratives. Les entreprises disposent ainsi d’une troisième copie des données, sûre et toujours à jour, ce qui est devenu de plus en plus important pour de nombreuses organisations.

Le résultat est une reprise après sinistre et une réponse aux ransomwares qui se traduisent par moins de temps d’arrêt, moins de stress pour les équipes et une réduction significative des pertes pour l’organisation.


Voir les articles précédents

    

Voir les articles suivants