Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les ransomwares, au cœur du "Far West" de la cybersécurité

octobre 2021 par Gabriel Ferreira, directeur technique France de Pure Storage

Si, depuis l’époque du Far West, la technologie a sans aucun doute beaucoup évolué, l’état d’esprit des voleurs et des cybercriminels, lui, n’a pas changé : ils veulent obtenir la récompense la plus grosse tout en prenant le minimum de risque. Pour cela, s’attaquer aux données plutôt qu’à l’argent liquide et utiliser un ransomware sont les meilleures options pour y parvenir.

Tout comme les criminels du Far West, les cybercriminels d’aujourd’hui tentent d’identifier les faiblesses et les vulnérabilités des processus de sécurité des entreprises pour pouvoir voler leurs ressources les plus précieuses. Parmi tous les outils à leur disposition, entre escroqueries d’ingénierie sociale, attaques par hameçonnage et piratages, les ransomwares sont au cœur de nouveaux enjeux de cybersécurité.

La ruée vers l’or des ransomwares

Selon le groupe de cybersécurité Emsisoft, les ransomwares ont causé des centaines de milliards de dollars de dommages économiques dans le monde en 2020. Les défis liés au Covid-19 et à la généralisation du télétravail ont été exacerbés par une augmentation des attaques et une hausse de plus de 80% du montant moyen des rançons demandées, entraînant le versement d’environ 18 milliards de dollars en rançons, avec un paiement moyen de 150 000 dollars. Alors que de nombreuses entreprises sont en difficulté depuis plus d’un an, les ransomwares représentent une véritable ruée vers l’or pour les cybercriminels.

Les entreprises doivent se rendre à l’évidence : les attaques par ransomware augmentent à un rythme sans précédent et il devient inévitable d’être un jour pris pour cible. C’est pourquoi il est primordial de mettre en place une stratégie de protection des données fiable et solide afin de pouvoir se remettre d’une attaque si le pire se produit. Bien sûr, en cas d’attaque, la possibilité de restaurer les données à partir de sauvegardes est un élément essentiel de la stratégie de récupération. Malheureusement, les cybercriminels savent eux aussi s’adapter.

Les pirates ciblent les sauvegardes

En effet, ils ont parfaitement conscience que les sauvegardes constituent la dernière ligne de défense et que si les entreprises parviennent à les récupérer, elles ne paieront pas la rançon demandée. En réalité, un hacker passe en moyenne plus de 200 jours sur le réseau d’une entreprise avant de crypter quoi que ce soit, préparant soigneusement son attaque, en essayant d’accéder à autant de systèmes que possible avant de passer à l’action, y compris sur les sauvegardes.

La première attaque est destinée à entrer dans le réseau sans être détecté. Une fois à l’intérieur, le pirate passe beaucoup de temps à essayer d’accéder à des informations d’identification compromettantes, qui constituent la clé de l’attaque ; il existe même des outils de piratage conçus spécifiquement pour attaquer les services d’annuaire afin d’obtenir des informations d’identification. Une fois les bonnes informations d’identification obtenues, les pirates peuvent pratiquement tout faire.

Comment se protéger ? La solution est triple

Les entreprises ont besoin d’une stratégie en trois volets pour se préparer à une attaque, en minimiser l’impact et s’en remettre :
• Premièrement, analyser de façon holistique les bonnes pratiques et l’hygiène de sécurité pour détecter plus rapidement une attaque. Les bonnes pratiques les plus élémentaires comprennent la mise à jour des logiciels et des systèmes d’exploitation avec les derniers correctifs, la formation du personnel à la prudence vis-à-vis des liens ou des pièces jointes dans les courriels, en particulier ceux qui ne sont pas sollicités, la sauvegarde régulière des données et la conservation des sauvegardes sur des dispositifs distincts des données de production ("air gaps"). Il faut s’assurer que les sauvegardes soient toujours protégées et immuables, pour limiter l’impact des pirates s’ils y accèdent.
• Pendant une attaque, il est essentiel de savoir ce qui est "normal" dans le fonctionnement de l’infrastructure. Sans cela, il peut s’écouler des semaines avant que quelque chose d’"anormal" ne soit détecté et que les données ou les systèmes ne soient compromis.
• Troisièmement, il faut permettre une reprise rapide après une attaque. Les entreprises ont besoin de copies de sauvegarde valides, immuables et protégées de leurs données, qui ne puissent pas être effacées, modifiées ou cryptées. Il faut aussi s’assurer que les données puissent être restaurées rapidement. Lorsqu’ils choisissent leurs fournisseurs, les responsables informatiques doivent tenir compte des accords de niveau de service (SLA) pour la restauration des données et leur sauvegarde.

Attention à l’isolation

En séparant les réseaux de production et de secours, les "air gaps" permettent d’isoler les données critiques des réseaux locaux et des zones de production qui sont plus vulnérables aux attaques. En laissant entrer les données du réseau de production à intervalles réguliers, les sauvegardes sont régulièrement mises à jour, mais les deux parties ne sont pas toujours connectées.

Les air gaps présentent cependant quelques problèmes : ils ne sont pas complètement à l’abri des attaques et peuvent être coûteux à mettre en œuvre et à exploiter, et difficiles à gérer et à maintenir. Ils ne sont pas non plus très évolutifs et peuvent être plus lents à récupérer de grands volumes de données. Ils ne résolvent pas les menaces internes ou les informations d’identification compromises des administrateurs de stockage ou de sauvegarde. Enfin, la récupération de gros volumes de fichiers prend trop de temps lorsqu’il faut respecter des RPO stricts - et classer ces données pour une récupération hiérarchisée demande du temps et des efforts.

Les stratégies de sécurité "air gap" ne peuvent pas non plus résoudre complètement les problèmes de fiabilité et de rapidité, qui sont les deux facteurs les plus importants pour une récupération réussie.

Le nouveau shérif en ville : la restauration rapide

Même avec des instantanés immuables et des air gaps en place, les entreprises seront limitées par la vitesse à laquelle elles peuvent restaurer les données. Une interruption d’activité, même seulement d’une heure, peut coûter à une grande entreprise des millions et causer des dommages irréparables à la confiance et à la fidélité de ses clients. De plus, une attaque par ransomware n’est pas un scénario typique de récupération des données ; elle peut nécessiter de restaurer tous les fichiers ou plusieurs bases de données, ce qui peut prendre plusieurs heures, voire plusieurs jours. Dans le cas où il y aurait 50 ou 100 bases de données à restaurer, on comprend facilement l’importance de la rapidité de la récupération à la suite d’une attaque.

Il est donc essentiel que les entreprises, qui évaluent les fournisseurs de solutions de stockage et de sauvegarde, établissent des accords de niveau de service et choisissent une solution de sauvegarde capable de restaurer les données à un rythme de plusieurs centaines de téraoctets par heure, afin de garantir une vitesse de récupération maximale si le pire devait se produire.

En fin de compte, les entreprises ont besoin d’une stratégie qui associe des mesures préventives appropriées, des instantanés de données immuables réguliers et une solution de restauration rapide pour permettre un retour rapide aux opérations. Si la restauration des données n’est pas suffisamment rapide pour éviter d’impacter trop fortement l’entreprise, sa réputation et ses finances, tout le travail accompli en matière de sécurité est inutile. Quelle que soit la plateforme ou la technologie sous-jacente utilisées, les entreprises ont besoin de vitesses de restauration qui ne les pénaliseront pas. C’est le seul moyen d’empêcher les cyber-cowboys d’entrer dans le réseau et de protéger les données contre le vol.




Voir les articles précédents

    

Voir les articles suivants