Les cybercriminels ne cessent de développer de nouvelles méthodes et vecteurs d’attaque. On assiste aujourd’hui à une montée des Ransomware-as-a-Service (RaaS) – autrement dit des pirates professionnels qui proposent leurs logiciels malveillants en tant que service aux criminels qui n’ont pas les ressources ou les compétences nécessaires pour développer eux-mêmes de tels outils.

Lorsqu’une attaque survient, il faut réagir rapidement pour en réduire les effets et ainsi réduire le délai de reprise d’activité. Les décisions et les actions des responsables IT dans l’heure qui suit une attaque peuvent être décisives pour la pérennité d’une entreprise.

Se préparer et détecter

En se préparant minutieusement pour anticiper une attaque, on peut dire qu’on remporte la moitié de la victoire. Une formation continue des équipes IT et métier, ainsi que des outils technologiques de recensement et de visibilité des données, peuvent accomplir des miracles. Les données critiques sont généralement une cible privilégiée, et il est important qu’elles soient observées en permanence pour assurer une récupération rapide et efficace.

Un audit spécialisé permet d’effectuer une cartographie précise des données et des supports de stockage. Cette cartographie permet de mettre en place un plan de sauvegarde adéquat et d’établir les données à protéger et les méthodes pour le faire. Celle-ci doit être mise à jour en permanence pour que le plan qui en découle reste pertinent.

Afin de détecter à temps les attaques par ransomware, les responsables informatiques doivent également avoir des outils d’observabilité en continu, d’autant plus si les informations sont réparties sur plusieurs environnements privés et publics. En effet, dans les environnements isolés, les malwares peuvent rester en sommeil longtemps avant d’être activés.

Pour ne rien arranger, les politiques de sécurité, les autorisations et les réglementations des différents systèmes sont souvent hétérogènes et incohérentes, et les dépendances entre les différents ensembles de données sont également souvent négligés. Par conséquent, la première attaque passe souvent inaperçue, et le malware peut donc se propager sans encombre et dérober des données importantes avant d’être découvert. En utilisant des outils qui relient des ensembles de données isolés, les politiques de sécurité peuvent être déployées dans tous les environnements. Les équipes IT peuvent ainsi voir à tout moment quelles sont les données possédées par l’entreprise, dans quel environnement elles sont stockées, et quelles mesures peuvent être prises pour les protéger.

Pour détecter rapidement les vulnérabilités du système, les entreprises doivent également disposer d’une stratégie d’analyse et de remédiation proactive. Il est également conseillé d’utiliser des solutions de surveillance du réseau, d’analyse des menaces et de détection destinées aux endpoints. Par ailleurs, une stratégie de sauvegarde adaptée est nécessaire pour s’assurer que les données cryptées ne soient pas perdues définitivement. Pour que les sauvegardes restent résilientes et fiables en cas d’attaque, les systèmes (tels que les supports et les métaserveurs) doivent être résilients et communiquer entre eux de manière sécurisée. Cet aspect doit pris être en compte dès la mise en place de l’architecture.

Dans le cas où des fichiers de sauvegarde auraient été cryptés par une attaque par ransomware, une autre bonne pratique a également fait ses preuves. Les systèmes de stockage dits « immuables » (qui servent d’emplacement de stockage pour une copie figée de la sauvegarde) permettent de restaurer les données sans erreur. Cependant, les entreprises doivent être vigilantes sur l’endroit où elles installent la bulle de sauvegarde et tester régulièrement le processus de restauration.

Réagir rapidement

Lorsqu’une attaque est signalée, chaque minute compte pour contenir les dégâts. L’équipe en charge de la sécurité informatique doit intervenir immédiatement et veiller à ce que les utilisateurs finaux et les systèmes touchés soient isolés du réseau. Ensuite, les utilisateurs doivent être interrogés sur la façon dont l’attaque s’est produite et sur ce qui l’a déclenchée - un email de phishing par exemple.

Les outils de gestion des données peuvent être utilisés pour identifier rapidement quelles données sont consultées par quels utilisateurs. L’analyse de ces informations permet ensuite de déterminer lesquelles ont été infectées ou celles qui sont manquantes. Tant que les sauvegardes de l’entreprise sont correctement protégées, les informations peuvent être restaurées sans perturbation ni nécessité de payer une rançon.

L’équipe IT ainsi que les salariés doivent réagir immédiatement si une attaque se produit. Dans l’heure qui suit, ils doivent déconnecter leurs ordinateurs du réseau et de tous les disques durs externes pour limiter les dégâts. Ensuite, une personne doit littéralement prendre une photo du ransomware reçu et partager cette photo/capture d’écran afin que l’ensemble des salariés soit informé immédiatement. Ainsi, le service informatique pourra partager toutes les informations relatives à cette attaque. Grâce à une culture de la confiance éprouvée, cela évite que les cyberattaques soient dissimulées. Personne ne doit avoir peur ou honte de signaler un incident.

Pour être véritablement résilientes face aux ransomwares, les entreprises doivent préparer leurs défenses en amont. La préparation minutieuse d’un plan réactif, de processus bien rodés, d’une culture de transparence et d’un contrôle complet de leurs données sont des éléments clés d’une stratégie efficace.