AVIS EXPERT – 2022, « âge d’or des rançongiciels » ? En France, le second trimestre 2022 affiche un triste record avec en moyenne 879 attaques par semaine et par organisation. Siham Eisele, directrice des ventes de Zerto (Hewlett Packard Enterprise), explique comment s’en protéger plan de reprise d’activité et de protection des données.
L’essor du modèle « rançongiciel-as-a-service » associé à la recrudescence des offensives à des fins politiques, ne vont pas faire ralentir le phénomène en volume tout comme en gravité. Toutefois, il faut aujourd’hui faire preuve de réalisme. Les organisations ne peuvent pas s’appuyer uniquement sur leurs couvertures défensives. Intégrer une stratégie de reprise d’activité dans les protocoles de cybersécurité permettra de minimiser les perturbations et les pertes de données et se tenir prêts lorsque l’ennemi sera dans la place.
Comprendre pour gagner en efficacité
Les acteurs de la menace ne cessent d’affiner et de faire évoluer leurs pratiques, inventant chaque jour des moyens toujours plus ingénieux et innovants. Pour lutter contre ce fléau, il est vital tout d’abord de bien comprendre les différentes étapes d’une attaque rançongiciel pour s’assurer que les meilleurs options de récupération aient bien été déployées avant de relancer les systèmes, avec la réplication de données la plus à jour possible.
Phase 1 : passer sous les radars
Une attaque par rançongiciel peut être initiée via différents vecteurs de compromission : du phishing, un site web malveillant, des erreurs de configuration de connexions distantes RDP (Remote Desktop Protocol) ou encore des vulnérabilités logicielles. Quelle que soit l’option retenue, ces approches sont furtives et donc invisibles. Après avoir infiltré le système, le rançongiciel peut rester en arrière-plan, et ne pas être détecté pendant plusieurs mois. Pour autant, il peut utiliser des techniques de mouvement latéral pour se déplacer sur d’autres systèmes et accéder ainsi à une multitude de données critiques. Une situation plus que délicate pour les organisations qui n’ont aucune idée de la date de leur dernière sauvegarde. Autre préoccupation croissante, de nombreuses variantes de rançongiciel prennent désormais pour cible les systèmes de sauvegarde. Une fois l’attaque déclenchée, l’entreprise ne peut plus restaurer ses données.
Phase 2 : La tempête
Les multiples variantes de rançongiciel utilisent différentes méthodes de chiffrement – depuis le chiffrement de l’enregistrement de démarrage principal d’un système de fichiers, au chiffrement de fichiers individuels voire de machines virtuelles entières. L’entreprise est alors confrontée à un choix cornélien : payer la rançon et mettre en péril l’organisation ou ne pas la payer tout en essayant de se rétablir sans rupture opérationnelle prolongée et pertes de revenus considérables. En 2021, le coût total de reprise d’activité après une attaque par rançongiciel était de 1,53 million d’euros, soit plus de 10 fois le montant moyen des rançons demandées. L’indisponibilité moyenne après une attaque est quant à elle estimée à 21 jours. Pourtant, parmi les organisations ayant finalement payé une rançon, seules 8% ont réussi à récupérer l’intégralité de leurs données. D’autres ont constaté que la récupération des données, à partir d’une sauvegarde ou d’une réplication, était un processus chronophage, qui impliquait de vérifier et de supprimer à la fois les fichiers et les codes malveillants pour éviter toute réinfection.
La protection des données continue, cette voie de résilience
Les cyber assaillants comptent sur le fait que les entreprises misent surtout sur la sécurité préventive sans disposer de solutions de sauvegarde et de restauration modernes. Être la cible d’un rançongiciel lorsque l’on s’appuie sur des sauvegardes datées, revient pourtant à subir des semaines de perturbation et à perdre des heures, voire des jours, en termes de données.
Les données sont réellement protégées lorsqu’elles sont récupérables dans leur intégralité et ce, en quelques minutes seulement. A ce titre, la protection des données continue (CDP) permet de bénéficier d’une technologie permanente de réplication et de journalisation. Les modifications sont copiées dès qu’elles apparaissent, et stockées dans une log avec un horodatage. Une technologie capable de restaurer en totalité des sites et des applications à grande échelle avec une perte de donnée minimale.
Créer des copies multiples en local comme à distance est essentiel. Les données doivent également être testées dans un environnement isolé afin de garantir une récupération sans risque. C’est le rôle des sandbox, des environnements dans lesquels des tests peuvent être effectués pour garantir l’absence de malware, avant de procéder à la récupération. Des options telles que des copies immuables de données, qui ne peuvent être ni cryptées ni corrompues, permettent également d’effectuer en quelques clics une récupération en toute sérénité, et ce jusqu’à quelques secondes avant une attaque.
Face à paysage des menaces toujours plus menaçant, un plan de reprise après sinistre s’impose désormais comme une protection incontournable. En s’assurant que les données soient protégées et rapidement récupérables grâce au CDP, les équipes IT pourront sélectionner un point de contrôle de leur choix et reprendre leurs activités habituelles en quelques minutes. Une pratique efficace et robuste de restauration en complément de ses systèmes de protections de données existants pour renforcer sa résilience face aux rançongiciels.
