Le rançongiciel est devenu en quelques années l’un des acteurs principaux dans le paysage des cyberattaques. En 2017, les attaques rançongiciel ont même pris des proportions jamais vues jusqu’alors.
Tribune par Christophe Lambert, Directeur Technique France, Cohesity – Cette année-là, le virus WannaCry s’est répandu dans le monde entier, affectant plus de 200 000 machines dans 150 pays, causant des milliards de dommages et mettant à l’arrêt l’activité de plusieurs sociétés partout dans le monde. Depuis, le crypto-minage a pris le relais pour devenir le nouveau système d’attaque de prédilection des cybercriminels. Est-ce qu’il est encore possible de protéger ses ressources ou de les rétablir après une attaque de cette sorte ?
Le stockage des données et les processus informatiques sont de plus en plus souvent sous-traités et en silo, ce qui augmente les points de vulnérabilité de l’entreprise. De plus, les sauvegardes sont devenues la nouvelle cible favorite des cybercriminels. Il existe une très bonne raison à cela : les cybercriminels qui lancent une attaque par rançongiciel un tant soit peu sophistiquée supposent que la victime visée dispose d’une stratégie de sauvegarde et s’efforcent de trouver et de détruire ces fichiers afin d’accroître l’efficacité de l’attaque. C’est une menace croissante et pour la plupart des entreprises, il ne s’agit pas de savoir si une attaque peut avoir lieu elle va avoir lieu, mais quand…
Vous ne pouvez peut-être pas immuniser votre entreprise contre les attaques par rançongiciel, mais vous pouvez réduire l’impact d’une attaque en veillant à ce que vos systèmes soient rapidement rétablis et disponibles. Cela réduit l’impact pour l’entreprise, limite les dommages pour la marque et garantit le maintien de la productivité des collaborateurs.
L’héritage de WannaCry n’est cependant pas que négatif. Les attaques par rançongiciel et les compromissions des données ont fait la une et les gros titres des journaux. L’attaque WannaCry a donc permis de mieux sensibiliser les consommateurs aux cybermenaces, ce qui est fondamentalement positif. Le public n’est pas le seul à en avoir tiré des enseignements. La cybersécurité et le cyberterrorisme font maintenant partie des programmes de sécurité et de stratégie numérique de nombreux États. En raison du risque potentiel de ces attaques pour la marque et la réputation, elles ne sont plus seulement confinées au cercle de l’équipe informatique, elles sont aussi devenues un sujet de discussion pour tout le conseil d’administration.
Comment vous facilitez le travail des cybercriminels
La menace rançongiciel est exacerbée par deux facteurs. Tout d’abord, un phénomène appelé fragmentation massive des données, à savoir la prolifération d’énormes volumes de données non critiques utilisées pour la sauvegarde, des tests, le développement, l’analyse, et réparties dans différents endroits, différents silos d’infrastructure et différents systèmes de gestion. La fragmentation est un casse-tête pour les responsables informatiques qui doivent s’assurer que toutes leurs données de sauvegarde sont prises en compte, conformes à la réglementation et en sécurité aux différents endroits et silos. Ensuite, les solutions utilisées pour protéger et sauvegarder les données ont souvent été conçues il y a plus de 10 ans et ne sont plus adaptées aux environnements actuels. Elles permettent d’exécuter une partie des tâches requises, mais pas toutes.
Lorsqu’on observe les attaques par rançongiciel qui visent les données sauvegardées, on constate que les cybercriminels franchissent les protections périphériques et accèdent aux systèmes de sauvegarde en utilisant des mots de passe d’administrateur. Comme on le sait, mieux vaut prévenir que guérir. Les entreprises doivent donc opter pour des systèmes de sauvegarde qui surveillent les taux de modification quotidiens des données logiques, des données stockées et des données historiques afin de mettre en forme et de comprendre les modèles, dans la perspective éventuelle d’utiliser l’apprentissage automatique à l’avenir. De cette manière, les écarts sont immédiatement signalés et peuvent être traités rapidement avant qu’ils ne se transforment en une attaque généralisée, ce qui permet à l’équipe informatique de concentrer les ressources sur des problèmes plus urgents.
Tous les cadres supérieurs devraient s’impliquer dans la stratégie de sauvegarde de la société. Si votre entreprise ne parvient pas à restaurer une sauvegarde saine et à résoudre le problème en quelques heures, idéalement en quelques minutes, vous avez face à vous un vrai problème. Les systèmes de gestion des données obsolètes coûtent du temps, de l’argent et potentiellement des affaires aux entreprises. Les informations dont nous disposons révèlent que les entreprises disposent de 2 à 5 applications de gestion de données, ce qui nécessite un nombre important de collaborateurs pour bien utiliser les systèmes et fournir aux dirigeants une vue synthétique. Voilà qui n’est pas particulièrement souple, ni utile.
Un plan en plusieurs points pour contrer les attaques par rançongiciel
Il existe bien sûr de bonnes pratiques qui aident à protéger les données contre ces situations. Les sauvegardes doivent être effectuées fréquemment. Idéalement, certaines données devraient être sauvegardées toutes les heures et stockées de manière à ne pas être accessibles en cas d’attaque par rançongiciel.
Les entreprises peuvent commencer par faire en sorte de bien maîtriser les bases. WannaCry n’aurait pas affecté les entreprises si elles avaient bien géré le déploiement des correctifs. Concernant les pratiques en matière de sauvegarde, il existe des modèles fondamentaux à respecter.
Utiliser des identifiants de connexion différents pour accéder aux sauvegardes est déjà un minimum. Le contexte du nom d’utilisateur utilisé pour accéder au stockage des données de sauvegarde doit être utilisé à cette fin uniquement. Il est également nécessaire d’analyser régulièrement les données de sauvegarde afin de détecter d’éventuels signes d’attaque par rançongiciel. Y a-t-il eu beaucoup d’écritures sur le disque ? L’utilisation du processeur a-t-elle dépassé les niveaux normaux ? Quelles options de stockage hors ligne sont à votre disposition ? L’une des meilleures défenses contre les attaques par rançongiciel qui ciblent le stockage de vos données de sauvegarde est le stockage hors ligne. Auparavant, cela signifiait des enregistrements, mais dès lors que différents cadres d’authentification sont utilisés, les snapshot du stockage principal, les ordinateurs virtuels répliqués lorsqu’ils sont mis hors tension et sur des domaines différents et les sauvegardes dans le cloud qui ne sont pas directement connectées à l’infrastructure de sauvegarde sont des options appropriées.
Plus il y a de barrières entre un système infecté et ses sauvegardes, plus il sera difficile pour le rançongiciel d’y accéder. Pour ceux qui maîtrisent déjà les bases et veulent aller plus loin dans la protection de leurs données de sauvegarde, il est temps d’accepter le fait que les solutions de sauvegarde traditionnelles ne sont pas conçues pour l’environnement informatique de plus en plus complexe d’aujourd’hui.
Les menaces par rançongiciel ne cessent d’évoluer. Les entreprises doivent utiliser une combinaison de technologies innovantes en plus des bonnes pratiques décrites ci-dessus si elles veulent atténuer efficacement les risques.
Il n’est pas rare de voir des offres vantant des solutions de sauvegarde capables de « détecter » une attaque par rançongiciel. Mais cela ne suffit pas. Les entreprises doivent aussi s’assurer que leur solution repose sur un système de fichiers inaltérables, avec des captures instantanées auxquelles les processus et les logiciels ne peuvent pas accéder. Cela signifie qu’au mieux, un pirate informatique peut supprimer un clone des données, mais jamais la sauvegarde proprement dite. L’authentification à double facteur pour pouvoir supprimer des fichiers de sauvegarde, même si cette personne est l’administrateur système ou le titulaire de la connexion, est une protection supplémentaire.
Au-delà des mesures de défense, la surveillance intelligente joue également un rôle en s’assurant que l’infrastructure est conçue pour gérer les attaques. Une solution incorporant des analyses intégrées permettra aux sociétés de déterminer les sauvegardes contenant des programmes malveillants et d’empêcher leur restauration avec les données. Et si une attaque aboutit malgré ces précautions intégrées, une protection réelle est nécessaire pour pouvoir restaurer immédiatement d’importante quantités de données, en quelques minutes plutôt qu’en plusieurs heures.
Une fois vos capacités de protection étudiées, la prochaine étape consiste à travailler sur la récupération. De nombreuses sociétés utilisent la criticité des données ou de la charge de travail pour établir un objectif de temps de récupération, mais vous devez également prendre en compte le temps nécessaire à la récupération d’un ensemble de données.
Un système bien conçu repose essentiellement sur la résilience et suppose des défaillances à différents niveaux, y compris de la part des collaborateurs eux-mêmes. Quelle que soit l’investissement d’une entreprise dans les solutions de sécurité et de protection des données, la nature implacable des attaques par programmes malveillants est telle que presque toutes les sociétés en seront victimes à un moment ou à un autre.
Mettre de l’ordre au sein de votre société en utilisant certains de ces conseils pour l’infrastructure de sauvegarde vous aidera certes à atteindre un certain niveau de résilience, mais il est primordial de faire preuve d’une très grande vigilance car les pirates informatiques font sans cesse évoluer leurs méthodes. Ce qui fonctionne aujourd’hui ne sera probablement pas suffisant dans un mois.
Alors que les entreprises maîtrisent mieux les attaques par rançongiciel et que les organismes chargés de l’application de la loi dans le monde entier commencent à sévir contre les cybercriminels, de plus en plus de cybercriminels sont attirés par la perspective moins risquée de propager des logiciels de crypto-minage malveillants.
Le paysage des attaques au cours des douze derniers mois a principalement été marqué par l’évolution des programmes malveillants et par le crypto-minage. Avec l’arrivée de crypto-virus de type rançongiciel basés sur le réseau, l’élément humain n’est plus nécessaire au lancement de campagnes d’attaques par rançongiciel. Et pour certains pirates informatiques, le but visé n’est pas tant le paiement d’une rançon que l’anéantissement total des systèmes et des données, comme l’a montré le programme malveillant effaceur Nyetya. Les programmes malveillants se propageant par eux-mêmes sont dangereux et ont la capacité de nuire non seulement à votre entreprise, mais également à Internet.
Les sauvegardes sont le seul moyen sûr de fournir une protection contre les conséquences catastrophiques et doivent respecter les normes de protection des données les plus strictes. Avec une approche intégrée des sauvegardes, rendue possible par un système de fichiers inaltérables, les entreprises peuvent être assurées de pouvoir faire face aux attaques les plus redoutables.