Une sauvegarde est un outil crucial lorsqu’il s’agit de récupérer ses données après une cyberattaque de type ransomware. Dans le cadre d'une solution de gestion des données plus complète, elle peut même stopper la menace dans sa course, avant de faire davantage de dégâts.
En matière de cybercriminalité, c’est sans contexte une attaque par ransomware qui obtient la palme de la cyber menace la plus inquiétante et la plus pénalisante, pouvant toucher des organisations de tous profils, comme récemment Essilor, le CHU de Rouen, Bouygues Construction ou encore la mairie de Marseille. Nul besoin d'être un grand nom pour être attaqué, tout le monde est une cible potentielle. Dans ces conditions, la protection des données devrait être un élément fondamental de toute stratégie de cybersécurité tout comme la mise en place d’une véritable politique de sauvegarde permettant une récupération rapide en cas d’attaque. Parce qu’il ne s’agit pas ici de faire de simple sauvegardes…
Ils savent où se trouvent vos données
Les pirates informatiques ne sont pas stupides. Ils savent que les entreprises sauvegardent régulièrement leurs données et que la plupart d'entre elles considèrent que c'est le meilleur moyen de se "protéger" contre le chiffrement frauduleux de données. Ils savent également que de nombreuses organisations stockent désormais leurs sauvegardes en ligne, souvent sur des plateformes de cloud public et, tout aussi souvent, en utilisant des services de synchronisation tels que Dropbox, OneDrive et Google Drive. De même, de nombreuses solutions de reprise après sinistre reposent sur une réplication active/active vers des réverses de données en réseau pour fonctionner. Les ransomware ciblent désormais systématiquement toutes ces ressources, ainsi que les données en direct, ce qui fait qu'il est de plus en plus fréquent que les victimes découvrent que, lorsqu'elles en ont le plus besoin, leurs sauvegardes et leurs systèmes de récupération des données sont également cryptés et inutilisables.
L’un des premiers réflexes à adopter pour contrer cette menace est de revoir sa politique de sauvegarde. En France, les organisations sont invitées à suivre les recommandations de l’ANSSI, soulignant notamment la nécessité de faire des sauvegardes régulières de ses données pour atténuer les risques. Tout cela est très bien, sauf que, comme c'est le cas pour de nombreux conseils en matière de ransomware, l'hypothèse est que la sauvegarde est un outil de dernier recours, qui ne sert qu'à la récupération après une attaque, alors qu'elle peut en fait être utilisée pour aider à la prévenir.
Mieux vaut prévenir que guérir
Dans les faits, la meilleure approche consiste à toujours inclure la sauvegarde et la protection contre les logiciels malveillants comme des composantes intégrales d'une stratégie globale de gestion des données. Et non pas, comme c'est souvent le cas, de les verrouiller après coup.
De même, il est essentiel de comprendre que les solutions de gestion des données requises ont des capacités variables qui, dans certains cas, limiteront la portée des mesures de sauvegarde/restauration. Cela ne veut pas dire que vous ne devez pas essayer - les enjeux sont importants - et si les outils dont vous disposez ne sont pas à la hauteur, des alternatives existent.
La question est de savoir de quelle fonctionnalité vous avez besoin, au-delà de la simple sauvegarde et restauration. Malheureusement, il n'existe pas de formule magique, mais il est quand même intéressant de réfléchir à trois points essentiels :
1Pouvez-vous analyser vos sauvegardes ?
L'analyse proactive des vulnérabilités est la première ligne de prévention contre les logiciels malveillants. Mais l'analyse en live des systèmes de production et des actifs partagés sur une infrastructure distribuée étendue n’est pas si simple. L'analyse des sauvegardes est moins problématique car elle peut être effectuée sans avoir d'impact sur la disponibilité du système et, comme les sauvegardes sont plus souvent centralisées, sans avoir à gérer une analyse à de multiples points du réseau.
Il est important de noter cependant qu’il ne s’agit pas juste de trouver des outils capables d’analyser les sauvegardes pour isoler celles qui seraient corrompues. On parle ici de véritables systèmes d’alertes pour prendre des mesures préventives lorsque des logiciels malveillants et des vulnérabilités potentielles sont détectés.
2Pouvez-vous verrouiller vos sauvegardes ?
L'époque où les sauvegardes étaient enregistrées sur bandes et stockées dans des vaults hors site est révolue. La prévention contre ransomware nécessite de trouver un juste équilibre entre sécurité, rapidité et facilité de récupération. Ainsi, en plus des copies hors ligne, les entreprises réalisent désormais des snapshots, généralement à l'aide d'outils de réplication automatisés.
Les cybercriminels ont perfectionné leurs méthodes et ciblent maintenant les sauvegardes, en les supprimant ou en les cryptant. Pour contrer ce problème, vos sauvegardes doivent être stockées dans un état immuable (verrouillé) qui ne peut être modifié ou supprimé. Bien que tous les programmes de sauvegarde ne le permettent pas, beaucoup le font, et cela peut également être mis en œuvre via des plateformes de gestion de données étendues.
3Pouvez-vous effectuer une restauration facile, rapide et à grande échelle ?
La récupération est un processus long et complexe, en particulier lorsqu'une organisation dépend d'une infrastructure hybride d’envergure couvrant plusieurs jeux de données sur site et dans le cloud. Les outils qui peuvent être utilisés sur une infrastructure d’une telle envergure et qui se concentrent à la fois sur les objectifs de point de récupération rapide (RPO) et les objectifs de temps de récupération rapide (RTO) sont essentiels et doivent être priorisés car, sans eux, la récupération peut prendre des jours, voire plus…
Bien sûr, il y a beaucoup d'autres facteurs à prendre en compte et de réponses à trouver, surtout avec des cyberattaques qui évoluent et deviennent de plus en plus sophistiquées. Il est ainsi devenu essentiel de revoir régulièrement sa stratégie de gestion des données. Il n'existe pas de solution unique, mais quelle que soit l'approche, il est essentiel d’adopter une bonne hygiène de gestion des données ainsi qu’une défense multi-couches afin d'isoler les sauvegardes des données de production.
Vous pourriez aussi envisager de payer la rançon, mais nous savons tous que cela ne résout pas le problème de fond ; à l’inverse, cela ne ferait qu’encourager les acteurs de la menace à lancer de nouvelles attaques.
Par Frédéric Lemaire, Directeur France, Cohesity