Quand il s’agit de ransomwares, il n’est plus question de savoir quand ni comment, mais de connaître la potentielle fréquence de ces attaques. En moyenne, une entreprise est victime d’une attaque par ransomware toutes les 11 secondes, faisant de ce type d’attaques celui qui connaît la croissance la plus rapide. Aujourd’hui, les entreprises doivent non seulement réfléchir à des stratégies de prévention contre les ransomwares, mais aussi à la manière de protéger et de récupérer leurs données si elles sont victimes d’une attaque. Après tout, ce ne sont pas seulement les données qui sont perdues, c’est toute l’activité de l’entreprise qui est paralysée.
Les attaques récentes contre la Scottish Environment Protection Agency (SEPA) est l’un des nombreux exemples montrant l’importance d’une bonne stratégie de sauvegarde et de reprise. Plus de 4 000 fichiers numériques de la SEPA ont été volés par les hackers. L’agence possédait bien des systèmes de sauvegarde, mais n’a pas été en mesure de récupérer tous ses ensembles de données. Il faudra vraisemblablement plusieurs années à l’agence pour s’en remettre complètement.
Mais se remettre d’une attaque par ransomware ne doit pas être un processus aussi incertain, ni aussi laborieux. En mettant en place de bonnes stratégies, les entreprises peuvent se remettre rapidement et en toute sécurité d’une attaque par ransomware et reprendre leurs activités en limitant au maximum le temps d’arrêt. Voici alors quelques étapes clés que les entreprises devraient toujours à avoir à l’esprit.
Restaurer les données
La première chose à faire face à une attaque par ransomware est d’évaluer vos options de récupération. Les entreprises peuvent adopter une approche ascendante complète - réinstallation des systèmes et récupération des données - ou bien miser sur des ensembles de données plus petits qui peuvent être récupérés rapidement. Selon le résultat souhaité, voici quelques options à considérer :
- La restauration baremetal : Si l’ensemble du serveur est chiffré, l’entreprise devra effectuer une restauration dite « baremetal ». Elle aura besoin des données sauvegardées sous une forme qui lui permette de restaurer le système informatique à partir de son état baremetal. Cependant, l’entreprise ne devrait pas à avoir à réinstaller les systèmes d’exploitation ou à configurer le matériel manuellement.
- La restauration granulaire : Il s’agit de restaurer rapidement certaines données. Toutefois, l’entreprise peut laisser certaines données en dehors du processus de récupération immédiat et les inclure dans un second temps. Cela suffit parfois à remettre rapidement l’entreprise sur pied, même si tous les systèmes ne sont pas encore complètement rétablis.
- Les restaurations instantanées à partir de MV : Cette option est adaptée pour les entreprises quiont besoin de récupérer leurs données sauvegardées le plus rapidement possible, et qui peuvent se permettre de rechercher le ransomware ultérieurement. Les restaurations instantanées permettent de restaurer les données à partir de machines virtuelles en quelques minutes, quel que soit l’endroit où se trouve l’infrastructure.
- Le datacenter« à la demande » : Ce type de récupération implique l’envoi préalable d’une copie des données primaires de l’entreprise sur un réseau public propriétaire vers un serveur hors site. Le serveur est généralement hébergé par un fournisseur de services tiers qui facture des frais à l’entreprise en fonction de la bande passante, de la capacité ou du nombre d’utilisateurs. Un bon logiciel de gestion des données peut aider à maîtriser les coûts. Après une attaque, toutes les données des entreprises peuvent être restaurées à partir du serveur du fournisseur de services tiers.
La meilleure option de récupération dépendra de l’ampleur de l’attaque et du niveau de préparation de l’entreprise. Il est important de prendre le temps de comprendre ces différentes options de récupération afin de pouvoir agir rapidement et garantir que l’entreprise reste opérationnelle après une attaque.
Améliorer la résilience contre les ransomwares
Le meilleur moment pour renforcer sa résilience contre les ransomwares se situe avant une attaque, mais il est peut-être déjà trop tard. Il est nécessaire de prendre les bonnes mesures pour s’assurer que l’entreprise ne sera plus vulnérable à l’avenir. À titre de référence, voici cinq mesures utilisables pour améliorer sa résilience contre les ransomwares :
- Distribuer les données :l’entreprise doit disposer de bons outils de protection des données pour les ordinateurs de bureau et les ordinateurs portables afin de garantir que les employés sur les différents sites et ceux qui sont en télétravail disposent d’une sauvegarde continue de leurs données. Il faut donc suivre une approche de sauvegarde 3-2-1-1 : l’entreprise doit avoir au moins trois copies de ses données sur deux supports différents avec au moins une copie sur place et une copie hors site.
- Stocker les données en toute sécurité : le chiffrement des données peut contribuer à retarder les attaques en rendant plus difficile pour les ransomwares d’identifier les données stockées. En outre, en cas de violation du système de stockage, les fichiers chiffrés sont beaucoup plus difficiles à partager en ligne, ce qui évite que les auteurs des attaques ne diffusent publiquement des informations importantes dans le cadre d’un chantage visant à soutirer plus d’argent.
- Restreindre l’accès aux sauvegardes : les attaques par phishing étant le point d’entrée le plus courant pour les ransomwares, le fait de limiter l’accès aux informations d’identification des sauvegardes peut réduire le risque d’erreur.
- Planifier des sauvegardes fréquentes : en effectuant des sauvegardes plus fréquentes avec un objectif clair à l’esprit, l’entreprise pourra réduire le temps de récupération, et ainsi gagner de précieuses secondes, minutes, voire des heures.
- Effectuer des tests des plans de récupération de données : même si le test des plans de récupération des données peut impliquer la mise hors ligne des systèmes de production pendant de courtes périodes, cela permet de vérifier qu’ils seront efficaces pendant et après une attaque.
Obtenir un soutien supplémentaire
Les attaques par ransomware sont en augmentation et, à vrai dire, aucune organisation n’est à l’abri. Mais les gouvernements et l’ensemble du secteur s’efforcent de lutter contre cette menace de plus en plus pressante.
Les organisations et entreprises ne doivent pas hésiter à demander l’aide d’experts du secteur pour se remettre d’une attaque par ransomware et/ou prévenir une future attaque. Rechercher l’assistance de fournisseurs qui offrent une protection contre les ransomwares et aident les entreprises à développer des stratégies de protection et de récupération est également une bonne approche. Ces experts sont notamment là pour répondre à vos questions.
Le moment où nous pourrons dire que nous en avons fini avec les ransomware n’est pas près d’arriver. Cependant, en faisant en sorte que leurs stratégies de stockage de données soient solides et sûres, les entreprises pourront minimiser les pertes, accélérer la récupération et maintenir leurs activités.
Par Jean-Pierre Boushira, Vice-President South, Benelux &Nordics chez Veritas Technologies