Mais dans les semaines qui entourent cette journée du World Backup Day, les nouvelles du front restent les mêmes, des entreprises continuent d’être attaquées et leurs données prises en otages par des cybercriminels chevronnés.
Et si le dernier Panorama de la menace de l’ANSSI note un léger recul du nombre d’attaques par rançongiciels portées à sa connaissance(209 en 2021 contre 103 en 2022), il démontre en revanche que les organisations du secteur public sont une cible de plus en plus privilégiée par les hackers. Le rapport souligne aussi qu’en raison de la guerre en Ukraine, les acteurs de la menace soutenus par la Russie et ses alliés s’attaquent de plus en plus aux infrastructures critiques telles que les hôpitaux.
La vague de cyberattaques qui a touché le secteur hospitalier français a pris une ampleur sans précédent au cours de l’année passée. À l’été 2022, l’une des attaques les plus fulgurantes mettait quasiment hors service le Centre Hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes. Selon certains experts, la situation a été si dégradée que le coût total pour un retour à la normale aurait été estimé à deux millions d’euros, soit le double de la rançon demandée par les malfaiteurs pour débloquer les données.
Pour les organisations et les entreprises, les sauvegardes fréquentes de données sont donc essentielles, même si ce n’est que la première étape du processus. L’étape suivante consiste à programmer des sauvegardes fréquentes qui stockent les données nécessaires à la poursuite efficace des activités de l’entreprise en cas d’interruption, et à stocker les données sauvegardées dans un fichier immuable afin qu’elles ne soient accessibles qu’aux personnes ayant des rôles et des privilèges d’accès spécifiques. Enfin, les organisations doivent être en mesure de récupérer rapidement ces sauvegardes afin de minimiser l’impact des perturbations sur l’activité de l’entreprise.
La collaboration est toujours aussi essentielle
Alors que depuis maintenant plusieurs années les professionnels de l’industrie recommandent une plus grande convergence entre les fonctions IT et celles dédiées sécurité des opérations (SecOps), pourquoi les entreprises ont-elles toujours autant de difficultés avec cette tâche ?L’une des raisons est la complexité de leurs environnements et leur dépendance croissante à l’égard des logiciels et des données, qui sont de plus en plus dispersées. Pour y faire face, beaucoup d’entreprises ont eu recours à différentes solutions de sauvegarde et de reprise après sinistre, une approche in fine en silo. Résultat : certaines applications sont négligées, et les failles passent entre les mailles du filet de sécurité. En cas d’urgence, les processus de sécurisation des données doivent être exécutés manuellement, et ce dans un environnement de stress élevé. Des erreurs se produisent et le temps de récupération s’allonge.
Aux vues de la croissance exponentielle du volume d’information détenue par les entreprises, une approche centralisée de la sécurisation et de la gestion des données est plus que nécessaire, et doit s’accompagner d’un plan solide visant à renforcer la résilience des systèmes opérationnels.
Au-delà de la réponse technique, il est aussi essentiel pour les entreprises de s’assurer que leurs équipes IT et SecOps puissent travaillent plus étroitement. Les deux départements doivent se serrer les coudes pour prévenir et contenir les conséquences d’une attaque réussie, tout en assurant la continuité des opérations et remédier au mieux aux risques de compromission future.
Mesurer les capacités de résilience cyber
L’évaluation du niveau de cyber résilience de l’organisation doit être définie de manière objective et possiblement quantifiable, idéalement par un duo RSSI/DSI. Les indicateurs de performances doivent inclure des objectifs ambitieux de RPO (Recovery Point Objective) et RTO (Recovery Time Objective) qui définissent une même finalité : mesurer la capacité et la vitesse de restauration des services et de récupération des données critiques, notamment dans le cas d’une attaque de ransomware.Le RPO et le RTO guideront également les deux équipes sur les procédures de contrôles et les KPIs nécessaires pour fournir la posture de sécurité souhaitée, et ce, au-delà de l’approche plus traditionnelle de reprise après sinistre et plan de continuité des activités.
Une fois les objectifs communs définis, les équipes ITOps et SecOps peuvent entamer une discussion constructive sur la façon d’équilibrer les investissements pour la mise en place de contrôles de protection, et les procédures pour minimiser l’impact en cas de violation de ces mêmes règles de contrôle. En suivant cette approche, la conversation budgétaire conjointe reste alignée sur la posture de sécurité et définit les priorités adéquates pour atteindre le niveau de résilience opérationnelle souhaitée.
S’accorder sur la surface d’attaque à protéger
Les deux équipes doivent partager une même compréhension de la surface d’attaque potentielle à protéger. Pour y parvenir, les deux équipes se doivent de savoir quelles données l’organisation sauvegarde, et où (sur site, dans le cloud privé, public ou en multicloud). Les deux équipes doivent également avoir la même compréhension du niveau de maturité de leur organisation quant à la visibilité de ses données sensibles et critiques, et définir ainsi comment, en cas d’attaque et de perte de données, assurer la continuité des opérations.Enfin, si une attaque devait se produire, les équipes ITOps et SecOps doivent définir dans quelle mesure elles collaboreront pour y répondre. Dans ce contexte, les équipes IT doivent être liées au processus de réponse aux incidents. Pour évaluer la qualité de leur interaction et identifier les barrières qui existent, les deux équipes peuvent effectuer régulièrement des exercices et des simulations, y compris des tests de récupération en « clean room », c’est-à-dire en environnement neutre, pour évaluer le temps réel de récupération (RTO), souvent différent de celui du plan de continuité des activités.
Par Mark Molyneux, Directeur Technique EMEA chez Cohesity