Le paysage des cybermenaces est en constante évolution et les ransomwares représentent sans doute l’un des plus importants facteurs de risques actuels. Ce type de logiciel malveillant menace de publier les données des victimes ou d’en bloquer l’accès de manière permanente, à moins qu’une rançon ne soit versée. Ces attaques peuvent avoir des conséquences catastrophiques pour les entreprises modernes qui se reposent sur leurs données pour mener leurs activités et se développer.
Au mois de mars 2020, McAfee signalait déjà que les attaques de ransomwares avaient plus que doublé en l’espace d’un an et la compagnie d’assurance Beazley faisait état d’une augmentation des attaques de l’ordre de 25 % entre le dernier trimestre 2019 et le premier trimestre 2020. En outre, de nombreuses autres sources parlent d’un renforcement de la menace que représentent les ransomwares.
Un paysage de plus en plus menaçant
La pandémie du COVID-19 a causé d'énormes perturbations pour les entreprises, et a créé une nouvelle norme pour le fonctionnement de nombreuses organisations. La plupart des employés se sont soudain trouvés forcés de travailler à distance et il est probable que cette situation perdure encore quelques temps.
Si cette nouvelle manière d’opérer est une nécessité vitale, elle a néanmoins offert de nouvelles opportunités aux hackers qui cherchent à tirer profit du fait que beaucoup de personnes vont potentiellement travailler depuis des réseaux et des systèmes domestiques non sécurisés, passer des appels professionnels importants et assister à des réunions virtuelles, ouvrant ainsi des brèches qui les rendent vulnérables aux cyberattaques. Par conséquent, il n’est pas surprenant que la crise du COVID-19 aille de pair avec une hausse subite des attaques de ransomwares, poussant de nombreuses entreprises spécialisées en cybersécurité à proposer leurs conseils et de nouvelles mesures de protection à leurs clients. Cependant, l’un des sujets qui n’est pas fréquemment évoqué en lien avec les ransomwares est le rôle essentiel que joue le stockage des données dans la réduction des risques.
La prévention ne suffit plus
Dans le cadre de leur stratégie de cybersécurité, les entreprises ne peuvent plus se reposer uniquement sur les systèmes anti-intrusion. Il est essentiel pour les entreprises de prendre des précautions afin de se prémunir contre une attaque, mais celles-ci doivent également planifier la récupération de leurs données en cas d’attaque réussie. Cela passe par la mise au point d’une stratégie qui prenne en compte la nécessité de restaurer ces données dès que possible.
Dans la vaste majorité des cas, une fois qu'une entreprise a été infectée par un ransomware, il est déjà trop tard. Si tous s’accordent sur le fait qu’il ne faut pas payer la rançon, les données, une fois chiffrées, sont irrécupérables. Les équipes informatiques ont alors la possibilité de restaurer l’ensemble des données à partir de sauvegardes. Celles-ci peuvent toutefois se révéler obsolètes, ce qui débouche sur une perte d’informations ; cela implique que les sauvegardes soient disponibles et non chiffrées, mais également qu'elles n'aient pas été supprimées lors de l’attaque.
Récemment, les cyberattaquants ont de plus en plus tendance à cibler les sauvegardes en vue de les supprimer, car ils sont conscients qu’elles constituent la dernière ligne de défense de l’entreprise. La récupération des données devient alors impossible, ce qui force les entreprises à opter pour le paiement de la rançon ou à se résigner à une perte de données qui peut parfois causer des dommages irréversibles. Or il n’existe aucune garantie qu’une fois la rançon payée, elles pourront récupérer leurs données ni qu’elles ne seront pas la cible de futures attaques ou victimes de nouvelles stratégies d’extorsion. Il ne faut pas oublier que ces attaquants sont des multirécidivistes.
Le recours aux snapshots pour lutter contre les ransomwares
C’est alors qu’interviennent les snapshots, qui ont pour rôle de protéger les données au même titre que les sauvegardes, mais dans le but de minimiser la perte de données et le temps de restauration. Ils font office d’index détaillé et protègent des métadonnées qui jouent un rôle de guide, permettant d’accélérer considérablement le processus de restauration des données. Ces snapshots sont peu encombrants car ils tirent parti des gains tels que la déduplication des données ou bien encore de la forte compression des données, et n’impactent pas les performances des volumes de données en production grâce à une gestion particulière des méta-données. Ces snapshots sont automatisés de bout-en-bout via des politiques de protection afin d’offrir une solution flexible et fiable qui permet aux entreprises d’opérer sans inquiétude.
Ces instantanés uniques, qui fonctionnent en mode lecture seule, sont immuables et empêchent les cyberattaquants de supprimer les sauvegardes stockées. Après activation, des snapshots automatiques sont stockés pendant une durée prédéterminée par le client et ne peuvent être supprimées ni par celui-ci ni par quiconque disposant d’un accès administrateur au système ou au logiciel de sauvegarde.
En effet, seul un membre désigné du support technique de l’entreprise est habilité à changer le paramétrage, à condition qu’il contacte son homologue au support technique pour vérifier son identité et déverrouiller le système. Ainsi, même si le compte administrateur de l’entreprise est compromis, les hackers ne peuvent pas toucher aux snapshots et les données peuvent être restaurées facilement.
La vitesse de restauration : l'élément différentiateur sous-estimé
Même si elles utilisent des snapshots immuables, les entreprises restent néanmoins limitées par la vitesse de restauration des données avant d’être de nouveau opérationnelles dans un environnement qui avance à un rythme effréné. Imaginons qu’un grand revendeur en ligne cesse toute activité ne serait-ce une heure, l’impact sur son chiffre d’affaires pourrait s’élever à plusieurs milliers, voire plusieurs millions d’euros. C’est pourquoi, s’il est la victime d’une attaque de ransomware, ce revendeur voudra restaurer ses données sécurisées aussi rapidement que possible.
Les entreprises devraient opter pour des solutions de sauvegarde capables de restaurer les données de manière massivement parallèle, afin de recouvrer leurs données et leur activité le plus rapidement possible, sans avoir à s’inquiéter des attaques de ransomwares. Une solide stratégie de cybersécurité, renforcée par des snapshots de dernière génération et une solution de restauration rapide des données, permet de réduire la phase de récupération après une attaque de ransomware de plusieurs semaines à seulement quelques heures.
Par Gabriel Ferreira, directeur technique France, Pure Storage