Depuis le début de la crise sanitaire, les attaques par ransomware ne cessent de se multiplier à travers le monde, n’épargnant aucun profil d’organisation ni aucun secteur d’activité. En juin dernier, Les États Unis ont même élevé la menace ransomware au même rang de priorité que le terrorisme, à la suite du piratage de Colonial Pipeline et des dommages croissants causés par les cybercriminels.
La cyber-résilience devient donc une nécessité. Mais à mesure que les organisations progressent pour se protéger des menaces, les cybercriminels contournent les nouvelles barrières et développent des approches de plus en plus sophistiquées. Ce jeu du chat et de la souris dure depuis plus de vingt ans. Or il faut veiller à ne pas se laisser irrémédiablement devancer.
Les sauvegardes et les restaurations dans le viseur
A leurs débuts, les ransomwares consistaient à chiffrer les données de production et à demander une rançon pour obtenir la clé de déchiffrement. C’était un processus transactionnel assez simple. Mais depuis quelques années, les attaques évoluent et cherchent à éliminer directement les fichiers de sauvegarde. Difficile de ne pas céder à la pression de payer la rançon quand vos données sont chiffrées et vos sauvegardes détruites…
Mais le vice du cybercrime ne s’arrête pas là. Désormais, les acteurs malveillants ne se contentent pas de chiffrer les données et d’empêcher leur restauration. Ils exfiltrent les données, menaçant de les vendre sur le dark web ou même sur Internet. Une perspective à donner des sueurs froides à n’importe quelle organisation, d’autant plus qu’elle risque d’exposer ses fournisseurs, ses partenaires et ses clients.
Comment empêcher les exfiltrations de données ?
Quel que soit le degré d’avancement de vos dispositifs de sécurité, il peut être compliqué d’isoler les communications illégitimes sur un réseau ne détectant pas d’anomalie ou de comportement suspect. Les cybercriminels le savent, les tentatives d’exfiltration massive de données sont plus faciles à détecter (et font par ailleurs appel à des compétences techniques plus pointues et rares). Ils tentent donc des approches plus discrètes, ciblant parfois des données très précises, d’un volume si faible (quelques Go de données) qu’elles passent généralement sous le radar.
Pendant des années, les grandes entreprises ont abordé la cybersécurité avec une approche ponctuelle. Une menace, une solution. Lorsque les responsables de la sécurité ont argué que la gestion d’outils disparates était devenue un cauchemar, les fournisseurs ont réagi en proposant des outils de gestion et d’administration qui se superposaient à des technologies de sécurité indépendantes. Cette solution était loin d’être idéale, mais elle était suffisante pour contrer les menaces au coup par coup. Malheureusement, les solutions ponctuelles ou bricolées n’ont rien ni de pérenne, ni d’efficace contre les cyberattaques d’envergure. Elles ne font que créer des angles morts dans les dispositifs de sécurité.
Une question de confiance
L’onde de choc d’une cyberattaque va bien au-delà du défi de restaurer ses données et systèmes. Elle atteint aussi les clients, les fournisseurs et les partenaires. Et restaurer la confiance avec toutes ces parties prenantes peut se révéler être un défi encore plus ardu.
Progressivement, les approches Zero Trust se sont donc imposées auprès des fournisseurs de solutions de sécurité comme un moyen de stopper les ransomwares plus rapidement. Lancé il y a plus de 10 ans par les analystes de Forrester, ce mécanisme de défense part du principe que tout le trafic réseau doit être considéré comme non fiable. Il s’agit en quelque sorte de l’alternative moderne à la sécurité périmétrique, fondée sur le principe « ne jamais faire confiance, toujours vérifier ».
Désormais, le Zero Trust ne suffit plus. Il est devenu urgent de revoir en profondeur sa gestion des données, en faisant converger gouvernance et sécurité. Une telle approche apporte de nombreux avantages, comme d’automatiser la classification des données en fonction des réglementations telles que le RGPD pour répondre aux besoins de conformité, ou de renforcer les environnements avant que les attaques ne se produisent. Les technologies d’IA permettent en effet d’identifier les accès aux données sensibles dans les données de sauvegarde et de production, ou encore de détecter les anomalies comportementales en quasi temps réel, par exemple lorsqu’un utilisateur accède soudainement à d’importants volumes de données, signe pouvant être précurseur d’une exfiltration de données.
Réduire le rayon d’action des ransomwares
Parce que les exfiltrations de données deviennent de plus en plus courantes, nulle organisation ne peut aujourd’hui se permettre d’ignorer où se trouvent ses données, comment elles sont classées et qui les utilise. C’est l’unique moyen de pouvoir définir avec précision ce que seront des comportements déviants.
Il faut donc bannir le phénomène de fragmentation des données, qui entrave l’efficacité des mesures de sécurité. Les cybercriminels ne devraient pas être les seuls à s’appuyer sur l’automatisation et l’IA pour cartographier un environnement afin de déterminer où se trouvent les données les plus importantes.
Le problème est que les collaborateurs ne réfléchissent pas réellement aux données et à l’endroit où ils les mettent. Ils téléchargent des fichiers sur le réseau de l’entreprise et les importent sur leur ordinateur, puis les y laissent. Avec la gouvernance requise pour aller au-delà du Zero Trust, cela ne peut pas se produire, car dès qu’il est identifié que les données sont au mauvais endroit, une décision peut être prise pour bloquer l’accès ou mettre les données en isolement.
L’évolution implacable du paysage de la cybermenace nécessite un changement de stratégie en profondeur des organisations. Gouvernance et sécurité ne doivent désormais plus faire qu’un, pour protéger efficacement les données et tout l’écosystème qui gravite autour.
___________________
Par Tony Fanni, Ingénieur Systèmes, Cohesity