Les entreprises surestiment souvent leur résilience face aux cyberattaques, négligeant la préparation à la récupération après une intrusion inévitable. Avec l’évolution rapide des techniques d’attaque, notamment via l’intelligence artificielle, une stratégie de défense axée sur la protection et la restauration sécurisée des données de sauvegarde devient cruciale.

Si nombre d’organisations ont investi massivement dans des outils de défense de première ligne pour tenter d’empêcher les cybercriminels de s’introduire dans leur infrastructure, elles ont consacré beaucoup moins de temps et d’argent à se préparer à ce qui se passe lorsque les criminels finissent par y accéder. Et ils ont de grandes chances d’y parvenir !

L’utilisation de l’intelligence artificielle permet aux acteurs malveillants d’être plus habiles que jamais pour infiltrer les réseaux d’entreprise avec pour conséquences des violations de plus en plus graves. Par conséquent, les entreprises doivent modifier leur réflexion stratégique pour mettre l’accent sur la manière de se remettre rapidement et en toute sécurité d’un cyber incident.

Les entreprises ont un faux sentiment de cyber-résilience

Pendant des décennies, les entreprises ont pu exploiter en toute confiance des environnements informatiques résilients. Dans l’ensemble, elles étaient en mesure de protéger suffisamment leurs précieux actifs technologiques contre les pirates informatiques en bloquant simplement les quelques points d’accès disponibles. Et en supposant qu’une entreprise ait mis en place un système de récupération, en cas d’interruption – qu’il s’agisse d’une catastrophe naturelle ou d’autres événements mettant les services hors ligne – elle n’avait généralement que peu de difficultés à reprendre ses activités.

Le contexte a radicalement changé. L’essor de l’informatique dématérialisée a rendu obsolète le concept de périmètre de sécurité. Alors que le nombre d’applications numériques continue d’exploser, les environnements informatiques sont devenus plus complexes et plus étendus. Selon une étude sectorielle, les employés utilisent aujourd’hui plus de 35 outils logiciels différents dans le cadre de leur travail régulier, ce qui les oblige à changer d’application jusqu’à 1 100 fois par jour. Et l’IA donne désormais aux acteurs malveillants un avantage majeur sur leurs cibles d’entreprise, dont beaucoup ne savent pas encore comment déployer l’IA dans leur propre arsenal défensif.

Aujourd’hui, la vitesse et l’ampleur des attaques dépassent la capacité de réponse des entreprises et les conséquences peuvent être désastreuses. Le coût moyen d’une violation est estimé à environ 5 millions de dollars, sans parler des atteintes potentielles à la réputation. De plus, les entreprises publiques doivent faire face à de nouvelles obligations de divulgation des failles imposées par des agences fédérales telles que la SEC, qui élèvent la question de la cybersécurité au niveau du conseil d’administration.

Face à ces défis, les entreprises doivent mener des opérations informatiques plus résilientes et s’assurer qu’elles sont réellement préparées à une cyberattaque. Mais la condition la plus importante est de mettre en place une stratégie de défense plus solide, axée sur la protection des données de sauvegarde. Lorsque l’inévitable brèche se produit, une organisation doit s’assurer qu’elle sera en mesure de répondre par une récupération rapide, complète et propre des données.

La sauvegarde n’est pas automatiquement synonyme de récupération

Globalement, le marché de la cybersécurité a explosé pour atteindre plus de 200 milliards de dollars par an. Mais seul un petit segment de ce marché se concentre actuellement sur la cyber-reprise.

Autrefois, la récupération des données après une panne de réseau ou une catastrophe naturelle était simple : les entreprises recherchaient leur dernière sauvegarde de données et s’en servaient comme point de départ pour reprendre leurs activités. Mais que se passe-t-il lorsque des pirates informatiques s’infiltrent dans ces données de sauvegarde ? Et comment les entreprises peuvent-elles savoir si les données infectées sont répliquées dans leurs sauvegardes ? Ces facteurs rendent la reprise d’activité beaucoup plus difficile.

Si les cyberattaques semblent se produire en un instant, la plupart d’entre elles sont en préparation depuis des mois. Selon une étude d’IBM, les cyber-criminels s’introduisent dans les systèmes pendant 277 jours en moyenne, avant d’être détectés. Et pendant qu’ils se cachent silencieusement, les pirates implantent des ransomwares ou d’autres logiciels malveillants dans des environnements critiques, y compris des données de récupération.

Dans les faits, 93 % des attaques par ransomware visent désormais les référentiels de sauvegarde. Par ailleurs, la plupart des entreprises ne conservent leurs données que pendant 45 jours en moyenne, ce qui signifie qu’il existe souvent un écart important entre les données « propres » et celles potentiellement infectées. Lorsque les pirates informatiques passent à l’action, l’entreprise se précipite pour récupérer ses informations et risque de libérer le ransomware qui va infecter largement l’environnement de production. C’est pourquoi il est important d’investir dans des outils de récupération performants et de s’assurer que les données de sauvegarde sont sécurisées bien au-delà de la défense de première ligne.

Investir dans la cyber-récupération

Quels sont donc les outils et les processus nécessaires pour répondre efficacement à une attaque et s’en remettre ?

Historiquement, les entreprises souhaitant disposer d’un endroit sûr pour restaurer leurs données après une attaque ont construit leur propre « dark site », une entreprise coûteuse, même pour les organisations les plus compétentes sur le plan technique. L’alternative la plus courante consistait à stocker leurs données de sauvegarde quelque part dans leur environnement cloud, en espérant que tout irait pour le mieux. Aujourd’hui, les entreprises peuvent investir dans des plateformes sous-jacentes qui facilitent la création d’environnements de sauvegarde sécurisés et permettent de les tester à moindre coût. Ensuite, en cas d’incident, les entreprises peuvent rapidement se remettre en marche.

En attendant, les entreprises soucieuses de protéger leurs données de sauvegarde doivent adopter ce que l’on appelle la stratégie « 3, 2, 1 ». Dans le cadre de ce plan, les entreprises stockent trois copies de leurs données. Au moins deux d’entre elles doivent être conservées dans des lieux distincts. Sur ces deux copies, l’une d’entre elles doit être « déconnectée », c’est-à-dire séparée et sécurisée dans le cloud, dans un centre hors ligne auquel seuls quelques employés accrédités peuvent avoir accès.

Ainsi, lorsque le RSSI détermine qu’un cyber-événement est en cours et tire la sonnette d’alarme, les équipes chargées de la récupération disposent d’un environnement sécurisé de secours. Ce référentiel propre est également précieux à des fins de validation, en particulier lorsque l’équipe procède à un audit, généralement un examen semestriel de tous les systèmes informatiques pour détecter une éventuelle anomalie et s’assurer que l’entreprise se conforme à toutes les réglementations en matière de cybersécurité.

Trop souvent, cependant, la personne ou l’équipe responsable de la récupération ne l’apprend que bien après la découverte d’une faille. En effet, les entreprises ont encore tendance à considérer que la sécurité relève du domaine du RSSI, tandis que la sauvegarde et la récupération des données sont laissées aux équipes informatiques qui travaillent sous la direction du DSI. Par conséquent, l’équipe chargée de la récupération des données risque de ne pas être informée suffisamment tôt de l’existence d’une violation.

Dans l’environnement actuel, les équipes chargées de la sécurité et de la reprise d’activité ne peuvent plus fonctionner en vase clos. Outre les changements organisationnels visant à assurer la communication et la collaboration, les entreprises peuvent adopter des outils de reprise modernes qui s’intègrent à d’importantes technologies connexes, telles que les systèmes de gestion des informations de sécurité (SIEM) et d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR), ce qui permet aux entreprises d’alerter les équipes de reprise dès qu’une activité suspecte est détectée dans l’environnement de production.

L’IA change la donne. Alors que les entreprises étudient la technologie, les pirates informatiques l’utilisent pour amplifier leurs tactiques déjà très efficaces. La récupération doit maintenant devenir une considération de sécurité aussi importante pour les entreprises que la protection contre les violations et leur détection.

En reliant l’équipe et la technologie de récupération au reste du dispositif de sécurité, les entreprises seront beaucoup plus rapidement opérationnelles après les cyber incidents et peuvent s’assurer que les environnements de sauvegarde restent protégés contre les incessantes attaques numériques.
____________________________

Par Xavier Bourdelois, SE Manager France chez Commvault

 

À lire également :

Toujours plus de données, toujours plus de risques… comment rationaliser ?

La réglementation comme arme contre la cybercriminalité

Résilience des SI : trois ressources à combiner et à exploiter sans délai

Entre efficacité et rationalisation des coûts, la protection des données se pose comme un enjeu de gouvernance majeur !

Comment faire confiance aux sauvegardes systèmes à la suite d’une cyberattaque ?

Gouvernance des données : stockage, archivage, sauvegarde, réplication… Comment s’y retrouver ?