Depuis quelques mois, les entreprises françaises ont dû faire face à un nouveau genre de cyberattaque. En s’attaquant directement aux sauvegardes des entreprises, certains hackers ont non seulement pu leur extorquer de l’argent, mais aussi complètement paralyser leurs activités. Bien qu’inquiétant, ce constat met néanmoins en lumière la nécessité pour les entreprises de protéger les sauvegardes au même titre que leur infrastructure. En effet, en attaquant « la bouée de sauvetage » des entreprises – qui leur permettent de rapidement récupérer leurs données et de reprendre leurs activités – les hackers ont trouvé un moyen encore plus efficace d’arriver à leurs fins.

D’après de nombreux professionnels de l’IT, la solution universelle contre les ransomwares serait étroitement liée à la création de sauvegardes de données. Grâce aux sauvegardes, les entreprises auraient la possibilité de restaurer tous leurs fichiers rapidement même en cas de cryptage par des cyber-maîtres-chanteurs. Pourtant, la pratique peut s’avérer plus difficile que la théorie si des failles d’architecture et de conception de la sauvegarde sont étalées sur la place publique. En outre, une négligence peut suffire à ébrécher tout un système de sauvegarde et s’avère être du pain béni pour un malfaiteur.

En suivant les bonnes pratiques en matière d’architecture et de gestion des sauvegardes, tout en s’assurant de disposer d’une solution résiliente permettant de restaurer facilement et rapidement les données, un responsable IT pourra non seulement avoir à disposition un système efficace et sûr, mais aussi limiter les risques et conséquences liés aux attaques par ransomwares.

Connaître ses données, comprendre les risques et définir les niveaux de protection

Chaque fichier qui n’est pas sauvegardé ne peut être restauré. C’est pourquoi les sauvegardes doivent absolument prendre en compte l’ensemble des sources de données, qu’elles soient sur site, en périphérie ou dans le cloud. Dès lors que les entreprises ont une bonne visibilité sur les sources de données dont elles disposent, il leur faut maintenant savoir ce qu’elles contiennent. L’analyse des métadonnées est alors ici tout indiquée, puisqu’elle sera particulièrement utile pour tirer des conclusions sur la valeur des données et sur les risques que prendraient les entreprises si elles venaient à les perdre. De plus, cette analyse permet de donner aux entreprises une idée claire sur les investissements à injecter pour la protection de leurs données et la préservation de leur valeur.

Dans le cadre de données considérées comme sensibles, les entreprises peuvent aller plus loin et mettre en place un système d’indexation et de classification. Ce système, destiné à analyser plus finement le contenu des données, permet également de détecter des informations clés – comme les données personnelles. Au final, cette connaissance approfondie aide les entreprises à aller au-devant de nouvelles réflexions sur des sujets parfois délaissés tels que le cryptage des données critiques ou encore leurs politiques d’accès. Mais dans quel objectif ? Tout simplement celui de maintenir un contrôle plus étroit sur leurs données tout en améliorant le niveau de sécurité face aux menaces. Les méta-données et le contenu classifié sont alors essentiels pour une bonne analyse des risques. Finalement, dans le cas d’une attaque par ransomware réussie, l’entreprise sera en mesure de déterminer beaucoup plus rapidement quel contenu est tombé entre les mains des hackers et de prendre les meilleures décisions possibles.

Commencer par se protéger correctement

Pour que les sauvegardes restent résilientes et fiables en cas d’attaque, les systèmes dédiés et le supports sur lesquels ils reposent doivent également être résilients et communiquer entre eux en toute sécurité. Il est important de tenir compte de cet aspect dès la construction de l’architecture. Systèmes de sauvegarde et supports doivent pouvoir assurer, grâce à un certificat numérique, le cryptage des données lors de leur transmission pour maintenir l’intégrité des communications, même si une attaque par ransomware a déjà corrompu les systèmes de production et les services clés.

De plus et si possible, les systèmes eux-mêmes ne doivent pas fonctionner sur des machines Windows. En effet, les attaques les plus courantes reposent essentiellement sur des failles de ce système d’exploitation ou des bugs logiciels associés. Si des hackers arrivent à pénétrer au sein du système, ceux-ci pourront utiliser une porte dérobée pour désactiver les services critiques incluant notamment la sauvegarde. Il est alors recommandé aux entreprises de davantage miser sur des systèmes d’exploitation dédiés basés sur des conteneurs, grâce auxquels elles seront en mesure de tester les logiciels ou de revenir à d’anciennes versions en cas de détection de failles.

Des contrôles d’entrée stricts aux points stratégiques

Les réseaux actuels sont décentralisés, les données sont dispersées dans de multiples sources et lieux. Par conséquent, l’infrastructure de sauvegarde doit être capable de prendre en compte l’ensemble des éléments (workflow, source de données, systèmes de stockages etc.) pour être efficace. En effet, chaque activité non couverte par le système de sauvegarde engendrera la mise en place de solutions individuelles apportant avec elle leurs propres caractéristiques (niveau de service, flux de travail et capacités de récupération). Ce produit ponctuel échappera au système de communications sécurisées déjà en place, obligeant les équipe IT à s’assurer qu’il soit suffisamment sécurisé pour résister aux attaques.

Si toutes ces tâches doivent être accomplies manuellement – ce qui demande du temps, de l’argent et de la patience – des plateformes centralisées de protection des données existent et peuvent sécuriser et restaurer les données de toutes provenances et activités.

Enfin, pour garantir la robustesse et la fiabilité de l’infrastructure de sauvegarde, une réglementation autour des accès aux services et à la restauration des données est de mise. Une gestion des accès basée sur les rôles, avec des droits personnalisables, s’est d’ailleurs imposée comme une des meilleures pratiques.

La passerelle de la dernière chance

Mais que se passe-t-il si une attaque n’est pas détectée à temps ou si une sauvegarde des fichiers compromis a été effectuée dans l’intervalle ? Pour pallier ce type de problème, la meilleure option consiste à créer, en amont, trois copies des données distinctes dont deux seront stockées à des endroits différents et une hors ligne. Si le ransomware a infecté toutes les données et les sauvegardes en cours de production, la troisième copie hors-ligne sera la « dernière ligne de défense ».
Généralement, il est commun d’utiliser des systèmes dits « immuables » comme lieu de stockage pour ce troisième exemplaire. Toutefois, il faut être prudent à l’endroit où l’on intègre ce point de jonction si particulier : en local ou sur un cloud. Ceci car il faut garder à l’esprit que plus le chemin de transport des données est long, plus la récupération prend du temps : les données seront plus à restaurer à partir du cloud qu’à partir d’une source locale.

Reconnaître les symptômes d’une attaque

Ceci n’est pas un secret : le risque d’infection sur les réseaux est beaucoup plus important qu’auparavant. Face à cela, certaines solutions peuvent aider les entreprises à détecter les attaques dès les premiers signes. Par exemple, un ransomware pèse généralement sur les performances du système lorsqu’il crypte les données, et un nombre important de données corrompues sont autant de signes d’une attaque réussie. Mais d’autres effets sont également visibles au niveau même du système de sauvegarde : premièrement, le délai de sauvegarde est particulièrement rallongé. Ensuite, le process de déduplication – autrement dit la comparaison des données de production aux données de sauvegarde, n’est plus aussi facile puisqu’une partie d’entre-elles a été cryptée par le ransomware. Ces deux éléments sont autant d’alertes pour les équipes IT sur la nécessité d’analyser les systèmes de données en profondeur.

Mais les actions curatives ne sont pas les seules à pouvoir limiter l’impact des ransomwares. Des solutions assurant la détection des failles et des vulnérabilités de façon préventive révèlent (généralement) rapidement les problèmes de permissions et de partage de données. En se basant sur l’analyse d’anomalies – comme un accès à de nombreux fichiers en simultané, les entreprises peuvent repérer rapidement les symptômes d’une attaque, évaluer les risques et même signaler la compromission potentielle des données à des instances supérieures.

Ainsi, un système de sauvegarde robuste et centralisé basé sur une infrastructure renforcée est devenu bien plus qu’une solution miracle face aux tentatives d’extorsion. A contrario d’une stratégie qui a pour vocation de durer dans le temps, toute solution ponctuelle qui protège une activité de manière isolée finit par affaiblir le système dans son ensemble. C’est pourquoi, il est essentiel que le système de sauvegarde prenne en charge de manière centralisée toutes les activités ainsi que toutes les sources de stockage et de données.
___________________

Par Jean-Pierre Boushira, Vice President South, Benelux & Nordics Region, Veritas Technologies