Détection et restauration des données : les éléments indispensables d’une cybersécurité efficace

Politique de sécuritéRansomwareSécurité
Project OneFuzz

Les conséquences des attaques très médiatisées comme les rançongiciels ont de quoi donner quelques sueurs froides aux responsables de la sécurité informatique.

Le risque d’être victime de ces attaques ne fait que croître, car les cybercriminels multiplient les tentatives et développent des méthodes de plus en plus sophistiquées. Interpol a souligné en 2020 que la pandémie de Covid-19 avait considérablement affecté à la fois le nombre et la nature des cyberattaques, s’inquiétant en parallèle que les vulnérabilités liées au télétravail et le potentiel de gains financiers accrus encourageraient les cybercriminels à intensifier leurs activités et à développer des modes opératoires toujours plus avancés.

Le risque zéro n’existe pas

La réaction naturelle à des nouvelles aussi inquiétantes est de chercher à se protéger au maximum et de nombreuses entreprises ont renforcé leur approche en la matière, créant des rapports réguliers sur les menaces qui leur apportent une visibilité sans précédent comme par exemple le nombre d’attaques déjouées.

Cependant, aucune organisation ne peut se targuer d’être protégée à 100%. Les menaces évoluent à un rythme effréné, bien plus rapidement que la plupart des entreprises ne mettent à jour leurs défenses. Bien souvent, ces mêmes entreprises gèrent une importante quantité de données, parfois oubliées, et quelques fois laissées en dehors des zones de protection ou d’analyse sur les menaces. En outre, certains systèmes de sauvegarde et de restauration des données peuvent être quelque peu désordonnés, complétés au fil du temps par de nouveaux systèmes, entraînant des routines de sauvegarde complexes voire des scripts obsolètes qui ne sont plus adaptés à l’objectif initial.

Combien d’organisations peuvent affirmer qu’il n’y a pas de silos de données ou de systèmes dupliqués en dehors de la « zone protégée » principale, mais accessibles à l’intérieur du réseau ? Combien d’organisations peuvent garantir de manière absolue qu’il n’y a pas de sauvegardes, actives ou archivées, qui pourraient ne pas être totalement exemptes « d’infection » et qui sont fiables ?

Mettre l’accent sur la détection et la restauration

Alors que faire pour se protéger ? Si le risque zéro n’existe pas, un service de protection n’est pas négligeable pour autant. Il s’agit de la première ligne de défense contre les attaques, et pour aboutir à une sécurité robuste et fiable, il est nécessaire de mettre en place plusieurs couches.

Plus la tâche sera difficile pour l’attaquant, moins il aura de chances de réussir. En outre, cette stratégie confirme l’intérêt d’une mise en protection initiale comprenant les pare-feux et la détection des menaces. Savoir qu’il y a un problème, parfois avant même qu’il ne se matérialise en une véritable tentative d’extorsion, permet d’aboutir à un rétablissement rapide et une mise hors d’état de nuire de l’attaquant.

Malheureusement, trop d’organisations ne prennent pas les mesures nécessaires et en subissent les conséquences. Il suffit de se plonger dans des exemples concrets de cybermenaces, comme une attaque de logiciel malveillant découverte par hasard par un employé et qui nécessite une restauration. Il est fort probable que l’équipe informatique découvre finalement, quelques heures ou peut-être même quelques jours plus tard en fonction de la façon dont la restauration a été configurée, que le rançongiciel s’est réinstallé parce qu’il s’était dissimulé discrètement dans la sauvegarde, sans être détecté, attendant juste une restauration pour se réinjecter à nouveau.

Plus que jamais, il convient de déployer les moyens nécessaires pour se protéger contre les cybermenaces et protéger ses données. Si la détection des menaces est un premier pas, la restauration et la sauvegarde complète des données sont des atouts clés dans la lutte contre les attaques de rançongiciel.

La réalité du paysage de la menace

Il ne s’agit pas d’une simple spéculation. Preuves à l’appui, ces derniers mois, de nombreuses villes (Vincennes, Alfortville, Pantin ou plus récemment Chalon-sur-Saône…), collectivités mais aussi d’autres acteurs du secteur public ont été la cible de multiples menaces menant jusqu’à des pannes très graves.

En septembre 2020, dans le secteur de la santé, une attaque informatique contre une clinique universitaire de Düsseldorf avait d’ailleurs été pointée responsable de la mort d’une patiente en situation critique qui n’avait pas pu être opérée en raison de l’arrêt forcé des services de soin.

En France, trois cyberattaques contre des hôpitaux ont eu lieu en un mois seulement. En février dernier, l’Hôpital de Dax a annoncé avoir été ralenti après une attaque informatique de grande ampleur paralysant ainsi tout le réseau informatique de l’hôpital.

Une semaine après, c’est autour du centre hospitalier de Villefranche-sur-Saône dans le Rhône de se retrouver paralysé avec pour conséquence dramatique le report de plusieurs opérations chirurgicales. Et enfin, le centre hospitalier d’Oloron-Sainte-Marie a confirmé avoir été victime d’une attaque par rançongiciel, paralysant une partie de données informatiques et soumis à une demande une rançon de 50 000 dollars.

Bien entendu, pour presque toutes les stratégies de récupération, les données sont aussi récentes que la dernière sauvegarde effectuée. Chaque organisation a des besoins différents, mais chacune doit tenir compte d’un certain nombre de facteurs pour déterminer la fréquence des sauvegardes, notamment le coût des temps d’arrêt et les ressources nécessaires pour remettre l’entreprise en marche. Les besoins varient en fonction de la taille de l’entreprise, de l’équipe dédiée, de la nature de l’activité, des réglementations et, bien sûr, du budget et des opérations critiques.

Pour une banque, si les données de sauvegarde utilisées pour la récupération datent ne serait-ce que de quelques heures, la situation serait critique, et entraînerait d’importantes pertes financières. En revanche, un fleuriste de quartier pourrait s’en sortir avec des sauvegardes hebdomadaires. Tout est relatif, à chaque organisation d’évaluer personnellement la criticité de la sauvegarde et de la récupération de ses données.

Mais ce qui est certain, c’est qu’une entreprise ne peut pas se contenter de seulement sauvegarder ses données et espérer le meilleur en matière de sécurité. Seule une configuration de sauvegarde et de restauration dotée de solides capacités de détection des logiciels malveillants permettra aux entreprises d’avoir une réelle chance de se protéger et de redevenir opérationnelles en moins d’une heure. Cependant, en l’absence de cette combinaison, une ligne de défense de premier plan et d’un ensemble fiable de mesures de récupération, aucune organisation ne dispose d’un niveau approprié de protection et de récupération.


Auteur
En savoir plus 
Directeur France
Cohesity
Frédéric Lemaire est Directeur France de Cohesity
En savoir plus 

Livres blancs A la Une