Les malwares sont de plus en plus souvent à l’origine de pertes ou de fuites de données. Contrairement aux apparences, les serveurs ne sont pas plus immunisés que les postes de travail face à ces menaces. Alors, comment les protéger ?
La plupart des pertes de données résultent d’une panne matérielle ou d’une erreur de manipulation. Quant aux fuites de données, elles proviennent essentiellement de comportements malveillants au sein de l’entreprise, d’erreurs involontaires d’utilisateurs imprudents, de la perte ou du vol d’un ordinateur mobile, d’un disque externe ou d’une clé de stockage. Elles peuvent aussi découler d’une attaque perpétrée depuis l’extérieur par des hackers ayant acquis des droits suffisants après avoir exploité une vulnérabilité ou volé des identifiants par une campagne de phishing ciblée.
On tend à négliger le rôle des malwares aussi bien dans la fuite de données (elles sont dérobées) que dans la perte de données (elles sont rendues inaccessibles par chiffrement ou effacement). Pourtant, selon le cabinet d’analyse B2B International, 35 % des professionnels de l’IT reconnaissent avoir perdu des données suite à une infection de leurs systèmes par un malware.
Les récentes attaques de ransomwares, qui ont marqué l’actualité ces dernières semaines, ont surtout focalisé l’attention sur les postes de travail. Mais rien n’empêche ces rançongiciels d’atteindre aussi les serveurs. Soit en s’y implantant directement, soit en chiffrant depuis un poste de travail infecté les dossiers partagés stockés sur les serveurs. Le tristement célèbre WannaCry ne s’en privait pas et faisait même pire : lorsque les profils le lui permettaient, tous les fichiers du dossier partagé voyaient leurs droits d’accès transformés en « Tout le monde », ajoutant un problème potentiel de fuite à un problème de perte. Plus récemment, NotPetya s’est fait passer pour un ransomware bien qu’il fût avant tout un outil de destruction ciblant le talon d’Achille des disques durs (la structure MFT). Dans un même ordre d’idées, les fuites massives d’informations dont ont été victimes des entreprises comme Target, Home Depot, Intercontinental Hotel Group, KMart ou Eddie Bauer, ont toutes été orchestrées via des malwares.
Comment protéger ses serveurs ?
La prévention contre les risques de pertes de données liés aux malwares sur les serveurs passe d’abord par une solution aussi ancienne que l’informatique elle-même. C’est même la seule vraie mesure de protection universelle face aux ransomwares : une sauvegarde ! Elle peut aujourd’hui se moderniser en utilisant le Cloud comme espace de backup à bas coût plutôt qu’une bande. Autre pratique essentielle, les mises à jour. Les administrateurs sont souvent réticents à appliquer les patchs de sécurité sur leurs serveurs. Or patcher, et patcher vite, demeure une nécessité absolue et une étape stratégique dans la protection des infrastructures.
Les outils de protection ont aussi leur rôle à jouer. Mais comme le souligne Nicolas Sterckmans de Malwarebytes, « les entreprises sont aujourd’hui victimes d’attaques sophistiquées et souvent très ciblées que les antivirus traditionnels ne peuvent détecter ». C’est pourquoi il est important de s’orienter vers des boucliers bien plus proactifs à même d’analyser les comportements des codes à l’exécution et d’en bloquer les actions dangereuses. « Adaptée de notre offre grand public Malwarebytes 3, MalwareBytes Endpoint Protection est la seule solution à offrir 7 couches de protection en temps réel permettant de briser les chaines d’attaques et de contrer les malwares en pré-exécution ou en exécution ». Le logiciel utilise des boucliers à base de règles mises à jour via le Cloud (Web Protection, Payload Analysis) ainsi que des boucliers à base d’analyses comportementales (Application Hardening, Exploit Mitigation, Application Behavior, Ransomware Mitigation). Il propose aussi un bouclier à base de Machine Learning (Anomaly Detection). Il protège aussi bien les postes clients que les serveurs Windows (de Windows Server 2008 à Windows Server 2016).
Enfin, rappelons que selon le Ponemon Institute, il faut en moyenne 214 jours aux entreprises pour découvrir qu’elles ont une brèche ou sont infectées par un malware. Et selon une étude Osterman Reasearch, 60 % des attaques, une fois découvertes, demandent plus de 9 heures d’efforts avant d’être remédiées. D’où l’importance d’adopter aussi de nouvelles plateformes centralisées, comme Malwarebytes Incident Response, qui permettent d’analyser les endpoints (ordinateurs et serveurs) pour dénicher et supprimer en un temps record les malwares, PUP, spywares et autres dangers installés dans l’infrastructure.
