Nous espérons que vous faites des sauvegardes. Mais sont-elles adaptées dans tous les cas d'attaque par ransomware ?

En tant qu'instructeur de la masterclass "La cybersécurité en 30 étapes", Patrick Coomans constate qu'il ne se passe pas une seule session sans que l'on aborde en détail la question des sauvegardes, et surtout la question de savoir si les méthodes utilisées seront efficaces en cas d'attaque par un logiciel rançonneur (ransomware). Malheureusement, la réponse est souvent négative. Voici tout de même quelques conseils.

Constats et fausses idées

Constats

Je constate qu'il y a beaucoup de malentendus, ce qui donne à de nombreuses entreprises un faux sentiment de sécurité en ce qui concerne leurs sauvegardes. Et c'est très regrettable, bien sûr, parce qu'il n'y a pas de pire moment pour constater que votre sauvegarde est inutilisable que celui où, en tant qu'entreprise, vous devez vous remettre d'une telle attaque par ransomware.

Il y a encore quelques années, les quatre principaux cas d'utilisation d'une sauvegarde étaient les suivants :

  1. La possibilité de restaurer rapidement des informations supprimées accidentellement
  2. La possibilité de réparer rapidement un ordinateur ou un système de stockage de données défectueux
  3. La possibilité d’effectuer rapidement une restauration après l’échec d’une mise à jour
  4. La possibilité de rétablir rapidement les activités après une inondation, un orage ou un incendie

Un cas d’utilisation tout à faire différent est venu s’ajouter à cette liste depuis lors :

  1. La possibilité de se rétablir rapidement après une attaque par ransomware

La principale différence entre les quatre premiers cas et celui-ci réside dans son caractère délibéré. En effet, les cybercriminels qui mènent une attaque par ransomware veulent se créer une position de négociation la plus forte possible et, pour ce faire, ils suivent un schéma relativement fixe :

  1. Voler autant de données que possible et menacer de les rendre publiques
  2. Crypter toutes les données
  3. Installer plusieurs moyens de maintenir l'accès au réseau
  4. Rendre les sauvegardes inutilisables

Fausses idées

Lors des formations que je donne, je constate également qu'il y a beaucoup de fausses idées sur le sujet. Je vais aborder ci-dessous les trois principales, aux conséquences catastrophiques.

"Nous utilisons un disque dans le cloud, nous n'avons donc plus besoin de sauvegarde."

Les cybercriminels parviennent de mieux en mieux à crypter les disques dans le cloud et à contourner les mécanismes de sécurisation et récupération de ces disques. Pour ce faire, ils tentent d'obtenir des droits d'administrateur, par exemple, puis modifient les paramètres des disques dans le cloud, vident les corbeilles et jouent avec les systèmes de version de manière à ce que le disque dans le cloud ne contienne plus aucune version valide des fichiers.

En outre, les fournisseurs de services cloud limitent considérablement leur responsabilité. D'un point de vue contractuel, la plupart des fournisseurs de services cloud offrent peu de garanties juridiques et financières quant à la récupération des données de l'entreprise dans le cloud. La responsabilité est généralement limitée aux dommages directs prouvés et à un montant maximum égal au montant de l'abonnement payé sur une base annuelle.

"Nous effectuons une copie sur un disque réseau installé à un endroit physique distinct, ce qui nous met à l'abri."

Si le lecteur réseau (par exemple, un Network Attached Storage ou NAS) sur lequel les sauvegardes sont effectuées est relié au réseau, les cybercriminels crypteront alors très probablement ce lecteur réseau également, ce qui rendra les copies de réserve sur ce lecteur sans valeur. Réaliser des copies sur un disque réseau distinct est certainement judicieux, mais dans le contexte d'un ransomware, cela n'a de sens que si ce disque réseau est découplé du réseau source.

"Si nous sommes victimes d'un ransomware, il nous suffit de restaurer les données de la veille".

Les cybercriminels qui s'introduisent dans un système informatique dans le but de mener une attaque par ransomware attendent le meilleur moment pour envoyer le signal de chiffrement des données. Souvent, ils ont accès au système informatique depuis plusieurs mois, de sorte que les sauvegardes contiennent déjà des logiciels malveillants. Souvent, la restauration de la sauvegarde de la veille ne constitue donc pas une option, mais un jeu de sauvegarde de 90 ou 100 jours avant le jour du cryptage est nécessaire.

Comment adopter une bonne stratégie de sauvegarde ?

Commencez par effectuer une analyse des risques, en opérant une distinction entre les processus, données et appareils plus ou moins critiques. Adaptez la stratégie de sauvegarde à cette analyse des risques.

Indiquez qui, dans l'organisation, est responsable de la mise en place, de la gestion, de la surveillance et du test des sauvegardes. Faites une distinction entre la personne qui la met effectivement en œuvre et celle qui supervise son exécution correcte et ponctuelle.

Dotez-vous d'une bonne documentation en gardant à l'esprit une réinstallation complète de tous vos équipements informatiques, dont l'architecture, la topologie du réseau, les paramètres spéciaux, les adresses IP, les données de configuration des fournisseurs de réseau, des fournisseurs cloud, des fournisseurs DNS, des hébergeurs, etc. 

Déterminez comment et où toutes les activités et décisions en la matière sont documentées.  Cela concerne au minimum vos procédures et descriptions techniques, ainsi qu'un journal de bord indiquant, pour chaque activité importante, quand et par qui elle a été réalisée, ainsi que toutes les remarques éventuelles concernant les résultats ou les problèmes rencontrés.

Fixez les moments réguliers où différents scénarios de restauration sont testés, y compris une réinstallation complète des applications et une restauration des données dans un environnement vierge. Mesurez également le temps nécessaire à une restauration complète, en particulier si vous utilisez un fournisseur de sauvegarde dans le cloud. À cet égard, la largeur de bande internet constitue également un facteur déterminant. Documentez l'efficacité des processus et formulez des améliorations.

Veillez à ce que ces processus et cette documentation soient également disponibles hors ligne et soient à jour, par exemple sur papier dans un coffre-fort.

Comment garantir une sauvegarde à l'abri des ransomwares ?

Avant tout, il faut savoir qu’il n’est pas possible de se protéger à 100% contre les ransomwares. Ceci étant dit, il convient de maximiser nos chances en suivant une bonne stratégie de sauvegarde. Malheureusement, il n'existe pas de stratégie de sauvegarde unique qui convienne à toutes les entreprises. L'élaboration d'une bonne stratégie de sauvegarde est un travail sur mesure, mais grâce aux conseils ci-dessous, vous pouvez au moins déjà vérifier si votre stratégie de sauvegarde actuelle répond aux critères d’une protection maximale contre les ransomwares.

  1. Achetez une solution de sauvegarde professionnelle auprès d'un fabricant réputé et assurez-vous qu'elle peut sauvegarder et restaurer toutes les flux de données pertinents, y compris l’Active Directory, les données de configuration, les serveurs virtuels, les bases de données, les fichiers journaux, les données en nuage et les disques en nuage. Si nécessaire, faites-vous assister par expert pour le choix de la solution.
  2. Placez la solution de sauvegarde dans un réseau séparé (par ex., un VLAN ou derrière un petit pare-feu) et limitez la communication avec la solution de sauvegarde aux seuls ordinateurs qui ont réellement besoin d'y accéder, et bloquez toutes les autres communications.
  3. Suivez les instructions du fabricant concernant les ransomwares. Par exemple, la plupart des fabricants recommandent d'installer leur solution de sauvegarde dans un Active Directory séparé et dédié.
  4. Dotez-vous de comptes « admin » de sauvegarde distincts qui sont nominatifs (au nom de personnes réelles) et utilisés exclusivement pour les activités de sauvegarde et de restauration, jamais pour d'autres opérations quotidiennes. Les cybercriminels ne reculent devant rien pour tenter d'accéder à la console d'administration du logiciel de sauvegarde. Veillez donc à ce qu'elle soit très bien sécurisée et à ce que des alertes soient immédiatement émises en cas de tentatives de connexion ayant échoué.
  5. Dotez bien entendu également vos serveurs de sauvegarde d'une solution solide de détection et de réponse aux terminaux (EDR). Une tentative d'intrusion sur le serveur de sauvegarde est sans doute l'une des alarmes les plus sérieuses à ne jamais manquer.
  6. Veillez à ce que les dernières mises à jour et les derniers correctifs soient toujours installés scrupuleusement sur les serveurs de sauvegarde. Assurez-vous également qu'aucun logiciel ou service inutile ne soit actif sur les serveurs de sauvegarde : supprimez tout ce qui n'est pas strictement nécessaire.
  7. Envisagez éventuellement d'équiper le serveur de sauvegarde d'un logiciel de surveillance de l'intégrité des fichiers (File Integrity Monitoring - FIM). Il s'agit d'un logiciel qui surveille en continu que les fichiers critiques, tels que les fichiers de configuration, les scripts, les données de démarrage, etc. ne sont pas modifiés et qui émet une alarme lorsqu'ils le sont.
  8. Assurez-vous que les sauvegardes soient immuables (impossibles à modifier). Pour cela, envisagez des bandes, des disques optiques, des disques NAS ou SSD déconnectés, ou des fournisseurs spécialisés dans la sauvegarde dans le cloud.
  9. Faites en sorte que les sauvegardes elles-mêmes soient chiffrées et conservez la clé de chiffrement des sauvegardes, suffisamment complexe, dans un endroit hors ligne très sécurisé. En effet, il n'y a pas de moyen plus facile de voler toutes les données d'une entreprise que de voler la sauvegarde.
  10. Assurez-vous que les schémas de sauvegarde vous permettent de remonter suffisamment loin dans le temps : par exemple, toutes les 4 heures, tous les jours, toutes les semaines, tous les mois, tous les semestres, etc.
  11. Testez régulièrement le scénario d'une attaque par ransomware où l'ensemble de l'environnement IT doit être reconstruit. En règle générale, vous devez d'abord restaurer ou réinstaller toutes les applications importantes, puis restaurer les données. Faites-le au moins une fois par an.
  12. Effectuez des sauvegardes au moins selon le principe 3-2-1 :
    1. au moins trois copies différentes, 
    2. stockées sur au moins deux supports différents, dont un hors ligne (non relié au réseau de quelque manière que ce soit),
    3. et au moins une copie conservée totalement hors site (dans un autre lieu).

L'essence même de la cybersécurité consiste à pouvoir affirmer aux clients, aux partenaires, aux investisseurs et aux banques que l'entreprise est résiliente et que toutes les données des clients sont en sécurité chez vous : bref, que vous êtes digne de confiance.

Vous voulez booster vos connaissances en cybersécurité ?

Agoria et WalHub ont lancé cyberstart.be un e-tutoriel gratuit et original : chaque semaine vous recevez un e-mail contenant des conseils et des astuces qui vous permettent de mettre en place un plan d'action concret de cybersécurité pour votre organisation.  Découvrez ici cyberstart.be/fr et inscrivez-vous !

FacebookTwitterLinkedinShare

Ajouter un commentaire

Annexe
Un nombre illimité de fichiers peuvent être transférés dans ce champ.
Limité à 300 Mo.
Types autorisés : txt pdf doc docx xls xlsx ppt pptx ods odt png jpg jpeg gif zip.
CAPTCHA
Cette question sert à vérifier si vous êtes un visiteur humain ou non afin d'éviter les soumissions de pourriel (spam) automatisées.