COMMENT PROTÉGER VOS SAUVEGARDES CONTRE LES RANSOMWARES ?

La recrudescence de la cybercriminalité pose un nouveau défi aux gestionnaires de données. Vous devez aussi mieux sécuriser vos sauvegardes. La technologie qui vous protège contre les ransomwares constitue donc un critère essentiel dans le choix d’un outil de sauvegarde.

Cet article présente les nouvelles fonctionnalités qui permettent de détecter les attaques de ransomware, de protéger votre sauvegarde et de redémarrer rapidement.

1. Tendances en matière de cybercriminalité
2. Recommandations à suivre
3. Ne pas négliger les ransomwares
4. Opter pour le bon outil
5. Détecter rapidement les cyberattaques
6. Une stratégie de sauvegarde servant à vous protéger
7. Intégration du logiciel et du stockage de sauvegarde
8. Restauration des données à la manière d’un chef d’orchestre
9. Les systèmes « Scale-up » restent sur la touche.
10. Priorité à l’action

• ·Les attaques de ransomware de plus en plus intelligentes et sélectives visent les données de sauvegarde.
• Aucune solution unique ne garantit une protection complète contre les attaques de ransomware.
• Les cyberattaques sont tout simplement plus nombreuses. Des organisations criminelles, mais aussi des organismes publics, sont à l’origine de ces attaques.
• Les ransomwares font souvent partie d’une opération plus vaste visant à mettre les systèmes hors service.

Les gestionnaires d’infrastructures et de données seront invités à faire ce qui suit :

• désactiver les protocoles de partage de réseau et ne pas utiliser de simples protocoles de partage de réseau tels que CIFS ou NFS ;
• protéger le système de sauvegarde (la protection de la commande de gestion et de la copie permet de disposer en permanence d’une sauvegarde opérationnelle) ;
• utiliser l’authentification multifacteur (MFA) ;
• isoler votre environnement de sauvegarde de récupération, par exemple avec un outil AIRGAP.

Les experts s’attendent à sept fois plus d’attaques de ransomware. D’ici 2025, 75 % des entreprises en auront subi une ou plusieurs.

Le ransomware représente l’une des menaces les plus sérieuses pour une organisation. Sa nature et sa portée sont souvent mal appréhendées et sous-estimées. Cette situation se traduit par un manque d’attention aux mesures à prendre. Trop d’entreprises considèrent encore les ransomwares comme des attaques isolées. La réalité ne constitue bien souvent qu’une partie de l’iceberg :

• pénétration du réseau de l’entreprise : la première phase d’une attaque consiste à essayer de dérober des informations et des comptes ;
• vol des comptes de systèmes sensibles : la seconde phase porte sur la conversion de ces comptes en comptes d’administrateur pour accéder aux systèmes de sauvegarde, AD, DNS, de stockage et autres systèmes stratégiques ;
• attaque de la console de sauvegarde de l’administrateur : en accédant à la console, le pirate peut désactiver ou activer les tâches de sauvegarde et cartographier l’emplacement des données cruciales.
• vol des données : les pirates souhaitent, dans de nombreux cas, crypter les données pour les utiliser dans le cadre de futures activités criminelles

La plateforme de sauvegarde est donc primordiale pour la récupération après une attaque. Les fabricants d’outils de sauvegarde répliquent en proposant trois fonctionnalités :

• détection des cyberattaques : le système détecte les attaques à un stade préliminaire afin que le ransomware ne puisse pas être activé ;
• protéger le système de sauvegarde : comme le système de sauvegarde est généralement attaqué dans le cadre d’une attaque majeure, la protection est cruciale ;
• se relever d’une attaque : le processus de récupération est loin d’être aussi simple que la restauration d’un fichier supprimé. La vitesse et l’automatisation du processus de récupération sont dès lors essentielles.

La détection de toute activité suspecte sur le réseau représente en général la première ligne de défense. Des solutions anti-malware et anti-virus font ce type de travail. En raison du nombre croissant d’attaques, se fier à ces seuls outils n’est pas conseillé. Les solutions de sauvegarde peuvent en prendre en charge une partie, mais de toute évidence pas la totalité.

La détection des malwares dans les solutions de sauvegarde opère de deux manières :

1.  détection des erreurs : utilisation de l’apprentissage automatique ou de l’IA pour détecter une action suspecte. Par exemple, un changement soudain de la quantité de données dans une sauvegarde incrémentielle quotidienne ;
2. scanning des malwares : une fois la sauvegarde exécutée, elle peut être scannée pour détecter les malwares sans nuire aux performances. Vous pouvez aussi travailler de manière rétroactive : une fois la signature de logiciel malveillant reconnue dans des sauvegardes antérieures, vous pouvez remonter dans le temps pour déterminer le moment où l’attaque a commencé.

Ces techniques ne représentent qu’une strate supplémentaire à toutes les autres mesures que vous prendrez et ne les remplaceront pas.

Auparavant, les attaques ne portaient que sur les données accessibles. Par exemple, une faille dans la sécurité du réseau a rendu publiques les données de sauvegarde sur les partages de fichiers. Les pirates deviennent toutefois plus malins, de même que leurs logiciels :

• si le système de sauvegarde peut être craqué, empêcher la récupération du système est aussi possible.
• les systèmes de sauvegarde génèrent une feuille de route interne indiquant l’emplacement de toutes les données importantes. C’est comme une carte au trésor sur laquelle serait indiqué « X repère l’endroit ».

Mettre en place un environnement de sauvegarde sécurisé sur un sous-système distinct est tout à fait possible. Cet objectif n’est réalisable que si la sécurité de l’environnement est parfaitement assurée. Le choix de mauvais composants ou l’incapacité à rendre votre environnement étanche peut conduire à la divulgation de vos données.

Vous pouvez éviter cela en intégrant le magasin de sauvegarde sur le même appareil que le logiciel de sauvegarde. Le magasin de sauvegarde est caché et accessible uniquement via un accès root ou au système d’exploitation sous-géré.

Autres moyens de sécuriser la sauvegarde :

• création d’un stockage de fichiers immuable, séparé des autres sauvegardes ;
• désactivation des protocoles de partage de réseau ;
• utilisation de l’authentification multifacteur pour les comptes administrateurs ;
• création des comptes administrateurs avec des droits différents ;
• réalisation de plusieurs copies de vos données de sauvegarde ;
• configuration d’un environnement de récupération à part.

La restauration des données est loin d’être aussi facile que d’appuyer sur un bouton, prendre un café, puis revenir quand tout est rentré dans l’ordre. Le travail à accomplir ne se limite pas à cela : il faut définir quelles données sont prioritaires, quels sont vos délais de récupération, quels systèmes ont besoin de quelles données, etc. Les logiciels de sauvegarde modernes peuvent vous aider à le faire et à planifier le processus de récupération en fonction de votre délai de récupération. Attendez-vous à devoir intervenir vous-même pour veiller à ce que tout se passe bien.

La capacité de récupération est un critère important (inutile de vous le dire). Les fournisseurs de logiciels se préoccupent beaucoup de cet aspect et préfèrent ne pas travailler avec des systèmes « Scale-up ». Un système « Scale-up » vous permet d’ajouter de l’espace de stockage, mais le temps de récupération reste le même. La puissance de calcul détermine le temps nécessaire pour effacer et restaurer les données et constitue donc le facteur limitatif.

Lisez l’article complet de Gartner sur les solutions de sauvegarde modernes qui peuvent protéger contre les ransomwares. (article en anglais)

Veiller à ce que les attaques soient incapables d’accéder aux données de votre entreprise et aux données de sauvegarde doit être une priorité. Une attitude trop fataliste du type « nous verrons le moment venu » peut vous coûter cher.

En cas de faille, une récupération rapide et une perte de données minimale vous permettront d’économiser beaucoup d’argent et de limiter l’atteinte à votre réputation.

Si vous souhaitez travailler sur la sécurité de vos sauvegardes ou mettre en place immédiatement une stratégie de sécurité informatique complète, contactez notre expert en sécurité Steven vanden Berghe et réclamez notre Full Security Audit.