Par Daniel De Prezzo, Head of Technologies Southern Europe chez Veritas Technologies
Dans une économie numérique basée sur la demande et l’instantanéité, la donnée est le nouveau point de convergence de la valeur des entreprises. Plus que jamais au cœur du business – tous secteurs confondus, son potentiel est incommensurable. Elle est une vraie mine d’or pour les entreprises qui souhaitent suivre le rythme des marchés en mutation constante. Mais, au travers de cyberattaques de plus en plus ciblées utilisant notamment des ransomwares, les hackers veulent leur part du gâteau.
Le ransomware, logiciel d’extorsion, s’est particulièrement développé au cours des dernières années car il représente une activité extrêmement lucrative pour les cybercriminels. Grâce à ce type d’attaque, les hackers restreignent l’accès au système d’informations d’une entreprise en cryptant ses données. Un ordinateur infecté, via un ver informatique inclus dans un fichier téléchargé ou reçu par email, permet de corrompre tous les fichiers auquel il est relié. L’entreprise ne peut donc plus y accéder sauf si elle décide de s’acquitter d’une rançon. Mais le coût moyen global généré pour l’entreprise par ce type d’attaque est beaucoup plus important qu’on pourrait le penser.
Si la simple rançon peut parfois atteindre plusieurs millions d’euros, les coûts découlant d’une cessation d’activité (moyenne de 16 jours avant de retrouver son réseau), de la désinfection et du remplacement de certains équipements voire, sur le long terme du manque à gagner suite à l’effet même de l’attaque sur l’image de l’entreprise, sont aussi à prendre en compte. D’après le FBI, les coûts totaux liés aux attaques par ransomwares devraient atteindre les 6 milliards de dollars d’ici 2021 soit l’équivalent du PIB de la troisième puissance mondiale.
Ces derniers mois, une longue liste d’organisations françaises a été infectée par des ransomwares. Après la région du Grand Est, Bouygues Construction, le CHU de Rouen et le CNED, l’AFPA est la dernière victime en date. La réussite de ces attaques s’explique notamment par l’amélioration et l’optimisation des méthodes employées par les hackers. Ils sont ainsi plus sélectifs, délaissant les attaques de masse pour se focaliser sur des cibles qu’ils considèrent comme plus « juteuses » pouvant découler à un meilleur rendement. D’ailleurs, en France, les attaques d’envergure sont majoritairement orientées vers les institutions de santé, les grands groupes, et les collectivités territoriales car ils sont perçus comme plus vulnérables ou encore davantage enclins à payer la rançon au vu de l’importance des données pour leur activités respectives.
Comment protéger les données dans un monde numérique qui dépend plus que jamais de leur disponibilité ?
Même si les ransomwares sont de plus en plus connus des entreprises, celles-ci ne savent pas toujours comment s’en prémunir. Pour leur permettre de « cocher la case » sécurité et de se rassurer, celles-ci ont tendance à mettre en place une solution informatique dédiée, généralement proposée par des fournisseurs spécialisés, pensant à tort que cela sera suffisant. Effectivement, même si cela constitue une première barrière contre les ransomwares, des failles de sécurité subsisteront, notamment liées à l’action humaine.
Il est donc indispensable d’aller plus loin. Le National Institute of Standards and Technology, référence en la matière, a établi 5 points de méthodologie afin d’aider les entreprises à établir une sécurité optimale et à faire face aux attaques par ransomware :
- Identifier les données et avoir une réelle visibilité
Il est nécessaire pour les entreprises de comprendre les services métier critiques, leur architecture (sur site, cloud, ou encore multi cloud) et leurs relations. De plus, gagner en visibilité sur les lieux de stockage des données, leur type, leur accès et leur durée de stockage est indispensable pour détecter celles qui sont les plus susceptibles de faire l’objet d’une future attaque.
- Se protéger des risques liés aux attaques par ransomware
Les entreprises n’ayant pas de stratégie de sauvegarde solide n’ont d’autre choix que de payer les rançons pour récupérer leurs données. La sécurisation et la mise à disposition rapide des données critiques basées sur une plateforme adaptée et hautement évolutive de sauvegarde sont des étapes indispensables pour assurer la récupération rapide des données.
De plus, un système visant à assurer la continuité des opérations critiques grâce à des processus automatisés de recovery ou de basculement permettront aux entreprises de limiter, voire d’éviter, la cessation complète d’activité dans le cadre d’une attaque. Cela permettra également aux entreprises d’effectuer des tests de ces mêmes dispositifs pour mettre à l’épreuve leur à réagir en cas d’attaque.
- Savoir détecter les attaques et réagir
Les solutions de sécurité mises en place au sein des entreprises sont généralement en charge de la détection des attaques. Compléter ces solutions par une étroite surveillance des signaux faibles (volumétrie, extension, etc.) aidera l’entreprise à réagir rapidement si besoin. On remarque en effet que lorsqu’un ransomware vient d’intégrer le réseau de l’entreprise, la quantité de données augmente légèrement – cela est dû à la place prise par le chiffrage. En identifiant les signaux faibles rapidement, l’entreprise peut prendre des contre-mesures, qui peuvent notamment prendre la forme d’un verrouillage des accès, d’un basculement automatique des services critiques et d’une stratégie rodée de reprise après sinistre.
- Récupérer les données qui auraient pu être compromises
La réplication des sauvegardes de données et leur conservation dans un environnement hors ligne effectuées en amont permettent de garantir une restauration de données saines au sein du système dès lors que les données altérées ont été identifiées et qualifiées. Pouvoir identifier les données touchées est d’une importance capitale, aussi bien pour le recouvrement que pour de possibles futures audits.
L’ensemble de ces processus techniques permettent de minimiser les risques d’attaques et de récupérer les données de l’entreprise en cas de défaillance. Mais le facteur humain reste en effet très important et l’erreur d’une seule personne peut malheureusement suffire à compromettre tout un système. C’est pour cette raison qu’il reste essentiel pour toute entité d’assurer la formation des employés concernant les menaces et de les familiariser avec les bonnes pratiques.
Centralisation et gestion de la donnée, essentiels à la pérennité du système
La gestion de la donnée est désormais plus complexe et demande une plus grande flexibilité : de par des architectures réseaux hybrides ou multi-cloud complexes, la présence de sources de données croissantes et l’utilisation d’un nombre important d’applications, les entreprises doivent s’assurer de pouvoir gérer un environnement hétérogène de plus en plus dense.
De plus, le passage obligé au télétravail ces dernières semaines – allant de pair avec un partage des données exacerbé et l’utilisation accrue des services cloud, bouleverse les entreprises et modifie leur façon de fonctionner notamment vis-à-vis des données. La mise à disposition, dans l’urgence, de solutions ou d’outils ponctuels pour répondre aux besoins de télétravailler ne permet malheureusement pas aux entreprises d’avoir une vue globale et transversale sur les différents silos existants. Ce manque de visibilité crée des « angles morts » et c’est précisément ce type de faille qu’utilisent les hackers.
Une visibilité amoindrie induit également un temps de réaction généralement plus long face aux attaques, puisque le temps de détection et d’identification de la menace est souvent proportionnel aux nombres de silos de données que l’entreprise peut avoir. Pour y remédier, une plateforme visant à centraliser la gestion de données est idéale pour améliorer la visibilité sur ces dernières et sur leur lieu de stockage. Indépendante du matériel et conçue pour fonctionner dans des contextes hybrides désormais communs, celle-ci doit prendre en charge de nombreuses technologies visant à protéger les infrastructures, détecter les attaques ou encore à mettre en place des procédures de recovery. En favorisant la gestion et surtout la classification, ces plateformes apportent une meilleure vue d’ensemble sur les données et leur valeur, aidant ainsi à évaluer les risques.
Grâce à la prévention des risques et à une politique de gestion de données efficace, les entreprises seront à même de limiter les conséquences directes et indirectes des attaques par ransomware, que ce soit en matière de coûts ou encore de réputation.