Il semblerait que même les nouveau-nés connaissent le mot ransomware de nos jours. Il apparaît dans les journaux, les magazines, les rapports de sécurité des informations et presque n’importe où à une fréquence alarmante. Nous avons peut-être surnommé 2016 l’année du ransomware mais il s’est avéré que ce n’était rien par rapport à 2017. Après une période assez calme en 2018 et 2019, 2020 a vu comment les ransomwares faisaient les gros titres.
Notre blog contient des dizaines d’articles sur les ransomwares où nous donnons principalement trois conseils :
- Utilisez une bonne protection.
- Ne téléchargez jamais des fichiers suspects depuis des sites douteux et n’ouvrez jamais les pièces jointes étranges qu’un inconnu vous envoie par e-mail. Dites à vos employés de suivre les mèmes règles.
- Sauvegardez régulièrement vos données.
J’entends parfois des objections de ce genre : la protection et la formation des employés c’est bien beau mais pourquoi nous embêtons-nous à améliorer ces aspects lorsque nous pouvons tout simplement faire une sauvegarde de toutes les données ? Nous faisons tout le temps des backups donc si un ransomware nous attaque il nous suffit de restaurer les fichiers, alors quel est le problème ?
Nous vous expliquons pourquoi c’est si grave.
Les sauvegardes doivent être récupérables
Il est indispensable de faire des sauvegardes mais avez-vous déjà essayé de restaurer l’infrastructure de votre entreprise depuis une sauvegarde ? Cela pourrait être plus compliqué qu’il n’y paraît, et plus vous avez d’ordinateurs et d’hétérogénéité au sein de l’entreprise plus la tâche se complique. N’importe quel professionnel de l’informatique qui a de l’expérience s’est déjà retrouvé dans une situation où la sauvegarde ne restaurait pas tout ou ne récupérait pas les fichiers dans l’état espéré. Ce processus prend souvent plus de temps que ce que l’on aimerait. Il arrive aussi que les sauvegardes échouent complètement.
Toute personne qui a déjà commis des erreurs de sauvegarde sait qu’il faut vérifier régulièrement l’intégrité des backups, faire quelques exercices de restauration du serveur dans un environnement de simulation et s’assurer que la restauration ne va pas prendre trop de temps en cas de besoin. Ceux qui n’ont jamais essayé de lancer une restauration depuis une sauvegarde devraient s’inquiéter. Il est fort probable que leurs sauvegardes soient inutiles en cas de problème.
Voici un autre inconvénient lorsque vous dépendez d’une sauvegarde : si le serveur de la backup est hébergé au sein du périmètre du réseau, alors le ransomware va le chiffrer tout comme il l’a fait avec tous les autres ordinateurs, ce qui signifie que vous pouvez dire adieu à votre plan de récupération des données.
Ce que vous devez en retenir : Maximiser vos chances de récupération rapide en segmentant le réseau, en faisant des sauvegardes judicieuses et en réalisant des tests de restauration des données.
Récupération des données = arrêt, et ce temps mort coûte cher
Pour les grandes entreprises qui utilisent divers appareils et infrastructures, il est peu probable que la récupération soit rapide. Même si la sauvegarde fonctionne parfaitement et que vous suez sang et eau pour tout restaurer, cela va prendre un certain temps.
Pendant ces semaines (oui, il vous faudra certainement plusieurs semaines et non quelques jours), l’entreprise sera à l’arrêt. Certains peuvent donner une estimation de ce temps mort à moins de payer la rançon demandée par les escrocs (ce que nous vous déconseillons fortement). Quoi qu’il en soit, cet arrêt après une attaque de ransomware est inévitable. Même si les cybercriminels sont assez gentils pour vous donner un outil de déchiffrement, il est impossible de déchiffrer le ransomware qui s’en prend à nouveau à tous les systèmes et services lorsqu’ils sont remis en service. Dans le monde réel, les cybercriminels ne sont pas sympathiques et même s’ils le sont, l’outil de déchiffrement ne fonctionne pas toujours comme prévu.
Ce que vous devez en retenir : Pour éviter les temps morts causés par les ransomwares, empêchez l’infection. Mais comment ? La réponse est simple, protection et formation des employés.
Les ransomwares actuels ne sont pas que de simples outils de chiffrement
Les groupes de ransomwares utilisés pour s’en prendre principalement aux utilisateurs finaux demandent près de 300 dollars en crypto-monnaie pour déchiffrer les fichiers. Ils ont toutefois découvert le plaisir de s’en prendre aux entreprises qui peuvent payer des rançons beaucoup plus élevées et qui sont très susceptibles d’obéir. Certains cybercriminels n’ont aucun scrupule et s’en prennent même aux institutions médicales qui sont en ligne de front. Beaucoup d’hôpitaux ont été attaqués cette année et une entreprise de la chaîne d’approvisionnement de vaccins pour le coronavirus a récemment été prise pour cible.
Les ransomwares actuels ne chiffrent pas seulement les données. Ils se cachent dans les réseaux et siphonnent jusqu’au dernier bit de données qu’ils détectent. Les données sont ensuite analysées et utilisées pour faire chanter l’entreprise en la menaçant de chiffrer les données, de tout divulguer, etc. Selon le message, le refus de paiement pourrait donner lieu à la publication des données personnelles des clients ou des secrets industriels de l’entreprise. Même si cette attaque n’est pas fatale, cette action pourrait entacher la réputation de l’entreprise pendant plus ou moins longtemps. De plus, une fuite de ce genre va amener certaines conversations déplaisantes avec les organismes qui vérifient que l’entreprise est conforme au RGPD ou avec toute autre organisation.
Si un intrus décide de révéler les secrets de l’entreprise ou les données personnelles des utilisateurs, les sauvegardes ne vont vous servir à rien. De plus, si vous conservez vos sauvegardes dans un endroit comme le Cloud, les employés peuvent assez facilement y accéder et fournir aux cybercriminels les informations dont ils ont besoin pour vous faire chanter.
Ce que vous devez en retenir : Les sauvegardes sont nécessaires mais insuffisantes pour protéger votre entreprise contre les ransomwares.
Les trois piliers de la sécurité contre les ransomwares
Encore une fois, comme il n’y a pas de solution miracle face aux ransomwares, nos conseils ne changent pas. Les sauvegardes sont plus que nécessaires mais elles doivent être faites correctement, avec assiduité et avec des simulations de restauration. Vous devez notamment bien connaître les détails de vos sauvegardes : à quelle fréquence l’entreprise sauvegarde les données et où sont stockées les backups. Toutes les personnes concernées doivent aussi savoir exactement comment relancer rapidement les opérations.
La protection est un autre élément indispensable. Elle doit être proactive, et pas seulement réactive, pour empêcher les menaces d’accéder au réseau. Les employés doivent connaître les principes de base en cybersécurité et il est tout aussi important de vérifier régulièrement ce qu’ils savent.
Pour conclure, votre sécurité se résume en trois mots : sauvegarde, protection et formation. Tous les trois doivent être mis en place et, lorsqu’ils le sont, vous pouvez dire en toute confiance que vous avez une stratégie de sécurité anti-ransomware optimale.