Ce week-end, une attaque ransomware d’ampleur a paralysé plus de 100 pays dont certaines grandes entreprises internationales. Baptisé WanaCrypt0r 2.0, ce ransomware a causé une panique mondiale en cryptant les données des entreprises contre rançon en exploitant une faille de sécurité de Microsoft Windows, un patch correctif ayant pourtant été mis à la disposition des utilisateurs.
Payer une rançon dans l’espoir de retrouver accès à ses données est un phénomène bien connu des entreprises. Les menaces de ransomware ont atteint un sommet historique en 2016 et ce phénomène n’est d’ailleurs pas prêt de s’arrêter : 52 % des entreprises françaises en ont été victimes en 2016 contre 48% des entreprises en moyenne au niveau mondial selon Vanson Bourne. Le nombre de familles de ransomware - y compris les variantes connues sous le nom de Bit Crypt, CryptoWall, Cerber et Jigsaw - a d’ailleurs augmenté en passant de 29 à 247.
La principale motivation des hackeurs qui explique la montée des ransomwares est, sans conteste, l’appât du gain. D’autant que les hackers aguerris ne se sont plus les seuls à pouvoir lancer des attaques. La facilité de création d’un ransomware l’a rendu accessible sans effort particulier à toutes les personnes mal-attentionnées. En effet, un service connu sous le nom de Satan sur le portail du dark web Tor permet à quiconque de créer et de configurer des logiciels malveillants et de sélectionner un montant de rançon et de suivre son versement.
Mais la hausse du nombre de ransomwares a pour conséquence principale que plus aucune entreprise ne veut payer une rançon pour accéder à ses propres services. Le FBI recommande aux entreprises de mettre en œuvre une stratégie de sauvegarde et de récupération robuste pour lutter contre les ransomwares et plus largement contre la perte de données causée par CryptoLocker ou tout autre cheval de Troie.
En effet, se limiter à la mise en place de barrières de sécurité ne sera pas suffisant pour les entreprises, étant donné qu’il est très difficile de prévoir la nature des prochaines attaques et à quel moment celles-ci auront lieu. Au lieu de se protéger contre la menace de ransomware, les entreprises devraient plutôt se concentrer sur un système de sauvegarde éprouvé dit règle 3-2-1, 3 copies des données sauvegardées sur 2 supports différents dont 1 copie devrait être hors site - les sauvegardes hors ligne ne pouvant être manipulées ou supprimées à distance. Cela permet ainsi de garantir que l’entreprise puisse restaurer ses données en tout point et à n’importe quel moment et ce, sans avoir à se préoccuper des rançons demandées.
Quatre options pour une sauvegarde des données efficace sont possibles pour les entreprises.
Les copies de sauvegarde sur disque
La première option consiste à transférer les données d'un emplacement à l'autre en utilisant un système de copie des sauvegardes. Le fichier n'est pas simplement copié, les points de restauration individuels dans la sauvegarde sont lus et écrits vers un second emplacement du disque. Cependant, si la sauvegarde primaire se voit cryptée ou corrompue, le travail de copie de sauvegarde échouerait également car le fournisseur ne serait pas capable d'interpréter les données. Face à un tel scénario, le seul espoir réside dans le fait que le second référentiel de sauvegarde ait été séparé du reste de l'environnement informatique. Un répertoire de sauvegarde basé sur Linux pour sécuriser contre les chevaux de Troie sous Windows est également une option.
Les disques durs amovibles
Une autre option consiste à utiliser un périphérique de stockage amovible comme dépôt secondaire. Cela se fait généralement avec des disques durs amovibles tels que sur des disques USB. Néanmoins, ces derniers ne sont généralement pas recommandés pour des raisons de sécurité, sauf s’ils sont stockés dans un emplacement sécurisé. De plus, en ce qui concerne la rotation des disques, il est possible de détecter l'insertion d'un précédent support et de s'assurer automatiquement que les anciens fichiers de sauvegarde soient supprimés et qu'une nouvelle chaîne de sauvegarde démarre.
Le stockage sur bande
La bande par le passé condamnée, re-devient une option de plus en plus populaire pour l’IT en ce qui concerne le cryptage des chevaux de Troie. Les bandes n'autorisent pas l'accès direct aux données, et offrent ainsi une protection efficace contre les ransomwares. Tout comme les supports amovibles, les bandes devraient être exportées vers un emplacement sécurisé pour une protection optimale.
Les Snapshots de stockage et machines virtuelles répliquées
Les entreprises peuvent bénéficier d'une disponibilité supplémentaire et des moyens d'implémenter la règle 3-2-1 avec des snapshots de stockage et des machines virtuelles répliquées. Il s'agit d'instances de données semi-hors ligne qui peuvent résister à la propagation de logiciels malveillants.
En définitif, peu importe l’option de sauvegarde choisie, le seul mot d’ordre est « Ne payez plus de rançon ! » La capacité de restaurer les données signifie que plus aucune entreprise ne devrait payer une rançon. Cependant, rien ne peut être pris pour acquis en matière de cybersécurité avec des menaces qui changent constamment, les périmètres et le nombre d'attaques qui augmentent à chaque nouvel appareil connecté au réseau. Les entreprises doivent accepter que ces attaques auront lieu, la question est simplement « quand ». Pour demeurer agile et maîtriser les nouvelles menaces émergentes, la sécurité et la protection des données ne doivent plus fonctionner en silo, mais plutôt être appliquées à toutes les couches de l’entreprise. Les ransomwares doivent être évités autant que possible, détectés et maîtrisés aussi vite que possible, s'ils accèdent aux systèmes afin de limiter les dégâts mais cela n’est possible que grâce à une approche collaborative et intégrée qui garantit que les politiques de sécurité et les SLAs soient harmonisés avec la stratégie de l'entreprise. Grâce à cela, les organisations pourront se fier à la véracité et la disponibilité de leurs données ce qui leur donnera ainsi toutes les chances de maintenir leur organisation face aux cybercriminels.