Rechercher

  1. Orange Cyberdefense
  2. Insights
  3. Blog
  4. Cyberdefense
  5. La sauvegarde système comme dernier rempart contre les ransomwares

La sauvegarde système comme dernier rempart contre les ransomwares

Share

Tôt ou tard, chacun court le risque d’être victime d’un ransomware –que vous soyez une société de production, un organisme public ou un établissement de soins. Les exemples sont légion. Les conséquences déplorables sont bien connues : des temps d’arrêt aux atteintes à la réputation. Un plan stratégique de continuité des activités peut-il toutefois garantir des dégâts limités et une remise sur pieds rapide de votre entreprise ?

« Nous savons que la menace existe, mais notre réseau est protégé avec les meilleurs outils du marché. Nous ne courrons donc aucun risque. » Cette réplique est très souvent entendue, pourtant une bonne politique de sécurité va bien au-delà des simples outils qui servent à la mettre en œuvre. Toute entreprise doit disposer d’un plan de continuité des activités (PCA). C’est une protection et une stratégie de réponse à toutes les crises possibles : grève, panne technique due à une catastrophe naturelle ou à une pandémie. Et le service IT de l’entreprise joue un rôle important dans son élaboration, d’autant qu’il a plus en plus tendance à former le cœur battant de l’entreprise. Une entreprise dépend d’applications, toute personne qui souhaite protéger son entreprise doit donc protéger ses applications.

Plan de continuité des activités

Quelle est la meilleure façon de procéder ? Tout d’abord, nous examinons l’activité du client. Ce faisant, nous essayons de calculer l’impact financier potentiel d’une attaque par rançongiciel. Il y a d’abord les coûts directs de l’immobilisation – 19 jours en moyenne – et les coûts indirects. Pensez à l’atteinte à votre réputation, ainsi qu’au coup porté au moral de vos employés. Et puis, bien sûr, il y a les coûts engagés après l’attaque : redémarrage, analyse, protection supplémentaire, commandes manquées, etc.

L’objectif d’un plan de continuité est de faire en sorte que le délai entre l’arrêt et le redémarrage des activités soit le plus court possible. L’important est de trouver et de conserver des preuves afin de pouvoir les analyser. Comme dans Les Experts : une équipe spéciale vient faire l’inventaire détaillé de toutes les traces du crime avant que le corps de la victime ne puisse être déplacé.

Le PCA, un projet d’entreprise, pas simplement un projet IT

L’élaboration d’un PCA implique de relever quelques défis. Personne n’aime parler de reprise après sinistre. C’est un projet qui prend beaucoup de temps et est parfois complexe. Le gérer est par conséquent loin d’être simple. Encore trop souvent considéré comme un projet IT, c’est en réalité un projet d’entreprise. La sensibilisation à ce sujet au sein d’une entreprise – et de son conseil d’administration – est une démarche de longue haleine. Ce type de projet nécessite en premier lieu l’implication du service IT, mais il est important que les unités commerciales et les cadres supérieurs soient également impliqués dès le départ. Un « traducteur » externe peut faciliter le dialogue entre le service IT et l’entreprise.

Un plan simple en plusieurs étapes

Un PCA doit apporter des réponses aux trois questions suivantes :

  1. Quels sont les besoins de l’entreprise ? De quoi a-t-on besoin pour faire fonctionner l’entreprise ?
  2. Quelle est la situation actuelle ? Où sont les lacunes potentielles ?
  3. Quelle est la feuille de route à suivre, et quelles sont les solutions disponibles ?

Dans notre approche, nous nous concentrons sur les applications critiques les plus importantes et examinons ce que coûterait une interruption de 24 heures pour chacune de ces applications. Pour chaque lacune,  nous regardons également la quantité de données que vous pouvez perdre en attribuant une notation à chaque donnée (les données de Niveau 1 sont très importantes, par conséquent leur temps de récupération doit être le plus court possible). Toute entreprise devrait d’ailleurs effectuer ce travail. Chacun estime que son application et ses outils sont les plus importants, mais notre aperçu objectif donne une image financière claire de l’importance de chacun des outils utilisés.

L’étape suivante est l’analyse GAP, qui met en évidence l’écart existant entre les besoins de l’entreprise et ce que son service IT peut réellement garantir aujourd’hui. Ces lacunes peuvent différer en termes d’ampleur et d’importance pour chaque application.

Avec ces données, vous pouvez définir des actions pour combler chacune des lacunes identifiées. Ces lacunes ne sont pas nécessairement toujours liées au service IT. Et vous pouvez bien sûr très rapidement mettre en œuvre certaines mesures bénéfiques. Ensuite, vous pouvez établir une feuille de route dans laquelle vous définissez les actions à court, moyen et long terme et déterminez les priorités. Grâce à cette analyse objective et quantitative, le service IT peut plus facilement persuader le conseil d’administration de l’importance du projet. Et ce n’est qu’une fois cette analyse terminée que vous pouvez commencer à réfléchir aux solutions technologiques. Un aspect crucial d’un tel PCA est que vous devez être en mesure de tester les conséquences de son application.

La sauvegarde système comme premier et dernier bastion de défense

Les entreprises décident parfois de payer la rançon demandée. Essentiellement dans les cas où (1) la récupération prendrait trop de temps ou (2) la sauvegarde est également cryptée. Ou encore, dans le cas où (3) l’entreprise ne sait pas quels documents sont cryptés ou non.

Si vous payez la rançon, vous continuez malheureusement à alimenter le système.

Pour éviter cette situation, vous avez besoin d’une saine combinaison de composants de sécurité et d’une sauvegarde système, car cette dernière joue également un rôle crucial. C’est en effet le dernier bastion sur lequel vous pouvez compter, car elle permet en effet de palier aux trois contraintes qui poussent les entreprises à payer la rançon, comme décrit ci-dessus. En relançant votre système directement depuis une sauvegarde, vous disposez d’une récupération instantanée (1) et d’un temps de récupération court. L’immutabilité (2) fait que les fichiers qui se retrouvent dans la sauvegarde ne peuvent plus être modifiés. De cette façon, vous êtes sûr que vos données sont sécurisées et non cryptées. Pour savoir ce qui est crypté et ce qui ne l’est pas, vous devez obtenir une meilleure visibilité (3). Et cette visibilité la sauvegarde vous la donne, car toutes les données y sont réunies. Le système est-il différent de la veille ? Les noms de fichiers ont-ils changé ? De grandes quantités de données ont-elles été déplacées ? En analysant les sauvegardes, vous pouvez très efficacement répondre à ces questions et distinguer les fichiers cryptés. L’équipe IT gagne énormément de temps et l’entreprise récupère plus rapidement.

Votre sauvegarde, en tant que rempart impénétrable, est la base de tout bon PCA. Sans cette base, inutile de commencer à chercher d’autres solutions de sécurité.