Depuis quelques années et d’autant plus depuis la crise sanitaire, la crainte de tous les responsables informatiques et RSSI se développe : une infection par ransomware couplée d’une attaque plus sophistiquée empêchant la restauration traditionnelle !
Les messages de prévention partagés ces dernières années pour les ransomwares sont obsolètes, il ne suffit plus d’une solide politique de sauvegarde et de restauration. Il faut intégrer de la rupture de technologie.
Comment est-il possible que les politiques de sauvegardes traditionnelle et rigoureuses ne suffisent plus ?
Voici 2 exemples concrets pour vous aider à y voir plus clair :
1er exemple :
Un Client sauvegarde ses VM via un logiciel leader du marché. Ses sauvegardes sont conservées en local et répliquées via un partage sur un deuxième Datacenter. L’attaquant s’est introduit dans le Système d’Information (SI), a lancé son attaque par Ransomware, ce qui a chiffré les fichiers, les sauvegardes locales et également celles distantes. Cette sorte d’attaque a réussi à cause du fait que les espaces de stockage des systèmes de sauvegarde restaient connectés.
Le Client a subi un blocage de 10 jours et a dû payer une partie des bitcoins demandés.
2ème exemple :
Un Client fait ses sauvegardes sur un robot de cartouche LTO. Les cartouches sont externalisées régulièrement. L’attaquant a étudié l’infrastructure Client et a pu détruire le catalogue de sauvegarde en même temps qu’il a chiffré les données. La reconstruction du catalogue de sauvegardes sur cartouche aurait pris trop de temps. Les attaquants obtiennent ainsi le paiement de la Rançon.
Ces deux exemples montrent parfaitement le niveau de préparation et d’ingéniosité dont font part les nouveaux attaquants par ransomwares.
Que faut-il retenir ?
Les sauvegardes peuvent elles-mêmes être chiffrées par le Ransomware si elles sont accessibles (par exemple via un partage Windows).
Si vos sauvegardes ne sont pas accessibles au ransomware, par exemple lorsque les sauvegardes sont sur cartouche, le catalogue de sauvegarde peut-être alors visé. La reconstruction d’un catalogue est longue et fastidieuse.
L’active Directory est la cible privilégiée des attaquants et tout système de sauvegarde couplé avec un AD est vulnérable.
Que faut-il faire alors pour parer à ces nouvelles menaces ?
- Augmenter ses capacités de détection d’une cyberattaque et ainsi diminuer la probabilité d’une attaque :
C’est nécessaire, sachant que le délai moyen de détection d’intrusion s’établit ainsi en moyenne à 167 jours d’après une étude de Wavestone en 2019.
Le problème c’est que la détection de cyberattaque (notamment la détection des signaux faibles) est compliquée, coûteuse et … pas toujours efficace.
- Planifier sa cyber résilience et ainsi limiter la gravité de l’attaque :
Pour cela il faut réfléchir aux mécanismes permettant de garantir une résilience de ses mécanismes de sauvegarde, par exemple :
- Via la mise en œuvre d’une rupture technologique entre les données online (sur site) et le stockage des sauvegardes : faire en sorte que l’attaquant ne puisse avoir accès aux espaces de sauvegarde même s’il a pris le contrôle de votre AD.
- Si votre solution de sauvegarde comprend une rupture technologique comme l’exemple des cartouches, il est important d’avoir une version du catalogue des sauvegardes hors site et non accessible à l’attaquant, qui puisse permettre de reconstruire les données rapidement.
- Pour finir, de plus en plus de Clients choisissent également de disposer de deux solutions complémentaires de sauvegarde (au moins sur leur périmètre critique) basées sur des mécanismes d’externalisation de données différents.
