Les attaques de ransomwares peuvent coûter très cher à une entreprise. Cela n’est pas principalement dû aux demandes de rançon, mais aux coûts de suivi des attaques. Les organisations passent parfois des semaines ou des mois à restaurer leurs systèmes. Une stratégie de gestion et de sauvegarde des données peut aider à atténuer les conséquences.

Selon l’étude Sophos « The State of Ransomware 2021 », 37 % des entreprises interrogées dans le monde ont été la cible d’une attaque de ransomware en 2021. Ces dernières années, les méthodes d’extorsion telles que l’exfiltration de données et le cryptage ont gagné en popularité. Avec les deux méthodes, l’attaquant accède d’abord au système de la victime.

Cela peut se produire, par exemple, via des e-mails de phishing. Si un lien ou un fichier dans l’e-mail est ouvert, un programme est exécuté sans être remarqué, ce qui déverrouille la « porte » du système pour le pirate. Parfois, les failles de sécurité dans les infrastructures des programmes sont exploitées pour infiltrer l’informatique d’une entreprise.

Une fois que l’attaquant est dans le système, il a souvent beaucoup de temps. Selon le rapport 2021 d’IBM sur le coût des violations de données, il faut en moyenne 287 jours pour identifier et contenir une violation de données. Le pirate prend son temps pour choisir les données qu’il souhaite soit cacher hors du système (exfiltration), soit chiffrer. Si un employé ou un programme tente d’accéder aux fichiers, une fenêtre contextuelle apparaît avec une demande de rançon.

Le préjudice financier qu’une attaque peut causer atteint rapidement six à sept chiffres. L’arrondissement d’Anhalt-Bitterfeld a dû en faire l’expérience début juillet 2021. Plusieurs serveurs de l’agence ont été infectés par des ransomwares. Le district a rejeté la demande de rançon pour la publication des données cryptées. En fait, les choses devraient revenir à la normale d’ici la fin de l’année. Mais ça n’est pas allé aussi vite. Selon les estimations de l’administrateur du district, il faudra peut-être attendre avril ou mai pour que les systèmes fonctionnent à nouveau normalement. L’attaque ne coûte pas seulement de l’argent au comté. Rien qu’au bureau des permis de conduire, environ 9 000 demandes ont été faites, qui doivent désormais également être traitées.

Protection multicouche contre les ransomwares

Par conséquent, une défense multicouche contre les menaces qui commence directement par la gestion des données et élimine les dommages potentiels des données perdues à l’aide d’une stratégie de sauvegarde est essentielle. Car les cybercriminels ne se contentent pas de développer des techniques d’attaque toujours plus sophistiquées. La plus grande faiblesse reste l’être humain. Il existe toujours un risque résiduel que les employés tombent dans le piège des e-mails de phishing ou de l’ingénierie sociale, commettent des erreurs et ouvrent accidentellement la porte aux attaquants.

La base de la défense contre les ransomwares est un logiciel de gestion de données. Le système d’exploitation pour le stockage des données, par exemple, utilise ce que l’on appelle des instantanés pour garantir que les fichiers sont régulièrement enregistrés plusieurs fois. De cette façon, si un pirate crypte des fichiers individuels, les copies sont toujours accessibles. De plus, une copie particulièrement grande peut indiquer une attaque. Parce qu’avec un fichier crypté, l’instantané est plus grand. Cette anomalie permet à un administrateur système d’enquêter davantage.

Dans le meilleur des cas, cependant, un pirate ne parvient même pas à chiffrer les données. Le moniteur d’accès Zero Trust inclus dans le logiciel de gestion des données peut vous aider. Zero trust signifie que les autorisations des utilisateurs sont à nouveau interrogées pour chaque accès. Autrement dit, ce n’est pas parce qu’un utilisateur peut afficher un fichier qu’il peut nécessairement le modifier.

Liste noire des formats de fichiers et vérification du comportement des utilisateurs

Par exemple, la liste blanche du moniteur d’accès Zero Trust peut être utilisée pour spécifier quels types de fichiers peuvent être enregistrés où. Si seuls des fichiers PDF sont nécessaires dans une zone système, seul ce format doit y être stocké. Si un attaquant modifie le format pour chiffrer un fichier, celui-ci ne sera pas enregistré. Les formats peuvent à leur tour être exclus via une liste noire. Si l’administrateur système spécifie que tous les formats sauf .exe peuvent être stockés dans un dossier, tous les autres formats sont automatiquement autorisés.

Cependant, pour lancer une attaque par rançongiciel, un pirate n’a pas nécessairement besoin de placer un fichier sur le système. Les fichiers peuvent également être cryptés sans changer leur format. Cela signifie : Presque chaque demande au système peut être une attaque potentielle. Le contrôleur d’accès utilise donc User Behavioral Analytics (UBA) comme protection supplémentaire. Les demandes des utilisateurs sont comparées au comportement typique de l’utilisateur en question. Si le comportement d’un utilisateur s’écarte de son schéma normal, cela est signalé à la gestion des informations de sécurité et des événements.

Le moniteur d’accès n’est pas seulement limité aux données sur site, mais analyse également le stockage de données décentralisé. Les informations d’Active Directory, de LDAP et des activités des utilisateurs sont automatiquement surveillées par une machine virtuelle (VM) et analysées par une intelligence artificielle (IA). Le système s’« éduque » en permanence grâce à l’apprentissage automatique (ML). Étant donné que le moniteur d’accès fonctionne comme un logiciel en tant que service, l’utilisateur n’a pas à se soucier des mises à jour et de la maintenance. Peu importe que le trafic de données d’un lieu ou d’un réseau mondial doive être contrôlé.

La solution peut aller plus loin et refuser à un utilisateur l’accès à un fichier, bien qu’il y ait en fait des droits d’accès. Un hôte externe minimise également le risque que l’outil soit endommagé lors d’une attaque.

Préserver les données à l’aide d’une stratégie de sauvegarde

En tant que plan B au cas où le pirate réussirait, les entreprises devraient mettre en place une stratégie de sauvegarde. Un instantané du système est créé à intervalles réguliers. En d’autres termes, une image numérique accessible si des données ont été compromises. Seules les autorisations de lecture sont accordées pour les instantanés. Ils ne peuvent pas être modifiés par la suite. Bien que cela coûte de l’espace de stockage supplémentaire, il est toujours conseillé de conserver également les anciens instantanés. Si l’attaque n’est pas détectée pendant longtemps, il est bon de pouvoir remonter plus loin. Un délai de plusieurs mois est recommandé. Au moins une copie de chaque instantané doit être conservée dans un endroit auquel même un pirate sophistiqué ne peut pas accéder.

Les instantanés peuvent également être automatisés. Si le système découvre un risque possible, il effectue une sauvegarde à titre préventif. Dans l’ensemble, les utilisateurs bénéficient du stockage d’autant de données d’activité que possible. Ils peuvent être visualisés et aider les équipes d’intervention à suivre les vecteurs d’attaque.

Construire une forteresse numérique

La cybersécurité est comme une forteresse. Un anneau défensif n’est pas suffisant pour retenir un ennemi bien positionné. Plus il y a de murs à franchir, plus il est difficile pour l’attaquant d’obtenir avec succès des données précieuses. En plus d’une cyberdéfense complète, une stratégie de gestion des données offre une protection supplémentaire. Et si un pirate parvient à s’emparer des données, une stratégie de sauvegarde permet de restaurer les données sans perte et d’assurer la continuité des activités.

Marc Kleff est directeur de l’ingénierie des solutions chez Netapp.

Photo Pixabay : madartzgraphics