mer. Août 10th, 2022

Par Jean-Pierre Boushira, Vice-President South, Benelux & Nordics, Veritas Technologies

Les ransomwares donnent de nombreuses raisons aux équipes d’IT de faire des cauchemars. Et pour cause, ils ne font aucune distinction entre les entreprises, les institutions publiques ou critiques. À ce jour, chaque entreprise aurait subi 2,57 attaques de ransomware en moyenne au cours des 12 derniers mois.

Bien que les ransomwares puissent causer de graves dommages aux activités des entreprises comme à leur réputation, ces derniers présentent eux aussi quelques failles. La bonne nouvelle est que certaines mesures claires peuvent être prises par les entreprises pour éviter d’être la cible de ce type d’attaques, et réduire ainsi la probabilité d’avoir à assumer des conséquences désastreuses. Voici donc les 10 pratiques les plus efficaces à mettre en œuvre pour protéger les données et assurer la résilience des entreprises :

  1. Promouvoir les mises à jour des systèmes et des logiciels

L’utilisation de logiciels obsolètes peut permettre aux attaquants d’exploiter des failles de sécurité qui ne sont pas encore corrigées. Pour réduire la surface d’attaque, les entreprises devraient appliquer des correctifs et mettre à jour fréquemment toute l’infrastructure, les systèmes d’exploitation et les applications logicielles. Il est également important de mettre à jour les applications dédiées à la sauvegarde. En effet, des technologies obsolètes ne pourront pas résister aux ransomwares contemporains.

  1. Effectuer des sauvegardes régulières et mettre en place la règle de sauvegarde 3-2-1

Des données, des images systèmes et des configurations régulièrement sauvegardées permettront aux entreprises de disposer d’un point de restauration récent en cas d’attaque par ransomware. Mais les entreprises devraient aller plus loin en dispersant les données avec la règle de sauvegarde 3-2-1 : en clair, il s’agit de conserver trois copies (ou plus) dans des endroits différents, d’utiliser deux supports de stockage distincts et de stocker une copie hors site. Cela réduira les chances qu’un attaquant puisse avoir accès à l’ensemble des données. Cette approche 3-2-1 permet également de s’assurer qu’une vulnérabilité dans une copie ne compromet pas toutes les autres. En outre, elle offre des options supplémentaires si une attaque met un datacenter complet hors service. De nombreuses entreprises font maintenant un pas de plus vers la stratégie 3-2-1 en conservant au moins une copie sur un stockage immuable (qui ne peut pas être modifié) et indélébile (qui ne peut pas être supprimé).

  1. Mettre en œuvre un modèle et des politiques Zero Trust

Le modèle Zero Trust part du principe qu’aucun dispositif ou utilisateur – même s’il se trouve au sein du réseau de l’entreprise – n’est de confiance. Au lieu d’un simple mot de passe, les entreprises devraient exiger la mise en place d’une authentification multifactorielle (MFA) et d’un contrôle d’accès basé sur les rôles (RBAC), instaurer des systèmes des surveillance et d’atténuation des activités  malveillantes, et enfin procéder au cryptage les données en transit et au repos. Dans quel but ? Rendre les données exfiltrées inutilisables. Bien évidemment, l’utilisation de mots de passe par défaut est à bannir. De plus, un accès limité aux sauvegardes aide les entreprises à bloquer la méthode d’entrée la plus courante des ransomwares. De nombreuses organisations s’orientent vers une pratique de sécurité de type « juste à temps » (JIT), où l’accès est accordé à un utilisateur en fonction des besoins ou pour une période de temps prédéterminée. Cette technique est à prendre en considération dans la gestion des données cruciales et critiques de l’entreprise.

  1. Segmenter le réseau

Les attaquants apprécient particulièrement les réseaux uniques et continus, car ils leur permettent de se propager facilement dans l’ensemble de l’infrastructure des entreprises. Un moyen efficace d’arrêter les attaquants et de réduire considérablement la surface d’attaque grâce notamment à la segmentation, réside dans la micro-segmentation du réseau. Avec ce modèle, les réseaux sont divisés en petites zones dont l’accès est géré et limité pour aider à la protection des données critiques. De plus, garder les fonctions d’infrastructure indispensables hors connexion est également préconisé. En outre, dans le cadre d’un modèle Zero Trust, l’entreprise devrait envisager de segmenter les fournisseurs tiers, car de nombreuses attaques notables contre les chaînes d’approvisionnement ont résulté d’une mauvaise de ces acteurs. Le piratage de Sunburst et l’attaque contre Colonial Pipeline en sont de parfaits exemples.

  1. Assurer la visibilité sur les endpoints

La plupart des entreprises manquent cruellement de visibilité sur les endpoints. De nos jours, il est courant que les acteurs malveillants arrivent à franchir les premières défenses de sécurité et restent en sommeil suffisamment longtemps pour repérer les faiblesses et définir le moment opportun pour attaquer. Il est essentiel que les entreprises mettent en œuvre des outils qui offrent une visibilité complète sur l’ensemble de l’environnement, détectent les anomalies, recherchent les activités malveillantes sur le réseau et lancent des alertes, afin que les ransomwares ne puissent pas se cacher. Les entreprises pourront ainsi atténuer les menaces et les vulnérabilités avant que des acteurs malintentionnés n’aient l’occasion d’agir.

  1. Utiliser un système de stockage immuable et indélébile

L’un des meilleurs moyens de protéger vos données contre les ransomwares est de mettre en place un stockage immuable et indélébile. Il garantit que les données ne peuvent pas être modifiées (cryptées ou supprimées) pendant une durée déterminée. Toutefois, le terme « stockage immuable » est devenu un terme à la mode chez les fournisseurs de solutions de sauvegarde. Alors, les entreprises doivent rechercher une immuabilité logique mais aussi physique, et c’est pour cela qu’il est important d’inclure des couches de sécurité intégrées. De manière générale, l’industrie s’oriente vers deux types d’immuabilité. La première, connue sous le nom d’approche « quatre yeux », consiste à avoir une première paire d’yeux (par exemple celle de l’administrateur chargé de la sauvegarde) et une seconde qui serait celle de l’administrateur de la sécurité, sans lesquelles aucune modification n’est possible. Davantage orientée vers la conformité, la seconde paire d’yeux fait référence à l’immuabilité inaltérable. Autrement dit, ce modèle se base sur des données qui ne peuvent être modifiées en aucune circonstance. Les deux approches comprennent une horloge de conformité qui est complètement indépendante du système d’exploitation, de sorte que si l’horloge du système d’exploitation est usurpée, cela n’affecte pas la libération des données.

  1. Assurer une récupération rapide

La plupart du temps, les attaquants qui utilisent des ransomwares espèrent deux choses : du temps pour que l’attaque se propage, et de l’argent pour qu’ils la stoppent. Par le passé, la récupération pouvait prendre des semaines, voire des mois, car il s’agissait d’un processus extrêmement manuel et laborieux qui concernait plusieurs parties prenantes au sein d’une même entreprise. Aujourd’hui, la récupération peut être orchestrée et automatisée grâce à des options flexibles qui peuvent réduire le temps d’arrêt et offrir des alternatives au paiement de la rançon. Avec les bons systèmes en place, les temps de récupération peuvent être réduits à seulement quelques secondes si nécessaire.

  1. Effectuer des tests réguliers

La création d’un plan complet de protection des données ne signifie pas que les équipes IT dédiées ont terminé leur travail. Les tests garantissent en effet que le plan établi par l’entreprise  fonctionnera au moment venu. Et bien que les tests initiaux puissent confirmer que tous les aspects du plan fonctionnent correctement, il est essentiel de les tester régulièrement. Il s’agit en effet de s’assurer qu’ils sont en adéquation avec l’environnement informatique actuel qui évolue sans cesse. De manière générale, un plan est aussi bon que lors de son dernier test. Si les entreprises ne les mettent pas à l’épreuve de façon régulière, rien ne garantit qu’elles pourront récupérer rapidement d’une attaque par ransomware. Enfin, il est également essentiel de mettre en œuvre des solutions testées dans un environnement de récupération ou un bac à sable non perturbateur et isolé.

  1. Éduquer les employés

Il est de notoriété publique que les employés sont souvent la porte d’entrée d’une attaque. Les entreprises ne doivent pas les blâmer, car personne n’est à l’abri d’une erreur. Les attaques modernes de phishing et d’ingénierie sociale sont parfois si avancées qu’elles arrivent à tromper les professionnels de la sécurité. Au lieu de cela, les entreprises devraient se concentrer sur leur formation, et développer leur capacité à identifier les tentatives d’attaque par phishing ou basées sur l’ingénierie sociale, les aider à créer des mots de passe dits « forts », leur apprendre à naviguer en toute sécurité, ou encore à les sensibiliser à l’utilisation de l’AMF et à l’utilisation de VPN sécurisés. Les collaborateurs devraient également toujours savoir quoi faire et qui alerter lorsqu’ils pensent avoir été victimes d’une attaque.

  1. Créer un référentiel pour les cyberattaques

Les entreprises qui créeront un manuel ou un référentiel de cyberattaques (incluant les rôles et les responsabilités de chacun, les méthodes de communication et les protocoles de réponse en cas d’urgence) permettront aux salariés d’être mieux préparés en cas d’attaque. Une bonne approche serait de créer un canal de communication d’urgence sur une application sécurisée et destinée aux dirigeants de l’entreprise, afin qu’ils puissent communiquer en cas de cyberattaque. En effet, les systèmes de messagerie ou de chat de l’entreprise peuvent également être mis hors service au cours d’une attaque. Engager une agence tierce pour auditer la stratégie et vérifier les éléments précédents est également une bonne idée.

Les entreprises ont la possibilité de prendre des mesures décisives pour lutter contre les ransomwares et renverser la situation face aux cybercriminels. En mettant en place une stratégie de résilience aux ransomwares multi-niveaux – qui inclut les bonnes pratiques et une hygiène de cybersécurité irréprochable – les entreprises pourront stopper les acteurs malveillants avant qu’ils n’infiltrent les systèmes et ne lancent leurs attaques.

Click to rate this post!
[Total: 0 Average: 0]

By Manuel