Renforcé par « le succès » de l’attaque « WannaCry » en mai dernier, des cybercriminels ont lancé une nouvelle attaque à grande échelle. Cette fois, la menace s’appelait Petya et elle a utilisé la base d’un virus MBR (master boot record) qui bloque l’accès aux données en échange d’une rançon. Tout comme WannaCry, il s’agit d’une attaque de grande ampleur concernant plusieurs pays et industries. Malgré la couverture médiatique récurrente sur ces cybers menaces, la prise de conscience collective et les conseils donnés sur la nécessité de se protéger, beaucoup d’organisations restent démunies face à ce phénomène.
Le principe même de ce type d’attaque repose sur des mécanismes datés et très simples. Il y a plus de 30 ans apparaissait le premier virus de boot, créé et pensé pour être partagé via disquette pour infecter les machines tournant sous MS-DOS. Le virus charge un différend MBR ou démarre de nouveaux secteurs directement sur le disque dur infecté. Comme le nouveau MRB redémarre avant que le « vrai » système d’exploitation n’ait le temps de redémarrer, le virus a le champ libre pour atteindre les données afin de les corrompre ou tout simplement pour en priver l’accès à son propriétaire. Une méthode simple et efficace qui a fait ses preuves.
Si nous ne disposons pas de tous les éléments sur les origines de cette nouvelle attaque, il est certain que nombre de ces virus ransomware ont pour origine des terminaux comme un ordinateur d’un bureau ou portable, ou des ressources informatiques exotiques qui, pour une raison ou une autre, ne disposent pas du même niveau de protection que le reste du système.
Alors, tout comme WannaCry, si l’attaque est réussie, les seules options disponibles sont de payer la rançon ou de lancer très rapidement un programme de restauration des données. Disposer d’un plan de restauration de données est crucial. Mais compte tenu de l’échelle et de la complexité des attaques, il faut prévoir une stratégie complète. Non seulement il est nécessaire de pouvoir s’appuyer sur une plateforme de gestion de données qui couvre à la fois le cœur de votre entreprise (centre de données, cloud privé et public), mais aussi les terminaux. Avoir une copie fiable et à jour de votre données reste la meilleure défense contre ce danger.
Quels sont alors les bons réflexes à avoir en cas d’attaque ? Commvault présente sa liste de meilleures pratiques pour protéger et récupérer ses données face à un Ransomware.
- Élaborer un programme qui couvre tous vos besoins de protection des données
Il faut identifier vos données critiques, déterminer les flux de travail et les systèmes utilisés pour gérer les données. Ensuite il faut évaluer les risques liés aux données, appliquer des contrôles de sécurité et suivre de près les menaces qui sont en constante évolution. Sans protection adéquate, la restauration des données n’est pas envisageable.
- Utiliser des technologies de protection qui ont fait leurs preuves
Il faut pouvoir compter sur des solutions capables de détecter les potentielles attaques, notifiant le cas échéant les personnes concernées et tirant parti des CERT (Computer Emergency Response Team) externes. On peut alors prétendre dans ces conditions maintenir une image « GOLD », c’est-à-dire idéale, des systèmes et des configurations tout en maintenant une stratégie de sauvegarde complète et avec un moyen de surveiller son efficacité.
- Faire appel aux processus de sauvegarde et de récupération des données
Il ne faut pas compter uniquement sur les snapshots ou la réplication. Les données du mécanisme de sauvegarde pourraient tout aussi facilement être chiffrées et corrompues si elles ne sont pas sécurisées lorsqu'une attaque de ransomware survient. Il faut donc que le système de sauvegarde soit lui-même protégé des ransomware. Choisir une solution de protection des données qui ne propose pas ce volet représente un gros risque pour la sécurité des infrastructures informatiques.
- Sensibiliser ses collaborateurs aux dangers du ransomware et les former pour qu’ils puissent sécuriser leurs terminaux
Proposer au personnel une formation sur les meilleures pratiques à suivre en matière de récupération et de sécurité des données afin d'obtenir la protection des données des terminaux présents dans votre programme de sécurité de l'information. En effet, la plupart des brèches ouvertes sont dues à des petites erreurs commises sans même le savoir.
C’est le moment d'évaluer les capacités de réaction de l’entreprise face au ransomware. La simple application de ces conseils clés est essentielle pour s'assurer que l’organisation fait tout ce qui est possible pour éviter les conséquences d'une telle attaque. En cas d'attaque, l’objectif est de récupérer le plus rapidement les données de l’entreprise pour reprendre une activité normale.
La protection des données des terminaux est nécessaire pour réduire les risques de perte de données, de préférence grâce à une solution incluant centres de données et les terminaux. Les meilleures solutions couvrent les utilisateurs finaux avec une protection et une visibilité sur l'ensemble de leurs données d’entreprises, qu'elles soient stockées sur des ordinateurs portables, des ordinateurs de bureau ou des services de partage de fichiers, on premise ou dans le cloud.
Vous devez vous préparer à contrer les dangers actuels et futurs vis-à-vis de vos données. Développez votre stratégie, assurez-vous que vos plan de reprise d’activité est en béton, et éduquer vos utilisateurs.