Stratégies et bonnes pratiques de sauvegarde contre les ransomwares. Comment protéger les sauvegardes contre les ransomwares ?

Pourquoi les rançongiciels constituent-ils une menace essentielle pour la cybersécurité moderne ?

Depuis plus de dix ans, les attaques par ransomware perturbent gravement de nombreuses organisations, entraînant la perte de données critiques et sensibles, ainsi que d’autres conséquences fâcheuses, telles que le versement d’énormes sommes d’argent à des organisations criminelles. Presque tous les grands secteurs d’activité sont régulièrement touchés par les ransomwares d’une manière ou d’une autre. Les attaques de ransomware ont atteint 5 263 incidents en 2024 – le nombre le plus élevé enregistré depuis le début du suivi en 2021, et le nombre en question semble continuer à augmenter chaque année.

Si les mesures préventives restent un élément clé de la défense contre les ransomwares, le maintien de sauvegardes régulières des données constitue le moyen le plus efficace de récupérer les données à la suite d’une attaque. La protection des données est primordiale : étant donné que de nombreuses formes de ransomware ciblent également les données sauvegardées, il est absolument nécessaire de prendre des mesures pour protéger les sauvegardes contre les ransomwares. Des recherches récentes montrent également que les attaquants ont tenté de compromettre les sauvegardes de 94 % des organisations touchées par un ransomware, ce qui rend la protection des sauvegardes plus critique que jamais.

Les ransomwares sont des logiciels malveillants qui s’infiltrent dans l’ordinateur ou le(s) serveur(s) d’une victime, chiffrent ses données et les rendent inaccessibles. Les auteurs exigent ensuite le paiement d’une rançon – généralement sous forme de crypto-monnaie – en échange de la clé de décryptage. Les attaques de ransomware ont généralement des conséquences dévastatrices, entraînant d’importantes pertes financières, perturbant la productivité et provoquant même des faillites. L’attaque de 2024 Change Healthcare (un important fournisseur de soins de santé aux États-Unis) a entraîné à elle seule des dommages d’une valeur de 3,09 milliards de dollars et a compromis les informations de santé protégées de plus de 100 millions de personnes.

Après avoir réussi à crypter les fichiers ciblés, les attaquants demandent généralement une rançon. Les paiements de rançon sont souvent demandés en bitcoins ou autres crypto-monnaies, ce qui les rend difficiles à retracer pour les forces de l’ordre. Si la victime n’accède pas à la demande de rançon, les attaquants peuvent recourir à d’autres menaces, comme la publication en ligne des fichiers cryptés ou leur suppression définitive.

Quelles sont les principales cibles des attaques par ransomware ?

Bien que l’affirmation selon laquelle pratiquement tous les appareils sont des cibles potentielles pour les ransomwares, il existe certaines catégories d’informations et certains groupes d’utilisateurs que les créateurs de ransomwares ont tendance à cibler le plus :

• Organismes gouvernementaux – cibles principales de la plupart des variantes de ransomware en raison de la quantité de données sensibles qu’ils détiennent ; il est également communément admis que le gouvernement préfère payer la rançon plutôt que de laisser les données sensibles d’importance politique être divulguées au public ou vendues à des tierces parties.
• Organismes de soins de santé – Cible privilégiée des ransomwares en raison du grand nombre d’infrastructures de soins de santé reposant sur des logiciels et du matériel obsolètes, ce qui réduit considérablement les efforts nécessaires pour briser toutes les mesures de protection ; les données de soins de santé sont également extrêmement importantes en raison de leur lien direct avec la vie de centaines ou de milliers de patients, ce qui les rend encore plus précieuses.
• Appareils mobiles – une cible courante en raison de la nature des smartphones modernes et de la quantité de données qu’un seul smartphone a tendance à contenir (qu’il s’agisse de vidéos et de photos personnelles, d’informations financières, etc.)
• Les institutions universitaires – l’une des plus grandes cibles des ransomwares, en raison de la combinaison du travail avec de grands volumes de données sensibles et de groupes informatiques plus petits, de contraintes budgétaires et d’autres facteurs qui contribuent à la moindre efficacité globale de leurs systèmes de sécurité.
• Les services des ressources humaines: ils ne disposent peut-être pas de beaucoup d’informations précieuses, mais ils ont la chance d’avoir accès aux dossiers financiers et personnels des autres employés ; ils sont également une cible fréquente en raison de la nature même du travail (en ouvrant des centaines de courriels par jour, un employé moyen des ressources humaines a beaucoup plus de chances d’ouvrir un courriel contenant des logiciels malveillants).

Le nombre d’attaques par ransomware semble augmenter à un rythme alarmant. Les organisations de services financiers ont vu 65 % d’entre elles ciblées par des ransomwares en 2024, les attaquants tentant de compromettre les sauvegardes dans 90 % de ces attaques. De nouveaux types de ransomwares et de nouvelles variantes sont également développés régulièrement. Il existe désormais un tout nouveau modèle commercial appelé RaaS ( Ransomware-as-a-Service), qui offre un accès permanent aux derniers exemples de logiciels malveillants moyennant un abonnement mensuel, ce qui simplifie grandement le processus global d’attaque par ransomware.

Les dernières informations de Statista confirment les déclarations ci-dessus en ce qui concerne les plus grandes cibles des ransomwares dans leur ensemble – organisations gouvernementales, soins de santé, finances, fabrication, etc. Les organisations financières semblent également se développer régulièrement en tant que l’une des plus grandes cibles des ransomwares jusqu’à présent.

Il existe des moyens de protéger votre entreprise contre les différentes attaques de ransomware, et le premier d’entre eux, essentiel, est de vous assurer que vos sauvegardes sont à l’épreuve des ransomwares.

Quels sont les différents types de ransomware ?

Examinons tout d’abord les différents types de menaces. Les ransomwares liés au chiffrement (cryptoware) sont l’un des types de ransomwares les plus répandus à l’heure actuelle. Voici quelques exemples notables, mais moins répandus, de types de ransomwares :

• Les écrans de verrouillage (interruption avec demande de rançon, mais sans cryptage),
• Mobile device ransomware (infection des téléphones portables),
• Ransomware de cryptage MBR (infection d’une partie du système de fichiers de Microsoft utilisé pour démarrer l’ordinateur, empêchant l’utilisateur d’accéder au système d’exploitation),
• Extorsionware/leakware (qui cible des données sensibles et compromettantes, puis demande une rançon en échange de la non-publication des données ciblées), et ainsi de suite.

La fréquence des attaques par ransomware devrait augmenter considérablement en 2022 et au-delà, et ce de manière de plus en plus sophistiquée. Des données récentes montrent que le paiement moyen d’une rançon a atteint 2,73 millions de dollars en 2024, soit une augmentation spectaculaire par rapport aux 400 000 dollars versés en 2023. Cette forte augmentation reflète à la fois la sophistication croissante des attaques et la meilleure compréhension par les attaquants des capacités financières des organisations victimes.

Si les mesures préventives sont le meilleur moyen de lutter contre les ransomwares, elles ne sont généralement pas efficaces à 100 %. Pour les attaques qui parviennent à pénétrer dans les entreprises, la sauvegarde est leur dernier rempart. La sauvegarde et la récupération des données se sont avérées être un élément de protection efficace et essentiel contre la menace des ransomwares. Toutefois, pour être en mesure de récupérer efficacement les données, il faut maintenir un calendrier strict de sauvegarde des données et prendre diverses mesures pour éviter que votre sauvegarde ne soit également capturée et chiffrée par un ransomware.

Pour qu’une entreprise puisse protéger suffisamment ses sauvegardes contre les ransomwares, une préparation et une réflexion préalables sont nécessaires. La technologie de protection des données, les meilleures pratiques en matière de sauvegarde et la formation du personnel sont essentielles pour atténuer les perturbations que les attaques de ransomware infligent aux serveurs de sauvegarde d’une entreprise et qui menacent l’activité de celle-ci.

Double extorsion et exfiltration de données

La double extorsion représente l’évolution la plus importante des tactiques des ransomwares au cours des cinq dernières années et modifie fondamentalement la façon dont les entreprises doivent aborder la protection des données. Contrairement aux attaques traditionnelles basées uniquement sur le chiffrement, où les sauvegardes permettent une récupération complète, la double extorsion crée une responsabilité qui persiste même après une restauration réussie.

Les attaquants exfiltrent désormais régulièrement des données sensibles pendant les phases de reconnaissance, souvent des semaines avant de déployer les charges utiles de chiffrement. Ces données volées deviennent un moyen de pression permanent. Les organisations qui disposent de sauvegardes parfaites sont toujours confrontées aux menaces de déversement de données publiques, de sanctions réglementaires, de perte d’informations concurrentielles et d’atteinte à la réputation.

De récentes attaques très médiatisées illustrent cette menace : les attaquants ont publié des dossiers de patients volés, des bases de données de clients et des recherches exclusives, même après que les victimes ont refusé de payer, ce qui a entraîné des amendes réglementaires dépassant les dizaines de millions de dollars. Le modèle de menace a fondamentalement changé – le ransomware n’est plus seulement une attaque de disponibilité résolue par des sauvegardes, mais une atteinte à la confidentialité nécessitant une protection complète des données.

Les cibles prioritaires sont les suivantes :

• les informations personnelles identifiables des clients (PII)
• les dossiers financiers
• la propriété intellectuelle
• les données des employés
• dossiers médicaux
• toute information soumise à une protection réglementaire

Les attaquants évaluent la valeur des données avant de choisir leurs victimes, en ciblant spécifiquement les organisations qui détiennent des informations sensibles, avec les conséquences que cela implique en termes de publication.

Pour se défendre, il faut superposer des stratégies de sauvegarde et de prévention de l’exfiltration des données. Les systèmes de prévention des pertes de données (DLP) surveillent et bloquent les transferts de données inhabituels. La segmentation du réseau limite les mouvements latéraux entre les référentiels de données. Le chiffrement au repos rend les fichiers volés inutilisables sans les clés correspondantes. Les architectures de confiance zéro vérifient toutes les tentatives d’accès, quelle qu’en soit la source.

Les sauvegardes restent essentielles pour la reprise des opérations, mais elles ne répondent qu’à la moitié de la menace de double extorsion. Une défense complète contre les ransomwares reconnaît que les attaques modernes créent des risques doubles nécessitant des protections doubles – résilience des sauvegardes pour le chiffrement et contrôles d’accès pour l’exfiltration.

Quels sont les mythes courants sur les ransomwares et les sauvegardes ?

Si vous cherchez comment protéger vos sauvegardes contre les ransomwares, vous risquez de tomber sur des conseils erronés ou obsolètes. En réalité, la protection des sauvegardes contre les ransomwares est un peu plus complexe, alors examinons quelques-uns des mythes les plus populaires sur le sujet.

Mythe de la sauvegarde contre les ransomwares 1 : Les ransomwares n’infectent pas les sauvegardes. Vous pensez peut-être que vos fichiers sont en sécurité. Cependant, tous les ransomwares ne s’activent pas au moment où vous êtes infecté. Certains attendent avant de se lancer. Cela signifie que vos sauvegardes peuvent contenir une copie du ransomware.

Mythe 2 sur les sauvegardes contre les ransomwares : les sauvegardes cryptées sont protégées contre les ransomwares. Le fait que vos sauvegardes soient cryptées n’a pas vraiment d’importance. Dès que vous exécutez une récupération de sauvegarde, l’infection potentielle redevient exécutable et s’active.

Mythe 3 sur les sauvegardes de ransomwares : seul Windows est affecté. De nombreuses personnes pensent qu’il est possible d’exécuter leurs sauvegardes sur un système d’exploitation différent pour éliminer la menace. Malheureusement, si les fichiers infectés sont hébergés dans le nuage, le ransomware passera de l’un à l’autre.

Mythe 4 sur les sauvegardes de ransomware : il est plus facile et moins coûteux de payer la rançon que d’investir dans des systèmes de récupération des données. Deux arguments de poids s’opposent à cette idée. Premièrement, les entreprises qui paient la rançon sont perçues comme vulnérables et peu disposées à lutter contre les attaques de ransomware. Deuxièmement, le paiement intégral de la rançon est loin d’être un moyen garanti d’obtenir les clés de décryptage.

Mythe 5 sur la sauvegarde des ransomwares : les attaques de ransomwares sont principalement menées pour se venger des grandes entreprises qui maltraitent les gens ordinaires. Il est possible d’établir un lien entre les entreprises dont la politique à l’égard des clients est douteuse et les attaques par vengeance, mais la grande majorité des attaques cherchent simplement à profiter de n’importe qui.

Mythe 6 sur la sauvegarde des ransomwares : les ransomwares n’attaquent pas les petites entreprises et ne ciblent que les grandes sociétés. Bien que les grandes entreprises puissent être des cibles plus importantes en raison du montant potentiellement plus élevé de la rançon qui pourrait leur être demandée, les petites entreprises sont attaquées par des ransomwares tout aussi souvent que les grandes – et même les utilisateurs privés sont régulièrement victimes d’un nombre important d’attaques de ransomwares. Un rapport de Sophos montre que ce mythe particulier n’est tout simplement pas vrai, puisque les grandes et les petites entreprises ont à peu près le même pourcentage d’être touchées par des ransomwares en un an (72 % pour les entreprises ayant un chiffre d’affaires de 5 milliards de dollars et 58 % pour les entreprises ayant un chiffre d’affaires de moins de 10 millions de dollars).

Bien entendu, il existe encore de nombreux moyens de protéger les sauvegardes contre les ransomwares. Vous trouverez ci-dessous quelques stratégies importantes à prendre en compte pour votre entreprise.

Quelles sont les meilleures méthodes pour protéger les sauvegardes contre les ransomwares ?

Voici quelques considérations techniques spécifiques à l’environnement informatique de votre entreprise, afin de protéger votre serveur de sauvegarde contre de futures attaques de ransomware :

Utilisez des identifiants uniques et distincts

Les systèmes de sauvegarde nécessitent une authentification dédiée qui n’existe nulle part ailleurs dans votre infrastructure. Les attaques de ransomware commencent souvent par compromettre les identifiants administratifs standard, puis utilisent ces mêmes identifiants pour localiser et détruire les référentiels de sauvegarde. Lorsque le stockage de sauvegarde partage l’authentification avec les systèmes de production, une seule violation des informations d’identification expose tout.

Exigences en matière de contrôle d’accès :

• Mettez en place une authentification multifactorielle pour tout accès humain à l’infrastructure de sauvegarde – les jetons matériels ou les applications d’authentification offrent une protection plus forte que les codes basés sur les SMS.
• Mettez en place un contrôle d’accès basé sur les rôles, séparant les opérateurs de sauvegarde (qui exécutent les tâches et surveillent leur achèvement) des administrateurs de sauvegarde (qui configurent les politiques et le stockage).
• Accordez les autorisations minimales requises pour chaque fonction – accès en lecture aux fichiers pour les agents de sauvegarde, accès en écriture à des emplacements de stockage spécifiques, rien de plus.
• Évitez les privilèges de root ou d’administrateur pour les opérations de sauvegarde, qui permettent aux ransomwares d’accéder inutilement au système.

Créez des comptes de service exclusivement pour les opérations de sauvegarde, sans aucun autre accès au système. Ces comptes ne doivent jamais se connecter aux stations de travail, aux systèmes de messagerie ou à d’autres applications. L’architecture de Bacula applique cette séparation par défaut, en exécutant ses démons sous des comptes de service dédiés qui fonctionnent indépendamment des charges de travail de production.

Surveillez les journaux d’authentification pour l’accès au système de sauvegarde, en particulier les tentatives de connexion échouées, l’accès à partir d’emplacements inhabituels ou l’utilisation d’informations d’identification en dehors des fenêtres de sauvegarde normales. Auditez les actions privilégiées telles que les modifications de la politique de conservation ou les suppressions de sauvegardes – les modifications légitimes sont peu fréquentes, ce qui rend les activités non autorisées évidentes.

Stockage hors ligne

Le stockage hors ligne est l’une des meilleures défenses contre la propagation du chiffrement des ransomwares au stockage des sauvegardes. Il existe un certain nombre de possibilités de stockage qui méritent d’être mentionnées :

Travaux de copie de sauvegarde

Une tâche de copie de sauvegarde permet de copier des données de sauvegarde existantes sur un autre système de disque afin de les restaurer ultérieurement ou de les envoyer à un emplacement hors site.

L’exécution d’une tâche de copie de sauvegarde est un excellent moyen de créer des points de restauration avec des règles de conservation différentes de celles de la tâche de sauvegarde normale (et situées sur un autre support de stockage). La tâche de copie de sauvegarde est un mécanisme précieux qui vous aide à protéger les sauvegardes contre les ransomwares parce qu’il y a différents points de restauration utilisés avec la tâche de copie de sauvegarde.

Par exemple, si vous ajoutez un périphérique de stockage supplémentaire à votre infrastructure (par exemple un serveur Linux), vous pouvez définir un référentiel pour ce périphérique et créer une tâche de copie de sauvegarde qui servira de sauvegarde contre les ransomwares.

Évitez de multiplier les types de systèmes de fichiers

Bien que l’utilisation de différents protocoles soit un bon moyen d’empêcher la propagation des ransomwares, sachez que cela ne constitue en aucun cas une garantie contre les attaques par ransomwares de sauvegarde. Les différents types de ransomwares ont tendance à évoluer et à devenir plus efficaces régulièrement, et de nouveaux types apparaissent assez fréquemment.

Il est donc conseillé d’adopter une approche de sécurité de niveau entreprise : le stockage des sauvegardes doit être inaccessible dans la mesure du possible, et il ne doit y avoir qu’un seul compte de service sur les machines connues qui doit y accéder. Les emplacements du système de fichiers utilisés pour stocker les données de sauvegarde ne doivent être accessibles que par les comptes de service concernés afin de protéger toutes les informations contre les attaques de ransomware.

Utilisez la règle 3-2-1-1

La règle 3-2-1 consiste à disposer de trois copies distinctes de vos données, sur deux supports différents, dont l’un est hors site. L’avantage de cette approche pour la sauvegarde contre les ransomwares est qu’elle répond à pratiquement tous les scénarios de défaillance et qu’elle ne nécessite pas l’utilisation de technologies spécifiques. A l’ère des ransomwares, Bacula recommande d’ajouter un second « 1 » à la règle, celui où l’un des supports est hors ligne. Il existe un certain nombre d’options permettant de faire une copie hors ligne ou semi-hors ligne de vos données. En pratique, chaque fois que vous sauvegardez sur des cibles autres que des systèmes de fichiers, vous êtes déjà proche de respecter cette règle. Les bandes et les cibles de stockage d’objets dans le nuage vous sont donc utiles. Placer les bandes dans un coffre-fort une fois qu’elles ont été écrites est une pratique exemplaire de longue date.

Les cibles de stockage dans le nuage servent de stockage semi-hors ligne du point de vue de la sauvegarde. Les données ne sont pas sur site et leur accès nécessite des protocoles personnalisés et une authentification secondaire. Certains fournisseurs de services en nuage permettent de placer les objets dans un état immuable, ce qui répondrait à l’exigence de les empêcher d’être endommagés par un attaquant. Comme pour toute mise en œuvre de l’informatique en nuage, on accepte un certain degré de risque en matière de fiabilité et de sécurité en confiant des données critiques à un fournisseur d’informatique en nuage, mais en tant que source de sauvegarde secondaire, l’informatique en nuage est très convaincante.

Vérifiez l’intégrité des sauvegardes (règle 3-2-1-1-0)

La règle moderne 3-2-1-1-0 étend les pratiques de sauvegarde traditionnelles en y ajoutant un cinquième élément essentiel : zéro erreur. Ce principe souligne que les sauvegardes n’ont de valeur que si leur restauration est garantie en cas de besoin. Le « 0 » représente des sauvegardes vérifiées, exemptes d’erreurs, qui ont été testées et dont la restauration a été prouvée.

De nombreuses organisations découvrent trop tard que leurs sauvegardes sont corrompues, incomplètes ou impossibles à restaurer. Les ransomwares restent parfois dormants dans les copies de sauvegarde pendant des semaines ou des mois avant d’être activés, d’où la nécessité d’une vérification régulière. Sans test systématique, vous risquez d’avoir plusieurs copies de données inutilisables plutôt que des sauvegardes fonctionnelles.

La mise en œuvre du principe « zéro erreur » nécessite plusieurs pratiques :

• Des contrôles d’intégrité automatisés doivent être exécutés après chaque sauvegarde, afin de vérifier les sommes de contrôle et l’intégrité des fichiers. Ces contrôles permettent d’identifier les cas de corruption immédiatement plutôt qu’au cours d’une situation de reprise d’activité en cas de crise.
• Les tests de restauration réguliers consistent à restaurer périodiquement les données à partir de toutes les sources de sauvegarde afin de confirmer que le processus fonctionne de bout en bout. Les tests de restauration doivent couvrir différents scénarios : fichiers individuels, systèmes entiers et situations de reprise après sinistre.
• La vérification de la bande passante et des performances permet de s’assurer que votre infrastructure sera en mesure de gérer des restaurations à pleine capacité dans le respect de vos objectifs en matière de délai de reprise. Une sauvegarde qui met trois semaines à être restaurée peut être techniquement intacte mais inutilisable sur le plan opérationnel.
• La documentation des procédures de restauration doit être conservée et mise à jour à chaque test, afin de s’assurer que le personnel est toujours en mesure d’effectuer des restaurations sous pression.

Planifiez des exercices de restauration complets au moins une fois par trimestre, en testant des sauvegardes provenant de différentes périodes et de différents lieux de stockage. Mesurez et documentez vos objectifs de temps de récupération (RTO) et de point de récupération (RPO) au cours de ces exercices, en les comparant aux exigences de votre entreprise. Cette pratique transforme la protection théorique des sauvegardes en une capacité éprouvée et fiable de récupération des données.

Évitez les instantanés de stockage

Les instantanés de stockage sont utiles pour récupérer des fichiers supprimés à un moment donné, mais ils ne constituent pas une sauvegarde au sens propre du terme. Les instantanés de stockage ne bénéficient généralement pas d’une gestion avancée de la conservation, ni de rapports, et toutes les données sont toujours stockées sur le même système et peuvent donc être vulnérables à toute attaque affectant les données primaires. Un instantané n’est rien de plus qu’une copie ponctuelle de vos données. En tant que telle, la sauvegarde est toujours vulnérable aux attaques de ransomware si celles-ci ont été programmées pour rester dormantes jusqu’à un certain moment.

Récupération sur métal nu

La restauration bare metal s’effectue de différentes manières. De nombreuses entreprises se contentent de déployer une image standard, de fournir des logiciels, puis de restaurer les données et/ou les préférences des utilisateurs. Dans de nombreux cas, toutes les données sont déjà stockées à distance et le système lui-même n’a guère d’importance. Cependant, dans d’autres cas, cette approche n’est pas pratique et la capacité de restaurer complètement une machine à un moment donné est une fonction essentielle de la mise en œuvre de la reprise après sinistre qui vous permet de protéger les sauvegardes contre les ransomwares.

La capacité de restaurer un ordinateur crypté par un ransomware à un moment récent, y compris toutes les données utilisateur stockées localement, peut être un élément nécessaire d’une défense en couches. La même approche s’applique aux systèmes virtualisés, bien qu’il existe généralement des options préférables au niveau de l’hyperviseur.

Test du plan de sauvegarde

Les tests des procédures de sauvegarde et de restauration transforment la protection théorique en capacité prouvée. Les organisations qui découvrent des défaillances de sauvegarde au cours d’incidents réels de ransomware s’exposent à des pertes de données catastrophiques et à des temps d’arrêt prolongés. Des tests réguliers permettent d’identifier les problèmes avant qu’une situation d’urgence ne se produise.

Établissez un calendrier de tests structuré en fonction de la criticité des données. Testez les systèmes critiques tous les mois, les systèmes importants tous les trimestres et les systèmes standard tous les semestres. Chaque test valide différents scénarios de reprise afin d’assurer une couverture complète.

Scénarios de restauration à tester régulièrement :

• Restauration au niveau des fichiers – Récupérez des fichiers et des dossiers individuels à différentes dates pour vérifier les capacités de restauration granulaire.
• Restauration au niveau du système – Restaurez des serveurs complets, des bases de données ou des machines virtuelles pour confirmer la restauration complète du système.
• Restauration à partir de matériel nu – Reconstruire les systèmes à partir de zéro sur du nouveau matériel pour valider les procédures de reprise après sinistre.
• Restauration multiplateforme – Testez la restauration sur différents matériels ou environnements virtualisés.
• Restauration partielle – Restaurer des composants d’application spécifiques ou des tables de base de données pour vérifier les options de restauration sélective.

Documentez l’objectif de temps de reprise (RTO) et l’objectif de point de reprise (RPO) pour chaque système pendant les tests. Le RTO mesure la rapidité avec laquelle vous rétablissez les opérations, c’est-à-dire le temps qui s’écoule entre la défaillance et la reprise complète. Le RPO mesure la perte potentielle de données, c’est-à-dire le temps écoulé entre la dernière sauvegarde et la défaillance. Comparez les résultats réels aux exigences de l’entreprise et adaptez les fréquences de sauvegarde ou l’infrastructure en conséquence.

Vérifiez que la capacité de la bande passante permet d’effectuer des restaurations à grande échelle dans le cadre de vos objectifs RTO. Un système de sauvegarde qui nécessite trois semaines pour restaurer des téraoctets de données échoue sur le plan opérationnel malgré l’intégrité technique. Testez la restauration sur les réseaux de production pendant les heures de bureau afin d’identifier les contraintes de performance réalistes.

Conservez une documentation détaillée de chaque test, y compris les procédures suivies, le temps nécessaire, les problèmes rencontrés et les mesures correctives prises. Mettre à jour les manuels d’exécution sur la base des résultats des tests afin de s’assurer que le personnel exécute efficacement les restaurations lors d’incidents réels. Répartir les responsabilités en matière de tests entre les membres de l’équipe afin d’éviter les points uniques de défaillance des connaissances.

Surveillance, alerte et détection des anomalies

La surveillance continue permet de détecter les attaques de ransomware en cours avant qu’elles ne détruisent l’infrastructure de sauvegarde. Les attaquants passent généralement des heures ou des jours de reconnaissance à cartographier les systèmes de sauvegarde, à tenter d’accéder aux informations d’identification et à tester les capacités de suppression avant de lancer des attaques à grande échelle. La surveillance est nécessaire pour détecter rapidement ces activités de reconnaissance.

Événements critiques nécessitant des alertes immédiates :

• Échec des tentatives d’authentification aux systèmes de sauvegarde, en particulier les échecs multiples provenant d’une seule source.
• Demandes de suppression de sauvegardes ou modifications de la politique de conservation en dehors des fenêtres de changement.
• Taille inhabituelle des sauvegardes – des augmentations importantes suggèrent une exfiltration de données, des diminutions significatives indiquent une corruption ou une falsification.
• Échecs des tâches de sauvegarde sur plusieurs systèmes simultanément, signalant des attaques coordonnées.
• Accès au stockage de sauvegarde à partir d’adresses IP ou d’emplacements géographiques non autorisés.
• Accès aux clés de chiffrement en dehors des opérations de sauvegarde programmées.

Configurez des lignes de base pour la détection des anomalies en mesurant les modèles de sauvegarde normaux sur des périodes de 30 jours. Établissez des tailles de sauvegarde typiques, des temps d’exécution et des schémas d’accès pour chaque système. Intégrez les journaux des systèmes de sauvegarde aux plates-formes de gestion des informations et des événements de sécurité (SIEM) pour une visibilité unifiée. Automatisez la réponse aux alertes critiques dans la mesure du possible. Examinez les données de surveillance chaque semaine, même en l’absence d’alertes.

Stockage immuable

Les ransomwares modernes recherchent activement et détruisent les sauvegardes avant de chiffrer les données primaires. Le stockage immuable permet de contrer cette menace en créant des copies de sauvegarde qui ne peuvent pas être modifiées, supprimées ou chiffrées une fois écrites, même par des administrateurs disposant d’un accès complet au système.

La technologie WORM (Write-Once-Read-Many) représente la mise en œuvre la plus robuste de l’immutabilité. Lorsque les données sont stockées au format WORM, elles sont verrouillées de manière permanente pendant une période de conservation donnée. Les rançongiciels qui compromettent les informations d’identification de l’administrateur ne peuvent pas passer outre ces protections, ce qui rend le stockage WORM insensible aux attaques basées sur les informations d’identification.

Les fournisseurs de services en nuage offrent une immuabilité au niveau des objets grâce à des services tels que Amazon S3 Object Lock, Azure Immutable Blob Storage et Google Cloud Storage Retention Policies. Ces services verrouillent les objets au niveau de l’API, empêchant les demandes de suppression ou de modification de la part de tout utilisateur ou application. La configuration nécessite d’activer l’immutabilité au niveau du bac ou du conteneur avant d’écrire les données de sauvegarde.

Les solutions WORM basées sur le matériel comprennent des librairies de bandes spécialisées et des appareils dotés d’une protection en écriture renforcée par le micrologiciel. Ces dispositifs rejettent les commandes de modification au niveau du matériel, offrant ainsi une protection indépendante des vulnérabilités logicielles.

Étapes de mise en œuvre des sauvegardes immuables :

• Configurez le logiciel de sauvegarde pour qu’il écrive sur des cibles immuables immédiatement après la fin de la sauvegarde.
• Définissez des périodes de conservation qui dépassent votre plus longue période de dormance potentielle des ransomwares – généralement de 90 à 180 jours selon les modèles de menaces actuels.
• Séparez les systèmes d’authentification pour le stockage immuable des environnements de production en utilisant des comptes de service dédiés avec des autorisations d’écriture uniquement.
• Ajoutez le stockage immuable à l’infrastructure de sauvegarde standard plutôt que de la remplacer – les copies immuables servent d’option de récupération finale.
• Surveillez les tentatives d’accès non autorisé et les demandes de suppression infructueuses, qui signalent des attaques actives.
• Vérifiez que les paramètres d’immuabilité restent appliqués après les mises à jour du système.

Chiffrement des sauvegardes

Le chiffrement protège les données de sauvegarde contre les accès non autorisés et empêche les attaquants d’exploiter les sauvegardes volées dans le cadre de plans de double extorsion. Les groupes de ransomware modernes exfiltrent de plus en plus les données avant le chiffrement, menaçant de publier des informations sensibles si les victimes ne paient pas de rançon supplémentaire. Les sauvegardes chiffrées rendent les données volées inutilisables pour les attaquants.

Mettez en œuvre le chiffrement à deux endroits critiques :

• les données au repos (sauvegardes stockées)
• les données en transit (pendant les opérations de sauvegarde et de restauration).

Le cryptage AES-256 fournit une protection standard pour les données de sauvegarde stockées, offrant une sécurité pratiquement inviolable avec la technologie actuelle. TLS 1.2 ou supérieur sécurise les données circulant entre les clients de sauvegarde et les cibles de stockage, en empêchant toute interception pendant la transmission.

Pratiques de gestion des clés :

• Stockez les clés de chiffrement séparément des données de sauvegarde – les clés stockées à côté des sauvegardes chiffrées n’offrent aucune protection si les attaquants compromettent le système de stockage.
• Utilisez des systèmes de gestion des clés (KMS) ou des modules de sécurité matériels (HSM) dédiés qui assurent un stockage des clés inviolable et une journalisation des accès.
• Mettez en place des contrôles d’accès basés sur les rôles qui limitent l’accès aux clés aux seuls administrateurs de sauvegarde autorisés.
• Effectuer une rotation des clés de chiffrement chaque année ou après tout incident de sécurité présumé.
• Conservez des copies hors ligne sécurisées des clés de chiffrement dans des endroits physiquement séparés – la perte des clés entraîne une perte permanente des données, quelle que soit l’intégrité de la sauvegarde.
• Documentez les procédures de récupération des clés et testez-les régulièrement pour vous assurer que les clés restent accessibles en cas de sinistre.
• Activez l’authentification multifactorielle pour tous les accès au système de gestion des clés.

Séparez les informations d’identification de la gestion des clés des informations d’identification du système de sauvegarde. Les attaquants qui compromettent les comptes d’administrateurs de sauvegarde ne devraient pas obtenir automatiquement l’accès aux clés de chiffrement. Cette séparation crée une barrière supplémentaire obligeant les attaquants à enfreindre plusieurs systèmes d’authentification.

Pour les organisations soumises à des exigences réglementaires, le chiffrement répond aux mandats de conformité, notamment GDPR, HIPAA et PCI-DSS. Ces cadres exigent le chiffrement des données sensibles au repos et en transit, ce qui rend le chiffrement des sauvegardes légalement obligatoire plutôt qu’optionnel pour les industries réglementées.

Surveillez les journaux d’accès aux clés de chiffrement pour détecter toute activité inhabituelle. Les tentatives inattendues de récupération des clés signalent des attaques potentielles visant à décrypter les données de sauvegarde à des fins d’exfiltration ou de sabotage.

Politiques de sauvegarde

L’examen et la mise à jour régulière de vos politiques de sauvegarde anti-ransomware constituent une méthode particulièrement efficace pour minimiser les effets d’une attaque par ransomware ou pour la prévenir purement et simplement. Pour que la politique de sauvegarde soit efficace, elle doit être actualisée et flexible, et inclure des solutions pour toutes les méthodes modernes d’attaque par ransomware.

L’une des meilleures défenses contre les ransomwares est la restauration des informations à partir de sauvegardes propres, car le paiement d’une rançon ne garantit pas à 100 % le décryptage de vos données, ce qui souligne une fois de plus l’importance des sauvegardes. Les sujets qui doivent être abordés lors d’un audit approfondi de l’ensemble de votre structure de données interne sont les suivants :

• La règle 3-2-1 est-elle en place ?
• Existe-t-il des systèmes critiques qui ne sont pas couverts par des opérations de sauvegarde régulières ?
• Ces sauvegardes sont-elles correctement isolées pour ne pas être affectées par un ransomware ?
• Y a-t-il eu un essai de restauration d’un système à partir d’une sauvegarde pour en tester le fonctionnement ?

Plan de reprise après sinistre

Un plan de reprise après sinistre (PRS) décrit la manière dont votre organisation réagit aux menaces telles que les ransomwares, les pannes matérielles, les catastrophes naturelles et les erreurs humaines. Les plans de reprise d’activité efficaces établissent des procédures claires avant que les incidents ne se produisent, éliminant ainsi la confusion lors des situations de réponse à fort stress.

Cadre des objectifs de reprise :

L’objectif de point de récupération (RPO) définit la perte de données acceptable mesurée en temps – combien de données vous pouvez vous permettre de perdre. L’objectif de temps de reprise (RTO) définit le temps d’indisponibilité acceptable, c’est-à-dire la rapidité avec laquelle vous devez rétablir les opérations. Fixez ces objectifs en fonction de l’impact sur l’entreprise :

• Systèmes critiques (transactions financières, dossiers des patients) : RPO de 15 minutes à 1 heure, RTO de 1 à 4 heures.
• Systèmes d’entreprise importants (courrier électronique, CRM, gestion de projet) : RPO de 4 à 8 heures, RTO de 8 à 24 heures
• Systèmes standard (serveurs de fichiers, archives) : RPO de 24 heures, RTO de 48-72 heures

La fréquence des sauvegardes et l’infrastructure doivent permettre d’atteindre ces objectifs. Les systèmes dont le RPO est de 15 minutes nécessitent une réplication continue ou des instantanés fréquents, et non des sauvegardes quotidiennes.

Procédures d’intervention en cas d’incident lié à un ransomware :

1. Isolez immédiatement les systèmes affectés – Déconnectez les appareils compromis des réseaux pour empêcher la propagation du ransomware, mais laissez les systèmes sous tension pour préserver les preuves.
2. Activez l’équipe de réponse à l’incident – Attribuez les rôles : commandant de l’incident, responsable technique, coordinateur des communications, liaison juridique.
3. Évaluer la portée de l’ incident – Identifier tous les systèmes compromis, déterminer la variante du ransomware, vérifier si les sauvegardes sont affectées.
4. Préservez les preuves: capturez les vidages de mémoire, les journaux et les états du système avant de remédier à la situation, en vue d’une éventuelle intervention des forces de l’ordre.
5. Vérifier l’intégrité des sauvegardes – Tester la restauration à partir de plusieurs générations de sauvegardes pour confirmer l’existence de points de restauration propres.
6. Exécuter la restauration – Restaurer à partir de la dernière sauvegarde propre, reconstruire les systèmes compromis, mettre en œuvre des contrôles de sécurité supplémentaires avant de se reconnecter à la production.

Documentez à l’avance les décisions relatives au paiement des ransomwares. Établissez des critères pour déterminer quand le paiement peut être envisagé (systèmes de sécurité des personnes, absence de sauvegardes viables) par rapport à la politique de refus de l’entreprise. Ne négociez jamais sans l’aide d’un conseiller juridique et sans la coordination des forces de l’ordre.

Formation des employés à la sécurité

Les sauvegardes sont effectuées à la fois sur l’ensemble du système et sur les systèmes individuels des employés, en particulier lorsqu’il s’agit de divers courriers électroniques et d’autres informations spécifiques. Enseigner à vos employés l’importance de leur participation au processus de sauvegarde est un excellent moyen de combler encore plus de lacunes dans votre défense contre les ransomwares.

Par ailleurs, si les employés réguliers participent au processus de sauvegarde, ils ne doivent en aucun cas avoir accès aux sauvegardes elles-mêmes. Plus il y a de personnes qui ont accès aux données sauvegardées, plus il y a de chances qu’une erreur humaine ou une autre manière de compromettre votre système et vos sauvegardes soit commise.

Renforcement de l’infrastructure et protection des points finaux

Les ransomwares exploitent les vulnérabilités des systèmes pour obtenir un accès initial et se propager latéralement dans les réseaux. Un renforcement complet de l’infrastructure ferme ces points d’entrée et limite les mouvements des attaquants, même lorsque les défenses du périmètre échouent.

La gestion des correctifs constitue la base de la sécurité de l’infrastructure. Mettez en place un déploiement automatisé des correctifs pour les systèmes d’exploitation, les applications et les microprogrammes dans les 72 heures suivant leur publication pour les vulnérabilités critiques. Donnez la priorité aux correctifs concernant les exploits connus de ransomware et les failles d’exécution de code à distance. Tenez un inventaire de tous les systèmes afin de vous assurer que rien ne passe à travers les mailles du filet des correctifs.

Les solutions de détection et de réponse des points finaux (EDR) assurent une surveillance en temps réel et la détection des menaces sur les postes de travail et les serveurs. Les outils EDR identifient les modèles de comportement des ransomwares – tels que le chiffrement rapide des fichiers, l’exécution inhabituelle de processus ou les tentatives de suppression des copies d’ombre – et isolent automatiquement les terminaux infectés avant que les ransomwares ne se propagent. Déployez l’EDR sur tous les points d’extrémité, y compris les serveurs de sauvegarde et les postes de travail administratifs.

La réduction de la surface d’attaque permet d’éliminer les points d’accès inutiles. Chaque service supprimé ou port fermé représente une vulnérabilité de moins à exploiter pour les attaquants. Ainsi, désactivez les services inutilisés, fermez les ports réseau inutiles, supprimez les anciens protocoles et désinstallez les logiciels qui présentent des risques pour la sécurité. Mettez également en place une liste blanche d’applications pour empêcher l’exécution d’exécutables non autorisés.

L‘analyse des vulnérabilités permet d’identifier les failles de sécurité avant que les attaquants ne le fassent. Programmez des analyses automatisées hebdomadaires de tous les systèmes, en donnant la priorité aux mesures correctives en fonction de la probabilité d’exploitation et de l’impact potentiel. Accordez une attention particulière à l’infrastructure de sauvegarde, aux systèmes de stockage et aux serveurs d’authentification, qui sont les cibles privilégiées des campagnes de ransomware.

La formation de sensibilisation à la sécurité aborde l’élément humain. Formez les employés à reconnaître les tentatives d’hameçonnage, les pièces jointes suspectes et les tactiques d’ingénierie sociale tous les trimestres. Des exercices de simulation d’hameçonnage permettent d’identifier les utilisateurs qui ont besoin d’une formation supplémentaire. Les attaques par courriel et par hameçonnage représentaient 52,3 % des incidents liés aux ransomwares en 2024, d’où l’importance de la vigilance des employés.

Des audits réguliers de renforcement de l’infrastructure permettent de vérifier que les configurations de sécurité sont toujours appliquées. Au fil du temps, les systèmes s’éloignent des lignes de base sécurisées en raison de changements légitimes et de mauvaises configurations – les audits périodiques détectent ces écarts avant que les attaquants ne les exploitent.

Mise à l’abri de l’air

Les sauvegardes aériennes offrent une isolation physique qui les rend inaccessibles aux attaques basées sur le réseau. Cette approche déconnecte physiquement le stockage de sauvegarde de tous les réseaux, de l’infrastructure en nuage et de la connectivité pendant les périodes où il n’y a pas de sauvegarde, créant ainsi une barrière absolue contre l’infiltration de ransomware à distance.

Les ransomwares se propagent par le biais des connexions réseau, en recherchant les référentiels de stockage et de sauvegarde accessibles. Si le dispositif de stockage n’a pas de connexion réseau, le ransomware ne pourra pas l’atteindre, même en cas de compromission d’informations d’identification ou d’exploitation de type « zero-day ».

Mise en œuvre de sauvegardes à l’abri de l’air :

• Utilisez des dispositifs de stockage amovibles tels que des disques durs externes, des appareils NAS ou des bandes magnétiques.
• Connectez les dispositifs aux systèmes de sauvegarde uniquement pendant les fenêtres de sauvegarde programmées, puis déconnectez-les physiquement dès qu’elles sont terminées.
• Établissez un calendrier de rotation avec plusieurs dispositifs de stockage – pendant qu’un dispositif capture la sauvegarde en cours, les dispositifs précédents restent complètement hors ligne dans des emplacements physiques sécurisés.
• Stockez les dispositifs déconnectés dans des lieux physiques distincts de l’infrastructure principale pour vous protéger à la fois contre les ransomwares et les désastres physiques.
• Configurez les sauvegardes comme des copies complètes plutôt que comme des chaînes incrémentielles (sauvegardes sans chaîne) qui dépendent des générations précédentes – cela permet une restauration à partir de n’importe quel appareil sans nécessiter l’accès à d’autres versions de sauvegarde.
• Automatisez la déconnexion à l’aide de bibliothèques de bandes ou de baies de stockage contrôlées par programme, lorsque cela est possible, afin de réduire les erreurs humaines.
• Documentez minutieusement les procédures de reconnexion pour les situations de réponse à des incidents très stressants.

Les sauvegardes en continu conviennent aux entreprises qui ont des fenêtres de sauvegarde définies et des objectifs de temps de récupération mesurés en heures plutôt qu’en minutes. Les applications en temps réel nécessitant un basculement instantané ont besoin d’une protection supplémentaire par le biais de systèmes répliqués ou d’un stockage immuable dans le nuage.

Configurez les sauvegardes comme des copies complètes plutôt que comme des chaînes incrémentielles qui dépendent des sauvegardes précédentes. Les sauvegardes sans chaîne permettent une restauration à partir de n’importe quel appareil à air comprimé sans nécessiter l’accès à d’autres générations de sauvegardes. Si un ransomware compromet votre chaîne de sauvegarde incrémentale, les archives sans chaîne restent récupérables de manière indépendante.

Verrouillage d’objet Amazon S3

Object Lock est une fonctionnalité du stockage en nuage d’Amazon qui permet d’améliorer la protection des informations stockées dans les buckets S3. Comme son nom l’indique, cette fonction empêche toute action non autorisée sur un objet ou un ensemble d’objets spécifique pendant une période donnée, ce qui rend les données pratiquement immuables pendant une durée déterminée.

L’un des principaux cas d’utilisation de l’Object Lock est la conformité avec divers cadres et réglementations, mais cette fonctionnalité est également utile pour les efforts généraux de protection des données. Elle est également relativement simple à mettre en place – il suffit à l’utilisateur final de choisir une période de rétention, transformant ainsi les données en format WORM pour le moment.

S3 Object Lock propose deux modes de conservation principaux : le mode Conformité et le mode Gouvernance. Le mode Conformité est le moins strict des deux, car il permet de modifier le mode de conservation pendant que les données sont « verrouillées ». Le mode Gouvernance, quant à lui, empêche la plupart des utilisateurs de modifier les données de quelque manière que ce soit – les seuls utilisateurs autorisés à faire quoi que ce soit avec les données pendant la période de conservation sont ceux qui disposent d’autorisations de contournement spéciales.

Il est également possible d’utiliser le verrouillage d’objet pour activer une « mise en suspens juridique » sur des données spécifiques, qui fonctionne en dehors des périodes et des modes de conservation et empêche la manipulation des données en question pour des raisons juridiques telles qu’un litige.

Sécurité zéro confiance

Le passage de la sécurité traditionnelle à la sécurité centrée sur les données a introduit de nombreuses nouvelles technologies qui offrent d’incroyables avantages en matière de sécurité, même s’il y a un prix à payer en termes d’expérience utilisateur. Par exemple, une approche de sécurité de confiance zéro est une tactique relativement courante pour les systèmes de sécurité modernes, servant de barrière de protection contre les ransomwares et d’autres menaces potentielles.

L’approche globale de la sécurité zéro confiance adopte l’idée principale de la sécurité centrée sur les données, en essayant de vérifier et de contrôler tous les utilisateurs et les dispositifs accédant à des informations spécifiques, quels qu’ils soient et où qu’ils se trouvent. Ce type d’approche se concentre sur quatre « piliers » principaux :

• Le principe du moindre privilège permet à chaque utilisateur d’avoir le moins de privilèges possible dans le système, ce qui tente d’atténuer le problème de l’accès privilégié excessif que la plupart des industries ont connu pendant des années.
• La segmentation étendue est principalement utilisée pour limiter la portée d’une faille de sécurité potentielle, en éliminant la possibilité qu’un seul attaquant acquière l’accès à l’ensemble du système en une seule fois.
• La vérification constante est un principe fondamental de la sécurité zéro confiance, sans aucune sorte de liste d’« utilisateurs de confiance » utilisée pour contourner le système de sécurité.
• Un contrôle permanent est également nécessaire pour s’assurer que tous les utilisateurs sont légitimes et réels, au cas où un programme d’attaque moderne ou un acteur malveillant parviendrait à contourner la première couche de sécurité.

Segmentation du réseau pour l’infrastructure de sauvegarde

Isoler les systèmes de sauvegarde des réseaux de production empêche les ransomwares de se déplacer latéralement entre les postes de travail compromis et les référentiels de sauvegarde. Lorsque l’infrastructure de sauvegarde partage l’espace réseau avec les postes de travail et les serveurs, les attaquants utilisent les mêmes voies pour atteindre les deux cibles.

Déployez les systèmes de sauvegarde sur des segments de réseau dédiés en utilisant des VLAN ou des sous-réseaux physiques distincts. Configurez des règles de pare-feu autorisant uniquement le trafic de sauvegarde nécessaire entre les réseaux de production et de sauvegarde – généralement limité aux agents de sauvegarde initiant des connexions aux serveurs de sauvegarde sur des ports spécifiques. Bloquez tout autre trafic, en particulier les protocoles d’administration de la production vers la sauvegarde tels que RDP ou SSH.

Utilisez des domaines ou des forêts Active Directory distincts pour l’authentification de l’infrastructure de sauvegarde. La compromission du domaine de production permet souvent aux attaquants d’accéder à l’ensemble de l’entreprise, y compris aux systèmes de sauvegarde lorsque les deux partagent l’infrastructure d’authentification. Des domaines séparés obligent les attaquants à enfreindre plusieurs systèmes d’authentification de manière indépendante.

Mettez en place des jump hosts ou des serveurs bastion comme seul point d’entrée pour l’administration des systèmes de sauvegarde. Les administrateurs se connectent d’abord à l’hôte de saut, puis accèdent à l’infrastructure de sauvegarde à partir de là. Cette architecture crée un point d’étranglement surveillé pour tous les accès administratifs et empêche les connexions directes à partir de postes de travail potentiellement compromis.

Liste de contrôle de l’isolation du réseau :

• VLAN ou sous-réseaux dédiés aux serveurs de sauvegarde et au stockage
• Règles de pare-feu limitant le trafic de sauvegarde aux seuls ports et directions nécessaires
• Domaines d’authentification distincts pour l’infrastructure de sauvegarde
• Exigence de saut d’hôte pour toute l’administration du système de sauvegarde
• Contrôle d’accès au réseau (NAC) empêchant les dispositifs non autorisés d’atteindre les segments de sauvegarde
• Audits réguliers des règles de pare-feu supprimant les autorisations d’accès inutiles.

Comment les outils de sauvegarde peuvent-ils apporter une protection supplémentaire contre les ransomwares ?

Pour résoudre le même problème de sauvegarde infectée par un ransomware, il est possible – et conseillé – d’utiliser les outils des systèmes de sauvegarde comme moyen supplémentaire de protection contre les attaques. Voici cinq bonnes pratiques en matière de sauvegarde contre les ransomwares – pour mieux protéger une entreprise contre les ransomwares :

• Assurez-vous que les sauvegardes elles-mêmes sont exemptes de ransomware et/ou de malware. Vérifier que votre sauvegarde n’est pas infectée doit être l’une de vos principales priorités, car l’utilité de la sauvegarde en tant que mesure de protection contre les ransomwares est réduite à néant si vos sauvegardes sont compromises par des ransomwares. Apportez régulièrement des correctifs à votre système pour éliminer les vulnérabilités du logiciel, investissez dans des outils de détection des logiciels malveillants et mettez-les à jour régulièrement, et essayez de déconnecter vos fichiers multimédias aussi vite que possible après les avoir modifiés. Dans certains cas, vous pouvez envisager une approche WORM (Write-One-Read-Many) pour protéger vos sauvegardes contre les ransomwares – un type de support spécifique qui n’est fourni que pour certains types de bandes et de disques optiques, ainsi que pour quelques fournisseurs de stockage en nuage.
• Ne comptez pas sur les sauvegardes en nuage comme seul type de stockage de sauvegarde. Bien que le stockage en nuage présente un certain nombre d’avantages, il n’est pas totalement à l’abri des ransomwares. Bien qu’il soit plus difficile pour un attaquant de corrompre physiquement des données, il est toujours possible pour les attaquants de ransomware d’accéder à vos données soit en utilisant une infrastructure partagée du stockage en nuage dans son ensemble, soit en connectant ce stockage en nuage à l’appareil d’un client infecté.
• Examinez et testez vos plans de récupération et de sauvegarde existants. Votre plan de sauvegarde et de récupération doit être testé régulièrement pour vous assurer que vous êtes protégé contre les menaces. Il n’est pas souhaitable de découvrir que votre plan de récupération ne fonctionne pas comme prévu seulement après une attaque de ransomware. La meilleure stratégie de sauvegarde contre les ransomwares est celle qui n’aura jamais à faire face à des violations de données malveillantes. Étudiez plusieurs scénarios différents, vérifiez certains résultats liés à la restauration, tels que le délai de récupération, et déterminez quelles parties du système sont prioritaires par défaut. N’oubliez pas que de nombreuses entreprises mesurent le coût de l’interruption des services en dollars par minute et non en d’autres termes.
• Clarifiez ou mettez à jour les politiques de conservation et élaborez des programmes de sauvegarde. Il est fortement recommandé de revoir régulièrement vos stratégies de sauvegarde contre les ransomwares. Il se peut que vos données ne soient pas sauvegardées assez souvent ou que la période de conservation de vos sauvegardes soit trop courte, ce qui rend votre système vulnérable à des types de ransomware plus avancés qui ciblent les copies de sauvegarde par le biais de délais et d’autres moyens d’infection.
• Procédez à un audit approfondi de tous vos emplacements de stockage de données. Pour protéger les sauvegardes contre les ransomwares, il convient de les auditer afin de s’assurer qu’aucune donnée n’est perdue et que tout est sauvegardé correctement – y compris éventuellement les systèmes des utilisateurs finaux, les stockages dans le nuage, les applications et autres logiciels système.

Comment les ransomwares ciblent-ils et compromettent-ils vos sauvegardes ?

S’il est vrai que les systèmes de sauvegarde et de restauration sont capables de protéger les organisations contre les ransomwares dans la plupart des cas, ces systèmes ne sont pas les seuls à progresser et à évoluer au fil des ans, car les ransomwares deviennent également de plus en plus inhabituels et sophistiqués au fil du temps.

L’un des problèmes les plus récents de cette approche des sauvegardes est que de nombreuses variantes de ransomwares ont appris à cibler et à attaquer non seulement les données de l’entreprise, mais aussi les sauvegardes de cette même entreprise, ce qui constitue un problème important pour l’ensemble du secteur. De nombreux auteurs de ransomwares ont modifié leurs logiciels malveillants pour traquer et éliminer les sauvegardes. De ce point de vue, si les sauvegardes protègent toujours vos données contre les ransomwares, vous devrez également protéger les sauvegardes contre les ransomwares.

Il est possible de comprendre certains des principaux angles qui sont généralement utilisés pour altérer vos sauvegardes dans leur ensemble. Nous allons mettre en évidence les principaux et expliquer comment les utiliser pour protéger vos sauvegardes contre les ransomwares :

Les dommages potentiels causés par les ransomwares augmentent avec l’allongement des cycles de récupération

Bien qu’il ne soit pas aussi évident que d’autres possibilités, le problème des cycles de récupération longs est encore assez important dans l’industrie, et il est principalement causé par des produits de sauvegarde obsolètes qui n’effectuent que des sauvegardes complètes lentes. Dans ces cas, les cycles de récupération après une attaque de ransomware prennent des jours, voire des semaines – et il s’agit d’une perturbation grave pour la majorité des entreprises, car les coûts liés à l’arrêt du système et de la production éclipsent rapidement les estimations initiales des dommages causés par le ransomware.

Pour protéger vos sauvegardes contre les ransomwares, deux solutions sont possibles : a) essayer d’obtenir une solution qui vous fournisse une copie de l’ensemble de votre système le plus rapidement possible, afin que vous n’ayez pas à passer des jours, voire des semaines, en mode de récupération, et b) essayer d’obtenir une solution qui offre une fonctionnalité de restauration de masse, permettant de remettre en service très rapidement plusieurs machines virtuelles, bases de données et serveurs.

Votre police d’assurance peut aussi devenir votre responsabilité

Comme nous l’avons déjà mentionné, de plus en plus de variantes de ransomware apparaissent et ciblent à la fois vos données d’origine et vos sauvegardes, ou tentent même parfois d’infecter et/ou de détruire vos données sauvegardées avant de s’attaquer à la source. Vous devez donc faire en sorte qu’il soit le plus difficile possible pour un ransomware d’éliminer toutes vos copies de sauvegarde – une défense multicouche, en quelque sorte.

Les cybercriminels utilisent des attaques très sophistiquées qui ciblent les données, en s’attaquant directement à vos sauvegardes, qui constituent votre principale police d’assurance pour assurer le fonctionnement de votre entreprise. Vous devriez disposer d’une copie unique des données dans un état tel qu’elle ne soit jamais montée par un système externe (souvent appelée copie de sauvegarde immuable), et mettre en œuvre diverses fonctions de sécurité complètes, comme le WORM susmentionné, ainsi que l’isolation moderne des données, le cryptage des données, la détection des altérations et la surveillance des anomalies de comportement des données.

Il existe deux mesures que nous allons examiner plus en détail :

• Copie de sauvegarde immuable. La copie de sauvegarde immuable est l’une des mesures les plus importantes contre les attaques de ransomware – il s’agit d’une copie de votre sauvegarde qui ne peut être modifiée en aucune façon une fois que vous l’avez créée. Elle n’existe que pour être votre principale source de données si vous avez été la cible d’un ransomware et que vous avez besoin de retrouver vos informations telles qu’elles étaient auparavant. Les sauvegardes immuables ne peuvent pas être supprimées, changées, écrasées ou modifiées de quelque manière que ce soit, mais seulement copiées vers d’autres sources. Certains vendeurs présentent l’immuabilité comme étant infaillible, mais en termes de sauvegarde contre les ransomwares, il n’en est rien. Mais vous ne devez pas craindre les attaques de ransomware par des sauvegardes immuables. Veillez simplement à disposer d’une stratégie globale comprenant la détection et la prévention des attaques, et mettez en œuvre une gestion rigoureuse des informations d’identification.
• Chiffrement des sauvegardes. Il est quelque peu ironique que le chiffrement soit également utilisé comme l’une des mesures de lutte contre les attaques de ransomware, car de nombreux ransomwares utilisent le chiffrement pour exiger une rançon pour vos données. Le chiffrement ne met pas vos sauvegardes à l’abri des ransomwares et n’empêche pas les exploits. Cependant, à la base, le chiffrement des sauvegardes est censé agir comme une mesure supplémentaire contre les ransomwares, en chiffrant vos données dans les sauvegardes afin que les ransomwares ne puissent pas les lire ou les modifier en premier lieu.

Les problèmes de visibilité de vos données deviennent un avantage pour les ransomwares

Par nature, les ransomwares sont les plus dangereux lorsqu’ils pénètrent dans une infrastructure mal gérée – des « données sombres », en quelque sorte. Là, il fait beaucoup de dégâts, une attaque de ransomware crypte vos données et/ou les vend sur le dark web. Il s’agit d’un problème important qui nécessite les technologies les plus avancées pour être détecté et combattu efficacement.

Si la détection précoce des ransomwares est possible avec une solution moderne de gestion des données et un bon système de sauvegarde, la détection de ces menaces en temps réel nécessite une combinaison d’apprentissage automatique et d’intelligence artificielle – de sorte que vous receviez des alertes sur les activités suspectes des ransomwares en temps réel, ce qui accélère la découverte des attaques.

La fragmentation des données est une grave vulnérabilité

Il est évident qu’un grand nombre d’organisations traitent régulièrement de grandes quantités de données. Il n’est pas rare que les données d’une entreprise se trouvent à différents endroits et utilisent différents types de stockage. La fragmentation crée également d’importants caches de données secondaires (qui ne sont pas toujours essentielles aux activités de l’entreprise) qui affectent vos capacités de stockage et vous rendent plus vulnérables.

Chacun de ces emplacements et de ces types de sauvegarde ajoute une nouvelle source potentielle d’exploitation de vos données par un ransomware, ce qui rend le système de l’entreprise tout entier encore plus difficile à protéger au départ. Dans ce cas, il est recommandé d’utiliser une solution de découverte des données au sein de votre système, ce qui présente de nombreux avantages, notamment une meilleure visibilité de l’ensemble de vos données, ce qui permet de repérer plus facilement les menaces, les activités inhabituelles et les vulnérabilités potentielles.

Les informations d’identification des utilisateurs sont utilisées à de multiples reprises pour des attaques de ransomware

Les informations d’identification des utilisateurs ont toujours été l’un des plus gros problèmes dans ce domaine, car elles permettent aux auteurs d’attaques par ransomware d’accéder facilement à des données précieuses au sein de votre entreprise – et toutes les entreprises ne sont pas en mesure de détecter le vol dès le départ. Si vos informations d’identification sont compromises, les auteurs de ransomwares exploitent les différents ports ouverts et accèdent à vos appareils et applications. La situation des identifiants s’est aggravée lorsque, à cause de Covid, les entreprises ont été contraintes de passer en grande partie au travail à distance vers 2019 – et ce problème est toujours d’actualité.

Ces vulnérabilités affectent même vos sauvegardes et les exposent davantage aux ransomwares. Généralement, le seul moyen de lutter contre ce type de faille de sécurité est d’investir dans des contrôles d’accès utilisateur stricts – y compris des fonctionnalités telles que l’authentification multifactorielle, les contrôles d’accès basés sur les rôles, la surveillance constante, et ainsi de suite.

Testez et retestez toujours vos sauvegardes

De nombreuses entreprises ne réalisent que leurs sauvegardes ont échoué ou sont trop difficiles à récupérer qu’après avoir été victimes d’une attaque de ransomware. Si vous voulez vous assurer que vos données sont protégées, vous devez toujours faire un exercice régulier et documenter les étapes exactes de la création et de la restauration de vos sauvegardes.

Comme certains types de ransomware restent inactifs avant de crypter vos informations, il est utile de tester régulièrement toutes vos copies de sauvegarde, car vous ne savez peut-être pas à quel moment précis l’infection a eu lieu. N’oubliez pas que les ransomwares continueront à trouver des moyens plus complexes de se cacher et de rendre vos efforts de récupération des sauvegardes plus coûteux.

Conclusion

Pour une protection maximale de vos sauvegardes contre les ransomwares et autres menaces similaires, Bacula Systems conseille vivement à votre organisation de se conformer pleinement aux meilleures pratiques de sauvegarde et de récupération des données énumérées ci-dessus. Les méthodes et outils décrits dans cet article de blog sont utilisés régulièrement par les clients de Bacula pour protéger avec succès leurs sauvegardes contre les ransomwares. Pour les entreprises qui ne disposent pas de solutions de sauvegarde de données de niveau avancé, Bacula recommande vivement de revoir entièrement leur stratégie de sauvegarde et d’évaluer une solution moderne de sauvegarde et de récupération. Bacula est généralement reconnu dans l’industrie pour avoir des niveaux de sécurité exceptionnellement élevés dans son logiciel de sauvegarde. Contactez Bacula pour plus d’informations.

Principaux enseignements

• Les attaques de ransomware modernes ciblent les systèmes de sauvegarde dans la plupart des cas, ce qui rend la protection des sauvegardes aussi critique que la protection des données de production.
• Mettez en œuvre la règle 3-2-1-1-0 avec trois copies des données sur deux types de supports, une hors site, une immuable ou hors ligne, et zéro erreur grâce à des tests réguliers de vérification et de récupération.
• Le stockage immuable à l’aide de la technologie WORM et les sauvegardes en réseau créent de multiples couches de défense qui empêchent les attaquants de supprimer ou de chiffrer les copies de sauvegarde, même si les informations d’identification de l’administrateur sont compromises.
• Séparez l’infrastructure de sauvegarde des réseaux de production en utilisant des VLAN dédiés, des domaines d’authentification distincts et des contrôles d’accès stricts avec authentification multifactorielle pour empêcher le déplacement latéral des ransomwares.
• Les tactiques de double extorsion signifient que les sauvegardes seules ne peuvent pas protéger contre le vol de données et les menaces de publication – les organisations ont besoin de stratégies globales comprenant le chiffrement, la prévention de la perte de données et la segmentation du réseau.
• Des tests de restauration réguliers avec des mesures RTO et RPO documentées transforment la protection théorique des sauvegardes en capacité prouvée, tandis que la surveillance continue détecte les activités de reconnaissance avant que les attaquants ne détruisent l’infrastructure de sauvegarde.