Même les nouveau-nés semblent connaître le mot ransomware de nos jours – il apparaît dans les journaux, les magazines, les rapports infosec et à peu près partout ailleurs avec une régularité alarmante. Et nous avons peut-être surnommé 2016 l’année du ransomware, mais cela s’est avéré être rien par rapport à 2017. Après une année 2018 et 2019 relativement calme, 2020 a vu les ransomwares faire à nouveau la une des journaux.
Presque tous trois conseils générauxsont proposés:
- Utilisez une bonne protection.
- Ne téléchargez jamais de fichiers suspects à partir de sites suspects ou ouvrez des pièces jointes suspectes dans les e-mails de personnes suspectes, et apprenez à vos employés à faire de même.
- Sauvegardez régulièrement vos données.
De temps en temps, on entend des objections de la nature suivante: la protection et la sensibilisation des employés sont toutes bonnes, mais pourquoi se donner la peine de renforcer la protection et de former les employés alors que nous pouvons tout sauvegarder régulièrement? De toute façon, nous sauvegardons tout le temps, et si nous sommes touchés par un ransomware, nous ne ferons que tout restaurer, alors quel est le problème?
Voici le gros problème!
Les sauvegardes doivent être récupérables.
Des sauvegardes sont, bien entendu, nécessaires. Mais avez-vous déjà essayé de restaurer l’infrastructure de votre entreprise à partir d’une sauvegarde?Ce n’est peut-être pas aussi simple que cela en a l’air – et plus vous avez d’hétérogénéité d’ordinateurs et d’infrastructure, plus la tâche devient difficile. Les professionnels de l’informatique expérimentés ont probablement tous fait face à une sauvegarde qui ne restaure pas tout à fait tout, ou ne restaure pas tout comme prévu. Le processus n’est certainement jamais aussi rapide qu’ils l’espèrent. Et parfois, les sauvegardes ne fonctionnent pas du tout.
Quiconque a déjà marché sur le râteau de sauvegarde proverbial sait qu’il doit vérifier régulièrement l’intégrité des sauvegardes, faire quelques exercices pour ressusciter le serveur dans un environnement de transfert, et généralement pour s’assurer que si cela devient nécessaire, la récupération ne prendra pas trop. longue. Et ceux qui n’ont jamais essayé d’exécuter une restauration à partir d’une sauvegarde ne devraient vraiment pas être tranquilles.
Voici un autre problème lié au fait de s’appuyer sur une sauvegarde: si le serveur de sauvegarde réside à l’intérieur du périmètre du réseau, le ransomware le chiffrera avec tous les autres ordinateurs du réseau, ce qui signifie un adieu aux plans de récupération.
Votre résultat final: maximisez vos chances d’une restauration rapide en segmentant le réseau, en effectuant des sauvegardes judicieusement et en effectuant des tests de restauration.
La récupération signifie des temps d’arrêt – et les temps d’arrêt coûtent cher !
Pour les grandes entreprises dotées d’appareils et d’infrastructures diversifiés, une reprise rapide est peu probable. Même si la sauvegarde fonctionne parfaitement et que vous transpirez du sang pour tout restaurer, cela prendra encore un certain temps.
Pendant ces semaines (oui, nous parlons probablement de semaines, pas de jours), l’entreprise sera inactive. Certains estimeront que le coût de ces temps d’arrêt est inférieur à celui du paiement des rançonneurs (nous vous déconseillons fortement cela). Dans tous les cas, les temps d’arrêt après une attaque de ransomware sont inévitables; il est impossible de décrypter et de remettre en marche tous les systèmes et services immédiatement, même si les cybercriminels ont la gentillesse de vous fournir un décrypteur. Dans le monde réel, les cybercriminels ne sont pas gentils et même s’ils le sont, le décrypteur ne fonctionne pas nécessairement comme prévu.
Votre résultat final: pour éviter les temps d’arrêt liés aux ransomwares, ne soyez pas infecté par les ransomwares. (Mais comment? La réponse est la protection et la sensibilisation des employés!)
Les ransomwares modernes sont pires que de simples chiffreurs
Les gangs de ransomwares ciblaient principalement les utilisateurs finaux, exigeant environ 300 $ en crypto-monnaie pour le décryptage. Cependant, ils ont maintenant découvert la joie d’attaquer des entreprises, qui peuvent payer – et sont plus susceptibles de payer – des rançons beaucoup plus importantes. Et certains de ces cybercriminels n’ont aucun scrupule à s’en prendre aux organisations de première ligne médicale: cette année, de nombreux hôpitaux ont été attaqués, et récemment une entreprise de la chaîne d’approvisionnement en vaccins contre le coronavirus a été touchée.
Les ransomwares modernes font plus que chiffrer – ils se cachent dans les réseaux et siphonnent toutes les données qu’il peut détecter. Les données sont ensuite analysées et utilisées pour faire chanter les entreprises avec un cryptage, des fuites ou les deux. Le non-paiement, pourrait dire le message de rançon, entraînera la publication des données personnelles des clients ou des secrets commerciaux de l’entreprise.
Même si ce n’est pas fatal, cela tacherait la réputation de l’entreprise, peut-être de façon permanente.
Si un intrus décide de divulguer des secrets d’entreprise ou les données personnelles des utilisateurs, les sauvegardes ne vous aideront pas. De plus, si vous stockez des sauvegardes dans un endroit, tel qu’un cloud, qui est relativement facilement accessible par un initié, elles peuvent également fournir aux attaquants les informations dont ils ont besoin pour vous faire chanter.
Votre résultat final: les sauvegardes sont nécessaires, mais elles ne suffisent pas à elles seules à protéger votre entreprise contre les ransomwares.
Trois piliers de la sécurité contre les ransomwares
Une fois de plus, comme il n’y a pas de solution miracle contre les ransomwares, notre conseil reste le même: la sauvegarde est absolue.