Les ransomwares constituent une menace importante pour les entreprises de toutes tailles. Selon plusieurs études, environ deux tiers des incidents de reprise après sinistre sont dus à des ransomwares. Dans le même temps, les entreprises mettent en moyenne 21 jours pour retrouver un fonctionnement normal.

Le développement des rançongiciels a placé le stockage et la sauvegarde des données en première ligne des cyberdéfenses. Et alors que les entreprises ont renforcé leurs mesures anti-ransomwares, les attaques sont devenues plus sophistiquées et plus dangereuses.

Les attaquants sont passés du chiffrement des données de production au ciblage des sauvegardes et des systèmes de sauvegarde. Leur objectif est de rendre plus difficile la récupération des données par les entreprises, et donc d’augmenter la probabilité qu’elles paient une rançon. En outre, les attaques en double ou triple extorsion – où des groupes criminels menacent d’exposer des données sensibles, voire de les utiliser pour cibler des individus – ont encore fait monter les enchères.

En réaction, les responsables de la sécurité des systèmes d’information (RSSI) et les directeurs des systèmes d’information (DSI) ont cherché à renforcer les systèmes contre les attaques avec ransomware, en utilisant des snapshots immuables, des sauvegardes déconnectées et une détection des menaces basée sur l’intelligence artificielle (AI). Les fournisseurs ont également renforcé leurs outils anti-ransomware. Certains proposent même une compensation financière en cas d’attaque.

Les attaques avec ransomware consistent à diffuser des logiciels malveillants qui bloquent l’accès aux données. De nos jours, le logiciel malveillant est souvent introduit et déployé manuellement par un attaquant ayant réussi à s’introduire dans le système d’information en détournant un compte utilisateur légitime ou en exploitant une vulnérabilité non corrigée affectant un hôte exposé directement sur Internet.

Si une entreprise peut récupérer ses données à partir d’une sauvegarde propre, elle a de bonnes chances de reprendre ses activités normales sans avoir à payer de rançon.

Les mesures de cyberhygiène réduisent les risques, mais elles ne sont pas infaillibles. C’est pourquoi les entreprises doivent également envisager des niveaux plus élevés de protection des données contre le chiffrement, ainsi que la détection et le blocage des activités suspectes sur le réseau.

De bonnes sauvegardes restent un moyen de défense important contre les ransomwares. Si une entreprise peut récupérer ses données à partir d’une sauvegarde propre, elle a de bonnes chances de reprendre ses activités normales sans avoir à payer de rançon. Par ailleurs, comme le soulignent les cabinets de conseil en sécurité, le paiement d’une rançon ne garantit pas la récupération des données. Et cela d’autant plus que les outils de déchiffrement des cybercriminels sont très artisanaux.

Les sauvegardes hors site ou les données qui sont séparées physiquement ou logiquement des systèmes de production offrent un bon niveau de protection, mais la récupération à partir de sauvegardes hors site peut être lente.

Pour que la récupération se fasse sans problème, il faut aussi que les utilisateurs repèrent une attaque suffisamment tôt pour éviter que les sauvegardes ne soient infectées par des logiciels malveillants. Par ailleurs, les attaquants ciblent désormais activement les systèmes de sauvegarde, dans le but de les désactiver ou de corrompre les fichiers de sauvegarde.

Cela a conduit les fournisseurs de stockage à intégrer des niveaux supplémentaires de protection contre les ransomwares dans les technologies de stockage et de sauvegarde afin de fournir des couches de défense supplémentaires.

Les fournisseurs à la rescousse ?

L’une des mesures les plus courantes déployées par les fournisseurs pour contrer les ransomwares est la création de sauvegardes immuables. Il s’agit souvent d’instantanés (« snapshots ») qu’il n’est pas possible de modifier ou d’effacer avant une date donnée. Les instantanés présentent l’avantage supplémentaire de pouvoir être restaurés rapidement et peuvent être stockés localement, hors site ou dans le cloud public. Leur inconvénient est que la capacité qu’ils occupent peut rapidement augmenter, de sorte que les périodes de conservation des instantanés sont souvent assez courtes.

Un large éventail de fournisseurs propose désormais des copies de données immuables, soit dans le cadre d’une sauvegarde, soit directement sur le stockage de production. Parmi les exemples, citons la fonction d’immutabilité Object Lock de Wasabi, pour le stockage d’objets, et les instantanés SafeMode de Pure Storage sur ses systèmes FlashBlade et FlashArray, ainsi que le verrouillage d’objets dans PortWorx.

Vast Data est un autre fournisseur qui propose des sauvegardes immuables, grâce à une fonction appelée Indestructibilité. Les entreprises qui utilisent Amazon S3 peuvent également appliquer le verrouillage d’objet aux buckets. Une autre approche consiste à durcir le système d’exploitation ; c’est ce que Scality a fait avec Linux sur ses appliances Artesca. En durcissant le système d’exploitation, le fournisseur limite les outils d’administration qu’un attaquant pourrait utiliser pour détruire ou chiffrer des données.

Il existe cependant différents niveaux d’immuabilité. Comme le souligne James Watts, directeur général de Databarracks, l’efficacité de l’immuabilité dépend de la manière dont les systèmes sont configurés. Un ensemble d’outils pour l’immutabilité au niveau de la sauvegarde n’empêchera pas, par exemple, un attaquant de supprimer les volumes de stockage sous-jacents. Pour une protection optimale, il recommande de garder les copies de sauvegarde et la cible de stockage « hors domaine » c’est-à-dire non connectées directement au réseau de travail. 

La majorité des fournisseurs de solutions de sauvegarde prennent désormais en charge les copies de données déconnectées et un nombre croissant d’entre eux travailleront directement avec le stockage en cloud public pour faciliter le stockage de sauvegardes immuables hors site et en réduire le coût.

Les directeurs de l’information et les responsables du stockage des données doivent vérifier les capacités de leurs outils de sauvegarde et de récupération, notamment s’ils peuvent transmettre des copies vers le cloud ou être utilisés pour créer des ensembles de données en mode déconnecté.

Détecteurs de ransomware et garanties

Les sauvegardes immuables ne sont toutefois pas infaillibles. Elles ne protégeront pas une entreprise si un logiciel malveillant infecte l’instantané. Cela a incité les fournisseurs à ajouter la détection des anomalies au niveau des équipements de stockage et du réseau pour aider à repérer au plus tôt les déclenchements de ransomware. Les fournisseurs ont de plus en plus recours à des outils d’intelligence artificielle pour repérer les anomalies dans de grandes quantités de données, à des vitesses qui sont – espérons-le – suffisamment rapides pour empêcher les logiciels malveillants de se propager et de chiffrer ou de supprimer des données. 

Ces anomalies peuvent inclure la reconnaissance d’un nombre trop élevé de modifications apportées à des fichiers dans un ensemble de données, ou des niveaux trop importants de bizarreries dans les noms de fichiers comme dans les contenus. Ces deux phénomènes pourraient se produire lorsqu’un ransomware commence à chiffrer des données.

Les garanties, même celles qui offrent des paiements à sept ou huit chiffres, ne s’appliqueront que dans des circonstances étroitement définies.

Les fournisseurs qui proposent ce type de détection sont Cohesity et NetApp, tandis que Pure dispose d’une détection d’anomalies basée sur un système AIOps dans sa plateforme de gestion Pure1. La technologie de Commvault comporte également des fonctions d’alerte précoce. Les entreprises ont en outre intégré la détection des ransomwares dans le stockage des données de production, et pas seulement dans les sauvegardes, afin d’essayer de garder une longueur d’avance sur les attaques.

Certains fournisseurs ont franchi une étape supplémentaire en offrant des garanties financières pour soutenir leurs mesures de protection des données.

Veeam et NetApp font partie des fournisseurs qui offrent des garanties contre les ransomwares ; Pure a un accord de niveau de service pour la récupération des ransomwares qui comprend la fourniture de matériel et l’envoi d’un technicien afin de récupérer les données.

Les entreprises doivent prendre leurs propres dispositions pour s’assurer que les mesures de protection contre les ransomwares sont adaptées à leurs activités. Les garanties, même celles qui offrent des paiements à sept ou huit chiffres, ne s’appliqueront que dans des circonstances étroitement définies. Par ailleurs, une indemnité ne pourra aider une entreprise que dans une certaine mesure, si les données ont été rendues hors d’atteinte.