Accueil Cybersécurité Combattre les ransomwares : quelles sauvegardes ?

Combattre les ransomwares : quelles sauvegardes ?

David Darmon
David Darmon, CTERA

Les logiciels de sauvegarde ne sont pas la meilleure approche pour minimiser les objectifs de point de reprise, soutient David Darmon, vice-président Europe chez Ctera.

Le FBI a créé une liste exhaustive des mesures que les entreprises devraient prendre pour prévenir les attaques par logiciel de rançon ou pour se remettre d’un incident en cas de violation du périmètre de sécurité par un logiciel de rançon. Parmi les mesures recommandées par le FBI figure le conseil suivant :

Sauvegardez régulièrement vos données et vérifiez régulièrement l’intégrité de ces sauvegardes.

Sécurisez vos systèmes de sauvegarde. Veillez à ce qu’ils ne soient pas reliés aux PC qu’ils sauvegardent.

Avec tout le respect dû au FBI, nous ne sommes pas d’accord avec ce conseil…même si le principe n’est pas faux, sémantiquement, nous pensons que le terme « sauvegarde » transmet le mauvais message au marché. Voici pourquoi :

Les logiciels et processus de sauvegarde patrimoniaux créent un point de reprise trop étendu

Depuis ces 20 dernières années, le marché a été conditionné à effectuer des sauvegardes quotidiennes. Qu’il s’agisse de la sauvegarde des serveurs ou des terminaux, les systèmes de stockage des fichiers ont dans les deux cas été conçus pour des intervalles de sauvegarde assez souples, car :

Les sauvegardes se sont révélées chères (demandes importantes en termes de processeur, de stockage et de temps).

Les entreprises n’ont pas eu à faire face à l’explosion des attaques par logiciel de cryptage malveillant.

L’utilisation de logiciels de sauvegarde patrimoniaux dans une entreprise devient un problème majeur lorsque les employés de cette entreprise stockent leurs données sur les PC et partagent leurs fichiers.

Les outils de sauvegarde patrimoniaux peuvent se révéler coûteux pour les entreprises qui sont systématiquement la cible d’attaques par logiciel de rançon. Les solutions de sauvegarde modernes peuvent permettre aux entreprises d’obtenir un meilleur intervalle de sauvegarde grâce à une déduplication globale à la source, au versionnage incrémentiel de type ‘forever’, et à la possibilité de suivre les modifications des fichiers sans analyse complète du système. Ceci étant dit, les paramètres de réglage par défaut des outils les plus performants sont compris entre 4 et 8 heures – c’est à dire quasiment une journée de travail. Donc, le problème reste à peu près le même.

Malgré un point de reprise assez étendu, les outils de protection des données (les sauvegardes), joueront quoi qu’il advienne un rôle primordial dans la lutte contre les attaques par logiciel de rançon, en grande partie grâce à la capacité des logiciels de sauvegarde à restaurer des systèmes entiers ainsi que les profils de système. Le virus Petya, par exemple, délaisse le cryptage des fichiers pour tout simplement verrouiller le disque dur d’un ordinateur dans sa totalité…ces types de virus créent un besoin pour des outils simples, capables de restaurer l’intégralité du PC, et les logiciels de sauvegarde remplissent parfaitement cette tâche.

Mais là encore, la protection des données évolue, les limites entre sauvegarde NAS et sauvegarde par logiciel devenant de plus en plus floues alors que le système EFSS de synchronisation et de partage des fichiers d’entreprise fait son apparition sur le marché comme outil de gestion et de partage auto-protégé qui offre des solutions de stockage et de restauration des fichiers de niveau utilisateur. Ces outils créent des versions incrémentielles des fichiers lorsqu’ils sont modifiés et mis à jour ; la protection est déclenchée par un évènement (l’enregistrement d’un fichier), plutôt que sur la base d’une sauvegarde programmée (un intervalle de sauvegarde prédéfini).

La protection des données déclenchée par un évènement donne un résultat beaucoup plus intéressant qu’une stratégie de sauvegarde programmée qui protège les données des utilisateurs à intervalle de 24, 12, 6 ou même 1 heure.

Alors, que faut-il retenir ?

Philosophiquement : sauvegardez tout.

À dire vrai, le FBI a raison. Sauvegardez vos systèmes. Vous aurez besoin de pouvoir restaurer vos terminaux et vos serveurs sans efforts herculéens, et les outils de sauvegarde modernes peuvent rendre la protection des systèmes, la récupération des profils, etc. vraiment simples.

Sémantiquement : sauvegardez vos systèmes pour une restauration en cas de verrouillage total du disque dur, rétablissez les fichiers synchronisés.

Sémantiquement, les logiciels de sauvegarde ne sont pas la meilleure approche pour minimiser vos objectifs de point de reprise. Les modèles de synchronisation et de partage des fichiers d’entreprise, ainsi que les passerelles de stockage Cloud synchronisées permettent de publier et de mettre à jour les versions des fichiers en moins de 5 minutes. En cas d’attaque par logiciel de rançon, vous pouvez revenir en arrière et rétablir votre terminal grâce à un logiciel de sauvegarde, puis récupérer les versions des dossiers stockés via synchronisation pour restaurer vos données les plus récentes.