Signée par Nicolas Groh, Field CTO EMEA de Rubrik
Avec l’actuelle pandémie du COVID-19, les menaces de sécurité sont devenues de plus en plus sophistiquées, et les malfaiteurs qui se cachent derrière sont devenus de plus en plus virulents. L’accroissement du risque de sécurité dû au travail à distance a pris au dépourvu les entreprises, sans compter l’élargissement des périmètres et les vagues d’incertitudes qui en résultent. Ces éléments réunis créent un environnement propice aux ransomwares, au phishing et autres attaques. De plus, les violations de données et les déficiences des solutions de sécurité sont devenues quasi inévitables quels que soient le temps, l’énergie et l’argent consacrés. La réalité est là, cependant, cela ne signifie pas qu’il n’est plus possible de protéger ses données. En réalité, la capacité à protéger les données dépend aussi de la réussite d’une organisation à se remettre, ou non, d’une attaque.
Le principal facteur de différenciation entre les deux issues, à la suite d’une attaque par ransomware, est généralement une solide stratégie de continuité des activités, mais cela, sur une sauvegarde. La première chose dont on doit s’assurer, c’est d’avoir mis en place une solution de sauvegarde immuable afin que les données ne puissent pas être réécrites ou modifiées par des attaquants.
Ensuite, le monde d’aujourd’hui a besoin d’une nouvelle façon d’envisager la sécurité, et c’est une notion définie par le NIST sous le terme de « Zero Trust ». Lorsqu’un individu rentre chez lui et qu’il déverrouille sa porte d’entrée, on ne supposerait en aucun cas que quelqu’un puisse s’être introduit à l’intérieur. Cependant, si cela n’était pas le cas ? Et si un jour un intrus était présent sans le savoir ? Un tel cas de figure mènerait ensuite à une méfiance constante. Comment est-il possible d’agir différemment ? Quelles mesures pourraient être prises pour assurer une sécurité continue ? Afin de pouvoir comprendre, il faut considérer le réseau de l’entreprise comme une maison.
En supposant que des intrus soient déjà présents sur le réseau, la première étape évidente serait d’évaluer le risque perçu et de comprendre qui a franchi le périmètre. Ensuite, il faut se tourner vers les sauvegardes, en s’assurant que toutes les données critiques sont sauvegardées, nettoyées et récupérables si les systèmes font l’objet d’une demande de rançon. Enfin, lorsque la certitude qu’il est possible de surmonter ces failles de sécurité avec des sauvegardes intactes est établie, il faut agir. L’efficacité de cette action fera la différence entre un processus de récupération sans faille et un temps d’arrêt coûteux et préjudiciable.
Bien sûr, y penser après coup n’est d’aucune utilité. Les organisations avisées devront suivre les étapes suivantes pour être prêtes à agir au moment où leurs solutions de sécurité tomberont en panne. Tout d’abord, et celà peut sembler évident, elles devront être prêtes. Avant tout scénario réel, il faut s’assurer d’avoir anticipé le pire des cas et de travailler à rebours à partir de là. La prévention est également un aspect important de la démarche. En utilisant des solutions tierces, l’organisation doit s’assurer que tout est mis en place pour stopper les menaces avant qu’elles ne fassent de réels dégâts. Il faut ensuite mettre l’accent sur la visibilité. Comme pour la prévention, les outils personnalisés conçus pour détecter les ransomwares et autres attaques au moment où ils pénètrent un périmètre sont essentiels pour identifier et éliminer rapidement la menace. Vient ensuite l’évaluation. En cas de violation due à une défaillance des solutions de sécurité, il faut identifier et hiérarchiser les données critiques à restaurer. Enfin, la position de récupération entre en jeu. Une fois que la menace est efficacement éliminée, les données peuvent être restaurées et l’activité peut se poursuivre.
Ces mesures, associées à une solution moderne de reprise après sinistre suffisamment sophistiquée pour commencer à orchestrer la reprise dès que les solutions de sécurité échouent, permettront de rebondir quoi qu’il arrive. Mais comment trouver la bonne solution ?
Pour se faire, il est nécessaire de renforcer l’intégration entre les solutions de reprise après sinistre et les capacités de détection des ransomwares. Ainsi, lorsqu’une activité de ransomware est détectée, un basculement immédiat vers un datacenter secondaire ou un cloud est déclenché. Avec cette réponse automatisée aux ransomwares, les données sont sauvegardées en toute sécurité et prêtes à être utilisées en cas de défaillance d’un système de sécurité.
Grâce à l’immuabilité, une fonctionnalité inexistante dans les solutions traditionnelles de récupération des données, celles-ci sont automatiquement protégées et en sécurité. Les données immuables ne peuvent pas être infectées et ne peuvent pas être chiffrées après coup. De ce fait, les données sont à l’abri des ransomwares et autres activités malveillantes ou erreurs administratives. Les entreprises, elles, disposent ainsi d’une troisième copie des données, sûre et toujours à jour, devenue de plus en plus importante pour de nombreuses organisations. En résulte finalement, une reprise après sinistre et une réponse aux ransomwares se traduisant par moins d’interruption, moins de stress pour les équipes et une atténuation des pertes pour l’organisation.
