Une étude récente (2023 State of the Phish Report) a révélé que 76 % des organisations mondiales avaient été victimes d’un ransomware ou d’une tentative de ransomware au cours de l’année écoulée. 64 % d’entre elles ont été infiltrées avec succès, mais seulement la moitié de celles ayant payé la rançon ont réussi à récupérer leurs données. Emmanuel Barrier, practice-leader cybersécurité & résilience chez Kyndryl France, nous partage quelques recommandations pour améliorer la protection de son système d’information.
Il n’est pas surprenant que les cyberattaques se multiplient : elles sont plus faciles à exécuter et moins coûteuses qu’auparavant. Cependant, ce qui est surprenant en revanche, c’est l’absence de préparation proactive pour contrer les attaques dans les entreprises. Les dirigeants élaborent souvent des plans de continuité de l’activité pendant ou après une attaque, mais ils négligent de mettre en place des mesures durables pour se protéger et anticiper les attaques. Or, dans un laps de temps limité, une attaque réussie peut contraindre, même l’entreprise la plus prudente, à négocier avec les acteurs malveillants. Il est donc crucial de changer cette mentalité et de prendre des mesures pour renforcer la cybersécurité et la résilience des entreprises. Voici quelques recommandations clés pour améliorer la protection contre les cyberattaques :
- Commencer par identifier les actifs essentiels, le minimum vital de l’entreprise. Pour contrer efficacement les cyberattaques, il est essentiel d’adopter une approche proactive qui commence par l’identification des actifs essentiels, c’est-à-dire le minimum vital de l’entreprise. Cela implique aussi d’anticiper les risques et de mettre en place des mesures de protection pour prévenir toute exposition des données et des sauvegardes. Pour ce faire, il est nécessaire d’identifier les éléments clés tels que les organisations et les activités indispensables au fonctionnement de l’entreprise afin de comprendre leur importance et l’impact qu’elles pourraient avoir sur l’ensemble de l’organisation en cas de dysfonctionnement. Cette évaluation permet de déterminer les priorités en matière de protection des données. De plus, il est crucial d’identifier les parties prenantes clés qui doivent être impliquées en cas d’attaque, telles que les responsables opérationnels, les équipes de sécurité informatique et les fournisseurs de services. Leur participation est essentielle pour coordonner les efforts de protection et de récupération des données. Enfin, élaborer un plan de protection des données et de récupération est une étape fondamentale. Ce plan doit comprendre des mesures telles que des stratégies de sauvegarde régulières, des procédures de restauration des données, des mécanismes de surveillance de la sécurité et des tests réguliers pour garantir son efficacité. Un tel plan permet une reprise rapide des activités et minimise les perturbations en cas d’incident. En combinant ces différentes étapes, les entreprises peuvent renforcer leur posture de sécurité et se prémunir contre les cyberattaques, assurant ainsi la continuité de leurs opérations et la protection de leurs données sensibles.
- Prévenir l’exposition de données critiques. Les entreprises doivent accorder une attention particulière à la séparation et à la protection de leurs données confidentielles, propriétaires et réglementées. Il est essentiel de ne pas stocker ces données critiques dans un espace commun accessible à distance par tous les services informatiques. Il est donc recommandé de transférer les données sensibles en dehors de l’organisation pour réduire les risques d’accès non autorisé en cas de compromission d’un espace de stockage. De plus, il est crucial de mettre en place une politique de prévention des pertes de données en classant et en organisant les données de manière adéquate. L’utilisation de techniques telles que le chiffrement, l’authentification multifactorielle et la gestion des accès est également essentielle pour renforcer la sécurité des données. En séparant et en protégeant efficacement les données confidentielles, les entreprises peuvent réduire les risques d’accès non autorisé et de compromission, renforçant ainsi leur posture de sécurité globale.
- Protéger les sauvegardes pour garantir la récupération des données. Certaines entreprises stockent leurs sauvegardes dans une même infrastructure souvent virtualisé avec le reste de l’informatique, ce qui peut entraîner la perte des sauvegardes en cas de piratage. Pour éviter cette situation, il est recommandé de prendre des mesures pour protéger les sauvegardes et assurer la récupération des données. Une première mesure consiste à conserver des copies des systèmes ou des points d’accès critiques dans une sauvegarde isolée, ce qu’on appelle généralement un « air gap ». Cela signifie que les sauvegardes sont physiquement séparées du réseau principal, réduisant ainsi les risques de compromission en cas d’attaque. Cette séparation physique offre une couche de sécurité supplémentaire, garantissant que les données de sauvegarde restent intactes et disponibles pour la récupération. De plus, l’utilisation d’un support WORM (write once, read many) est recommandée pour assurer l’immuabilité des données de sauvegarde. Le WORM permet d’éviter toute altération ou suppression accidentelle des sauvegardes, car une fois les données écrites, elles ne peuvent être modifiées ou effacées. Cela garantit l’intégrité des sauvegardes et permet de disposer d’une version fiable des données pour une récupération ultérieure. En adoptant cette approche de protection des sauvegardes, une zone de sauvegarde isolée est créée, permettant une vérification et une récupération automatisées des données en cas d’attaque. Cette séparation physique et l’immuabilité des données offrent une assurance supplémentaire que les sauvegardes restent sécurisées et disponibles, même en présence d’une cyberattaque.
- Adopter une culture de cybersécurité axée sur la résilience. Alors que les ransomwares sont en pleine expansion, il est crucial d’encourager une mentalité d’entreprise axée sur la cyber-résilience. Les entreprises doivent accorder une attention particulière aux architectures basées sur le modèle Zero Trust et aux plans de continuité des activités basés sur des exercices et des scénarios de cyberattaque. La protection des données doit être abordée de manière globale, en couvrant l’ensemble du périmètre de l’entreprise afin de prévenir tout accès non autorisé, toute corruption ou tout vol. Passer d’une approche sécurité cloisonnée en silo à une approche holistique de la sécurité est aussi essentiel. Cela implique d’intégrer toutes les activités de sécurité au sein de l’entreprise de manière cohérente. Au lieu d’avoir des mesures de sécurité isolées dans chaque département, une approche holistique reconnaît la responsabilité partagée de tous les acteurs. Cela nécessite une harmonisation des politiques, des procédures et des technologies de sécurité à travers toute l’organisation. La sensibilisation à la sécurité doit être promue auprès de tous les employés, et des collaborations étroites entre les équipes de sécurité et les autres départements sont essentielles. En intégrant la sécurité dès la conception des systèmes et des processus, les vulnérabilités peuvent être détectées et corrigées plus tôt.
À mesure que le paysage des menaces évolue, une entreprise bien préparée aura une longueur d’avance sur les attaquants, lui permettant de mieux contrer les pertes de données et les interruptions d’activité.
