Ransomware : low-tech contre high-tech

Ransomware : low-tech contre high-tech

150 150 Team Gekko

Les attaques de mai (Wannacry) et juin 2017 (NotPetya) ont illustré de manière spectaculaire l’ampleur du danger que présente dorénavant la cyber-criminalité.

Ampleur des nuisances bien sûr, mais également ampleur des cibles potentielles : on pouvait croire jusqu’ici (ou faire semblant de croire pour se rassurer) que ce genre de traitement était plus ou moins réservé aux grandes entreprises, mais c’est désormais impossible – nous avons tous en tête des entreprises que nous connaissons, qui vont de 20 à 50.000 personnes et qui sont restées bloquées plusieurs jours.

Pour faire face à ce nouveau danger dans le futur, nous pensons qu’il est utile de nous souvenir que comme pour tout risque, deux approches peuvent être considérées (et doivent être combinées) :

Limiter les probabilités. C’est le domaine de la prévention, dans le cas présent la sécurité informatique.
C’est indispensable, cela passe par quelques fondamentaux à la portée de tous (mise à jour des systèmes, par exemple), mais cela implique une course à l’armement infinie: face à des attaques de plus en plus sophistiquées, il faut des moyens de détection et de défense de plus en plus sophistiqués; l’avantage est plutôt à l’attaque dans ces cas-là, et toute entreprise conservera donc une dose de vulnérabilité, quels que soient ses efforts (a fortiori les PMEs, et nous avons vu qu’elles étaient dorénavant autant dans la cible que les grandes compagnies).

Limiter les conséquences. C’est le domaine de la protection, dans le cas présent le secours informatique, et son bras armé : les sauvegardes.

Les ramsomwares récents ont beau être extrêmement high-tech dans leur mode de diffusion et d’infiltration, leur conséquence est généralement la même : des disques chiffrés, des données verrouillées.

Reconstruire des systèmes avec des données antérieures à l’attaque permet donc de redémarrer… à la seule condition de disposer d’un des moyens les plus low-tech de l’IT, c’est à dire des sauvegardes fiables et historisées.

Nous ne cherchons pas à diminuer l’extrême inconfort que représente l’usage de cette extrémité : des heures d’interruption de service pour l’entreprise, des heures de travail ingrat pour reconstruire les systèmes, des pertes de données conséquentes (au minimum tout ce qui a été fait depuis la dernière sauvegarde antérieure à l’attaque) etc…

Mais pour les entreprises immobilisées que nous avons pu voir, cela a constitué le seul et ultime recours pour survivre à ces situations : donc oui, il vaut mieux prévenir que guérir, mais il vaut mieux guérir que mourir…

Malheureusement, certaines entreprises ont constaté à cette occasion l’insuffisance (voire l’inexistence) de leurs sauvegardes.

Plusieurs raisons à cela :

  1. Nous sommes habitués depuis des années à du matériel très fiable, doté de multiples redondances, qui a pu laisser penser que les sauvegardes étaient une précaution un peu superflue ; ceci dit fiable ne signifie pas infaillible, et la redondance ne ralentit pas une cyber-attaque – elle l’accélère éventuellement.
  2. La consommation de services cloud permet toutes les redondances, sécurités, sauvegardes etc…. à condition de s’en servir et de les mettre en œuvre ; là encore, l’extrême fiabilité des infrastructures a pu masquer l’importance d’avoir un moyen de recours.
  3. Faire des sauvegardes c’est bien, mais faire des restores c’est mieux – c’est même le but. Or trop peu d’entreprises prennent finalement le temps de faire des tests réguliers des restores, ce qui revient à avoir une roue de secours mais ne jamais vérifier si elle peut fonctionner.
  4. Enfin il faut dire que les sauvegardes cumulent le double inconvénient d’être à la fois un projet peu « glamour » et couteux en investissements.

Les 2 premiers points n’adressent pas de manière complète la capacité de « remonter » le temps.
Le point 3 mérite une attention plus forte des acteurs du SI.
Le cloud apporte en revanche un nouvel éclairage sur le quatrième, dans la mesure où de nombreuses offres ont été développées pour permettre des sauvegardes cryptées, historisées et automatisées dans le cloud, pour des serveurs ou des postes de travail physiques, centralisés ou répartis – et ce pour des budgets extrêmement compétitifs.

Des offres plus complètes permettent également des réplications avec des RPOs proches de zéro, des sauvegardes systèmes permettant des redémarrages sur des instances cloud etc….
Chez Gekko nous avons testé ou mis en œuvre les uns et les autres donc n’hésitez pas à nous contacter si vous souhaitez investiguer sur le sujet.

Laisser une réponse