Bryan Patton de Quest Software décrit les points de départ d’une stratégie complète de récupération des rançongiciels, essentielle pour reprendre le travail après une attaque.
Les rançongiciels frappent les organisations de toutes tailles et de tous les secteurs à travers le monde. En fait, le coût estimé des attaques de ransomwares a grimpé à 20 milliards de dollars en 2021 – et est devrait atteindre 265 milliards de dollars d’ici 2031.
Le débat sur la meilleure façon de lutter contre cette menace ne cesse de se développer. Les organisations devraient-elles se concentrer beaucoup plus sur la prévention que sur la guérison ? Ou devriez-vous supposer qu’une attaque réussie est imminente et concentrer vos efforts sur la phase de récupération ?
Le fait est que trop d’organisations doivent encore combler les lacunes de sécurité de base qui permettent aux acteurs de la menace d’accéder initialement à leur environnement pour préparer le terrain pour une attaque dévastatrice de ransomware. Verrouiller les bases est fondamental pour réduire votre vulnérabilité aux ransomwares.
Mais peut-on vraiment miser uniquement sur la prévention ? Nous vivons dans un monde de zéro jour et une vulnérabilité nouvellement exploitée peut rendre vos mesures préventives inefficaces en un instant. La capacité à se remettre efficacement d’une attaque de ransomware est un angle mort majeur parmi les organisations. Lorsqu’une attaque se produit, le temps presse et votre plan doit être hermétique.
“La capacité de récupérer efficacement d’une attaque de ransomware est un angle mort majeur”
À première vue, le moyen le plus simple de se remettre d’une attaque de ransomware semble être de payer la rançon et d’attendre que les pirates remettent la clé de déchiffrement.
Cependant, rechercher révèle que seulement 8 % des organisations qui paient la rançon parviennent à récupérer toutes leurs données. En fait, environ trois sur 10 (29 pc) récupèrent la moitié de leurs données ou moins. De plus, 80 % des organisations qui ont payé une rançon subi une deuxième attaqueet près de la moitié d’entre eux pensent que c’était aux mains des mêmes pirates.
Par conséquent, il est vital pour chaque organisation d’établir une solide stratégie de récupération des ransomwares, basée sur cinq bonnes pratiques.
1. Espacez vos sauvegardes – et votre plan de sauvegarde
Les acteurs du ransomware savent que vous ne pouvez pas restaurer à partir d’une sauvegarde si vos sauvegardes ont été corrompues. C’est pourquoi de nombreuses souches de rançongiciels sont conçues pour rechercher et détruire activement toutes les sauvegardes auxquelles elles peuvent accéder. Les attaquants veulent maximiser les chances que vous deviez payer la rançon au lieu de pouvoir restaurer vos données vous-même.
Votre stratégie de récupération de ransomware nécessite que les sauvegardes soient conservées dans un état où elles ne peuvent pas être affectées par une attaque – un endroit hors ligne, déconnecté et inaccessible.
Une option consiste à aller à l’ancienne : écrivez vos sauvegardes sur bande et envoyez-les à une installation de stockage hors site. Cependant, cela ralentira considérablement la récupération après une infection par ransomware. Chaque minute de retard augmente les dégâts de l’attaque sur votre entreprise, y compris des temps d’arrêt plus longs, une surveillance accrue des médias et un impact plus important sur la réputation de votre entreprise.
Par conséquent, de nombreuses organisations choisissent aujourd’hui de stocker leurs sauvegardes dans le cloud en tant qu’emplacement alternatif facile hors site qui permet également une récupération plus rapide. Mais si vous choisissez d’utiliser le stockage en nuage, vous devez vous assurer que toutes les données de sauvegarde sont chiffrées avant qu’elles ne quittent le périmètre réseau de l’entreprise.
2. Planifiez le pire scénario
Votre plan doit supposer que vous n’aurez aucun environnement informatique fonctionnel. Assurez-vous de tenir compte de l’impact d’une attaque de ransomware sur des éléments tels que votre réseau, vos routeurs, vos commutateurs et vos concentrateurs VPN.
La nécessité de protéger votre infrastructure cloud Microsoft est souvent négligée, ce qui est particulièrement important compte tenu du fait que Microsoft a signalé plus de 25 milliards de tentatives d’attaques sur Azure Active Directory rien qu’en 2021. Vos données de sauvegarde Microsoft 365 stockées dans Exchange et SharePoint Online, OneDrive, Teams et les calendriers sont tout aussi sensibles aux erreurs des utilisateurs, à la suppression accidentelle, à la corruption et aux logiciels malveillants. Bien que Microsoft puisse être responsable de la disponibilité des services cloud, vous êtes responsable de la protection de vos données.
N’oubliez pas non plus que vous devez stocker votre plan de récupération de ransomware dans un endroit où vous pouvez y accéder même si vous avez été touché par l’attaque de ransomware la plus grave que vous puissiez imaginer. L’imprimer est une tactique éprouvée. Une autre option consiste à le stocker dans une installation de stockage en nuage distincte telle que Dropbox.
3. Rassemblez votre équipe
Un effort de récupération de ransomware implique de nombreuses équipes différentes, telles que l’équipe de sauvegarde, l’équipe réseau, l’équipe de sécurité et d’autres parties externes telles que Microsoft ou votre fournisseur de stockage cloud. Il est essentiel d’avoir une personne responsable qui peut diriger et coordonner toutes ces équipes et prendre des décisions à la volée.
Assurez-vous d’avoir clairement documenté tous les rôles et responsabilités. De plus, assurez-vous que votre manuel de récupération de ransomware inclut une « salle de guerre » virtuelle où ces équipes peuvent se réunir et où des sous-groupes peuvent se répartir pour élaborer des stratégies sur des problèmes particuliers.
4. Envisagez une reprise progressive
Lorsqu’une attaque de ransomware détruit plus qu’une partie isolée de votre écosystème informatique, la récupération stratégique des données et des applications par phases est souvent le meilleur moyen de remettre votre entreprise sur pied le plus rapidement possible.
Collaborez avec vos homologues commerciaux pour identifier les applications les plus critiques pour les opérations de base. Créez une liste de priorités pour guider une récupération progressive dans laquelle l’équipe Active Directory restaure les contrôleurs de domaine les plus critiques, puis passe aux autres contrôleurs de domaine ; tandis que les équipes d’application, les équipes de base de données et autres commencent leur travail de récupération sur les zones les plus critiques.
5. Ne sacrifiez pas la qualité pour la vitesse
Alors que les organisations sont naturellement impatientes de revenir à la normale après une attaque de ransomware, il est essentiel de s’assurer que la récupération est effectuée correctement afin de ne pas être immédiatement réinfecté. Il est judicieux de choisir une solution de récupération qui vous donne la flexibilité de choisir la meilleure façon de restaurer chacun de vos contrôleurs de domaine.
Par exemple, alors que la récupération sur matériel vierge (BMR) est relativement simple, elle nécessite que la machine cible ait la même disposition que le système d’origine, et la sauvegarde inclut des composants qui ne sont pas nécessaires pour l’opération de restauration, ce qui donne au ransomware de nombreux endroits pour cacher et réinfecter votre organisation. Par conséquent, vous souhaitez disposer d’autres options en plus de BMR, telles que la restauration d’Active Directory sur un système d’exploitation propre sur un nouveau serveur Windows, afin de minimiser le risque de réinfection.
Par Bryan Patton
Bryan Patton est consultant principal en systèmes stratégiques chez Quest Software. Depuis près de 20 ans, il aide les clients à façonner leurs environnements Microsoft, avec un accent particulier sur Active Directory et Office 365.
10 choses que vous devez savoir directement dans votre boîte de réception chaque jour de la semaine. Inscrivez-vous pour le Bref quotidienle résumé de l’actualité scientifique et technologique essentielle de Silicon Republic.
:format(jpeg)/cloudfront-us-east-1.images.arcpublishing.com/elespectador/42OF6UVLHRHR7GY2Y3WT2KWCJE.jpg?fit=300%2C300&ssl=1)
