J’ai récemment eu l’occasion de lire un article publié dans un forum technologique dans lequel un administrateur système décrivait les symptômes de stress post-traumatique qu’il avait pu observer après une attaque de ransomware perpétrée dans son entreprise. Dans le récent rapport État des lieux de la sécurité des données du Rubrik Zero Labs, on peut même lire que 96 % des personnes ayant été victimes d’une cyberattaque ont été directement touchées sur le plan émotionnel ou psychologique.
À cet article, de nombreux confrères ont répondu en exprimant leur soutien et en partageant leurs propres expériences du ransomware : comment leur entreprise s’en est sortie, la quantité de données perdues, les enseignements qu’ils ont pu en tirer, la manière dont ils se sont préparés à de prochaines attaques, etc. J’ai été stupéfait de voir toute cette communauté se rallier autour de cet auteur pour lui prodiguer ses conseils.
À mesure que les discussions s’orientaient vers des questions plus techniques, j’ai aussi été surpris de constater que les avis n’ont pas convergé vers un fournisseur, un produit ou une fonctionnalité bien spécifique pour résoudre le problème du ransomware. À l’inverse, il a émergé de ces échanges des principes bien plus fondamentaux : authentification multifacteur, défenses en couches, disponibilité permanente de sauvegardes fiables. Pas de revendications absurdes, pas de placement de produit, pas de grand principe à la mode. En résumé, il est sorti de l’avis collectif une approche pragmatique de la sécurité des données. Une approche qui privilégie l’étendue à la profondeur et qui met l’accent sur le travail de préparation.
Dans cet article, nous allons prendre en exemple une page de ces échanges entre confrères et présenter quelques stratégies pratiques pour vous aider à protéger vos données et, si possible, préserver votre santé mentale.
Envisager la sécurité des données sous deux angles
En poursuivant ma lecture à travers les différents témoignages du forum, une chose m’a rapidement sauté aux yeux : les attaques de ransomware impliquent généralement un coupable humain (voir accès initial). Qu’il s’agisse d’un utilisateur final qui clique malencontreusement sur un lien malveillant ou d’un administrateur qui commet une erreur de configuration, c’est souvent l’homme lui-même qui est à blâmer. Les données recueillies par Verizon confirment les réponses anecdotiques de l’article, indiquant que 82 % des violations sont imputables à l’humain. Comme le souligne un contributeur qui évoque les comportements humains et les incidents de sécurité : « Il ne s’agit plus de savoir SI un incident va se produire, mais plutôt de déterminer QUAND il va se produire, et toutes les entreprises devraient s’y préparer ».
Il est facile d’imputer la réussite des attaques de ransomware à une défaillance des appareils de sécurité de périphérie, de la sécurité des applications ou de la protection des points de terminaison. Mais, bien souvent, ces solutions ne peuvent pas faire grand-chose face à une intervention humaine malencontreuse qui ne fait rien d’autre que construire une passerelle que l’ennemi peut emprunter pour se frayer un chemin dans l’environnement. Mais alors, avons-nous réellement besoin de ces mesures de sécurité ? Oui, incontestablement. Mais une approche moderne de la sécurité des données doit intervenir à deux niveaux. Le premier protège les données des intrusions extérieures à la périphérie ou au niveau des points de terminaison, le second empêche la fuite des données internes en appliquant des protections à plusieurs couches au plus près des données. L’adoption d’une stratégie moderne de la sécurité suppose de mettre en œuvre des mesures qui partent du principe que l’environnement a déjà subi une violation.
Pour apporter davantage de clarté et donner quelques idées sur les comportements post-violation, le rapport DFIR a compilé toute une série de tactiques, techniques et procédures employées par les hackers au cours d’une campagne. Toutes illustrent parfaitement la chronologie et les vulnérabilités potentielles qui peuvent être observées une fois un environnement corrompu. Ce que l’on constate dans ce rapport, c’est que certaines techniques ne peuvent être évitées, mais qu’il est seulement possible d’en atténuer les effets (par exemple, Pass the Hash). Une réalité difficile à avaler et qui souligne l’importance d’une stratégie de défense en profondeur.
Dresser l’inventaire de vos systèmes et de vos données
La mise en œuvre et la maintenance d’un système de gestion d’inventaire de vos actifs matériels et logiciels sont indispensables à une bonne hygiène cybersécuritaire. Cela permet non seulement de quantifier vos actifs pour vos besoins financiers et budgétaires, mais également d’établir des bases solides pour votre stratégie de reprise après sinistre en identifiant les actifs dont vous aurez besoin pour récupérer d’une attaque de ransomware. La NIST Special Publication 1800-5c donne un excellent exemple de mise en œuvre, qui parcourt un déploiement de référence associant l’utilisation d’un système de gestion d’inventaire à l’intégration de capteurs actifs et passifs pour collecter des données et détecter les incidents potentiellement malveillants. N’importe quelle stratégie de sécurité des données doit prévoir la mise en place d’un inventaire des actifs et la possibilité de détecter tout acte malveillant.
Mais en plongeant un peu plus dans ce rapport DFIR qui établit le profil d’une intrusion, il apparaît clairement qu’il est également essentiel d’inventorier les données elles-mêmes. Dans ce rapport, le hacker en question a mis la main sur plusieurs documents sensibles contenant des informations de cyberassurance, mais également sur des documents renfermant les mots de passe de l’environnement. Il s’est également déplacé latéralement pour accéder à la console du serveur de sauvegarde et de restauration. Par chance, il a pu être détecté et éloigné de l’environnement après plusieurs tentatives d’énumération.
Et au vu du niveau d’accès qu’il a pu obtenir, les préjudices causés par une attaque sur l’environnement auraient pu être dramatiques. Le hacker aurait pu exfiltrer des données sensibles, déchiffrer des données pour paralyser l’environnement et supprimer ou déchiffrer de copie de sauvegarde pour éliminer toute possibilité de restauration ou commettre une double extorsion. Tous ces faits mettent clairement en évidence l’importance de bien gérer l’inventaire de vos données et de vos systèmes pour ne laisser aucune chance à un hacker de mettre la main sur des données sensibles ouvertement exposées.
Ils montrent également que les hackers, dans le cadre de leurs campagnes, n’ont de cesse de rechercher les sauvegardes disponibles dans un environnement. En empêchant toute possibilité de restauration, ils s’assurent les meilleures chances d’obtenir le paiement de la rançon. C’est pourquoi il est essentiel d’appliquer des couches de protection supplémentaires à une solution de sauvegarde, notamment une authentification multifacteur, un contrôle d’accès basé sur les rôles et éventuellement une segmentation du réseau pour limiter l’accès aux données de sauvegarde. Au bout du compte, tout cela nous ramène à la question de sécuriser les données en partant du principe qu’il y a violation.
Appliquer le principe de Pareto
En reprenant mon exemple de l’article publié sur le forum, la suggestion la plus manifeste formulée par la communauté consiste à gérer, tester et protéger avec attention vos copies de sauvegarde. Dans la majorité des cas de ransomware mentionnés dans le fil de discussion (mis à part cette anecdote assez étrange où il est question de débrancher physiquement les câbles d’un commutateur principal au cours d’une attaque), les organisations ont dû se tourner vers leurs sauvegardes pour pouvoir restaurer des copies de leurs données. De la même façon que le principe de Pareto, l’effort déployé pour protéger vos données de sauvegarde constitue une étape extrêmement efficace pour vous préparer à récupérer d’une attaque de ransomware. Ce récent article de blog décrit succinctement les mesures qu’il convient d’envisager lors d’une refonte de votre stratégie de sécurité des données.
Bien que peu mentionnée dans le forum, l’hygiène des mots de passe est un aspect hautement prioritaire qui, pour autant, ne puise pas lourdement dans le budget. Car les mots de passe faibles utilisés pour accéder à des comptes d’utilisateurs et de services sont des proies faciles. Ils sont plus vulnérables aux attaques Kerberoast puisqu’il est plus probable que des tentatives d’attaque par force brute hors ligne aboutissent. Si votre solution de sauvegarde utilise Active Directory, il est également judicieux de créer un domaine isolé dans lequel elle fonctionnera. Tout cela vous semble un peu compliqué ? Oui, mais cela en vaut la peine pour déjouer une attaque.
Et après ?
À court terme, il y a fort à parier que le travail ne manquera pas pour aider votre organisation à s’adapter aux cybermenaces et attaques de ransomware émergentes. Pour vous aider à élaborer votre stratégie de sécurité des données, quelle que soit l’étape de votre parcours, récapitulons un peu les principaux points à retenir de cet article :
Pour commencer, adoptez une approche de la sécurité des données à deux niveaux, en partant du principe qu’il y a violation.
Dans un second temps, dressez l’inventaire de vos systèmes ET de vos données : vous ne pouvez protéger que ce que vous connaissez.
Pour finir, appliquez le principe de Pareto à la sécurité des données et donnez toujours la priorité à votre capacité de restauration.
Si vous souhaitez mettre en pratique votre plan de réponse au ransomware, n’hésitez pas participer à vos prochains ateliers Sauvez vos données. Dans ces exercices de simulation en direct, vous aurez l’occasion de vous glisser dans la peau des principaux acteurs et parties prenantes dans un scénario d’attaque de ransomware, afin de mieux comprendre tous les éléments qui composent un plan de restauration.