Les objectifs de délai de récupération (RTO) sont dans tous les esprits. On ne le répétera jamais assez, pour réduire le délai de récupération après une attaque de ransomware ou de cybersécurité, il est impératif de bien se préparer et de prendre des mesures rapides et efficaces. Ce sont des variables à la portée du client et elles sont essentielles pour assurer un processus de restauration plus rapide et efficace.
Une attaque de ransomware peut être l'un des événements les plus stressants auxquels une organisation et ses employés sont confrontés. De plus, les conséquences de ces incidents et leur diversité continuent de s’accentuer. Plusieurs tendances importantes se dessinent autour de ces défis :
Cybersecurity Ventures estime que les ransomwares ont coûté 20 milliards de dollars à l’économie mondiale en 2022, un chiffre multiplié par 57 depuis 2015.
Selon IBM, l’année dernière, le coût moyen d’une attaque de ransomware était de 4,54 millions de dollars. (X-Force)
Dans le récent rapport de Rubrik Zero Labs intitulé Point sur la sécurité des données, 98 % des personnes interrogées ont déclaré avoir eu connaissance d’une cyberattaque contre leur organisation au cours de l’année dernière.
En moyenne, les équipes de direction ont été informées de 47 cyberattaques contre leur organisation au cours de la même période.
52 % de ces entreprises ont subi une violation de leurs données et 51 % ont été victimes d’un ransomware au cours de l’année dernière.
Le rapport précise également que 76 % des organisations envisageraient de payer la demande de rançon et plus de la moitié (52 %) seraient même très susceptibles de le faire.
En général, les hackers accèdent à l’environnement entre 4,5 et 5 jours avant de déployer le ransomware.
D’après Microsoft, il faudrait en moyenne 1h12 aux hackers pour accéder aux données privées d’une organisation après qu’un utilisateur a cliqué sur un lien ou un fichier malveillant provenant d’un email de phishing.
L’Agence de l'Union européenne pour la cybersécurité estime que plus de 10 To de données sont volés en moyenne chaque mois dans le cadre d’intrusions par ransomware.
Ces chiffres montrent que les attaques de ransomware sont davantage des événements prévisibles, et non exceptionnels. Les acteurs malveillants passent généralement plusieurs jours au sein de l’environnement avant de déployer un ransomware pour essayer de voler et de chiffrer les données. Lorsqu’ils y parviennent, cela peut coûter cher aux organisations.
Souvent, lorsqu’une entreprise n’est pas préparée à répondre à une attaque, elle perd un temps précieux à essayer de comprendre comment réagir, car elle ne connaît pas les mécanismes élémentaires, comme les mesures de réponse initiale, elle ne sait pas qui sont les équipes ou les personnes responsables, qui sont les fournisseurs de confiance et comment ils doivent interagir. Nous recommandons aux entreprises de se concentrer sur plusieurs points essentiels pour améliorer leur processus de restauration, notamment sur la gestion des incidents, l’identification et la neutralisation des menaces, la réduction des risques, ainsi que sur la planification et l’exécution de la restauration. Pour assurer la réponse globale et le workflow de restauration, il faut prendre en compte les exigences, les dépendances et l’ordre des opérations.
Processus d’intervention et de restauration
Créez un plan complet qui sera immédiatement accessible si votre infrastructure est hors ligne. Testez-le et améliorez-le régulièrement en réalisant des exercices de simulation réalistes.
Toutes les équipes internes concernées doivent y participer.
Incluez tous les types de charges de travail et procédez à leur validation.
Prévoyez la restauration de la pile complète, des applications et de chaque secteur.
Obtenez une visibilité avancée sur les opérations et les capacités de restauration avant la survenue d’un événement réel. Ainsi, tous les participants comprendront les options disponibles, seront formés et pourront évaluer les faiblesses avant le moment critique.
Identifiez les décideurs clés et leurs responsabilités dans la documentation associée.
Estimez les besoins en matière de notification en cas d’intrusion et de problèmes en lien avec les données, en fonction des régions, des politiques sectorielles et des réglementations gouvernementales.
Identifiez les activités clés de l'entreprise ainsi que les systèmes technologiques et les éléments de données associés. Vous pourrez ainsi hiérarchiser les mesures de restauration par ordre de priorité afin de déterminer l’étendue de la couverture et les dépendances.
Infrastructure de restauration
Identifiez un emplacement pour la restauration des systèmes et des données.
Définissez des environnements où vous pourrez restaurer les ressources compromises pour les analyser en détail.
Utilisez ces mêmes infrastructures stratégiques pour les exercices de simulation et la restauration effective en cas d’attaque de ransomware.
Réduire les risques de manière proactive
Identifiez les architectures traditionnelles et retirez-les des environnements de production pour éviter qu’elles ne servent de surface d’attaque en cas d’intrusion.
Vérifiez l’emplacement des données sensibles/critiques et évaluez leur volume. Les équipes d’intervention obtiendront ainsi une vue d’ensemble pour prioriser leurs efforts et cela limitera le risque de divulgation involontaire en cas d’attaque par un ransomware.
Anticipez une éventuelle exfiltration des données et n’oubliez pas que l'objectif des hackers est de provoquer une fuite de données à des fins d'extorsion. Pour cela, faites la chasse aux menaces en identifiant les possibilités de mouvement latéral, les opérations de transfert de données involontaires et les utilisateurs pouvant accéder aux données critiques.
Impliquer vos fournisseurs de confiance
Établissez des relations solides avec un fournisseur compétent en matière de sécurité de l’infrastructure. Contactez votre fournisseur et Rubrik dès les premiers signes d’attaque ou de violation. N’attendez pas !
Créez un accès anticipé aux technologies de restauration pour ces mêmes fournisseurs avant qu’ils en aient besoin pour intervenir lors d’un événement.
Assurez-vous que les fournisseurs peuvent accéder aux plateformes clés et qu’ils comprennent les guides opérationnels ainsi que les étapes des processus préétablis.
Préparez vos fournisseurs associés à rechercher les activités ayant conduit à l’intrusion initiale, aux vols de données et à d’autres intrusions au-delà du chiffrement. Pour cela, apprenez-leur à rechercher les menaces dans un environnement chiffré, à transmettre les indicateurs de compromission au sein de l’organisation et à travailler en collaboration avec plusieurs équipes.
Communication
Communication immédiate : assurez-vous de disposer des numéros de téléphone portable et des adresses e-mail privées du personnel de première importance. Lors d’une attaque de grande envergure, la messagerie de l’entreprise et peut-être même les téléphones risquent d’être hors service. Préparez-vous à cette éventualité et consignez tout dans votre guide opérationnel.
Communication interne : impliquez toutes vos équipes (y compris la direction et le personnel en dehors de l’équipe technique) afin de communiquer efficacement. Cela peut faire l’objet d’un exercice de simulation.
Communication avec les fournisseurs : lors d’un scénario de restauration concret, après une attaque réelle, informez régulièrement vos fournisseurs de confiance. Laissez-nous vous aider !
Favorisez les interactions/la collaboration entre les différents fournisseurs. Rubrik a l’habitude de faire équipe avec d’autres fournisseurs tiers assurant la sécurité de l’infrastructure dans le cadre du processus de restauration.
Préparez-vous à récupérer les données des systèmes ou plateformes de communication si l’accès initial est perdu au cours de l’attaque. Par exemple, si un programme de chat est nécessaire pour répondre à un événement, il faut prévoir que les données de cette application seront peut-être chiffrées ou inaccessibles. Un outil de communication autonome sera nécessaire avant que vous puissiez assurer la restauration des données de ces mécanismes de communication.
Bonnes pratiques de Rubrik
Utilisez Rubrik Security Cloud (RSC) et notre suite complète de fonctionnalités Enterprise Edition. Ce sont des outils inestimables pour les opérations quotidiennes et en particulier pendant le processus de restauration.
Assurez-vous que les clusters Rubrik exécutent les versions actuelles de CDM. Ne prenez pas de retard dans les mises à jour.
L’authentification multifacteur est indispensable sur l’ensemble des comptes administrateurs.
La règle des deux personnes garantit qu’aucun utilisateur ne peut effectuer seul des opérations clés (destruction de données). Les opérations identifiées comme stratégiques devront être validées pour être finalisées. Un membre du personnel en charge de la sécurité, des opérations ou des aspects juridiques devra approuver toutes les modifications avant que l’opération ne prenne effet. Vous protégerez ainsi vos SLA des acteurs malveillants extérieurs à l’entreprise, mais aussi contre les modifications volontaires ou involontaires en interne.
Créez vos comptes Rubrik en dehors de l’architecture Active Directory au cas où elle serait compromise par un ransomware.
Créez des comptes pour permettre aux équipes internes et aux fournisseurs de chasser les menaces avant qu’une attaque ne se produise. Assurez-vous également que tous les utilisateurs sont formés et préparés à intervenir si les sauvegardes de données sont menacées.
Créez des comptes de données sensibles pour les équipes internes et les fournisseurs avant qu’une attaque ne se produise. Enfin, assurez-vous que tous les utilisateurs sont formés et préparés à rechercher des données, à prendre des mesures de gouvernance et à éditer des rapports sur la compromission des sauvegardes, si nécessaire.
Anticiper l’attaque dès maintenant
Ce qu’il faut retenir de toutes ces informations, c’est que la préparation est la clé du succès. Anticiper une cyberattaque vous permettra de faire toute la différence et d’assurer une restauration efficace.
Rubrik propose des ateliers Save the Data, au cours desquels vous pouvez participer à des exercices de simulation d’attaque par ransomware, comprendre les différents postes impliqués et acquérir de l’expérience dans le domaine de la restauration sans prendre de risque. Découvrez ici nos prochains événements Save the Data virtuels ou en présentiel.