Restauration anti-ransomware: guide complet pour protéger vos données

Synthèse

Les attaques par ransomware se multiplient, atteignant jusqu’à 85 % des entreprises interrogées en 2022. Bien qu’ayant choisi de payer la rançon, nombre d’entre elles n’ont pourtant pas réussi à récupérer leurs données et certaines ont même été victimes d’une seconde attaque. Comme votre entreprise peut se retrouver paralysée par un ransomware, il est essentiel de vous préparer en adoptant de solides mesures de cybersécurité, une stratégie de sauvegarde complète et un plan de réponse aux incidents efficace. Il faut que les entreprises vérifient l’intégrité de leur sauvegarde et s’entraînent à répondre aux incidents, de façon rigoureuse. Elles doivent savoir comment rétablir l’activité après une attaque par ransomware, aussi rapidement et efficacement que possible.

Découvrez plus en détail les meilleures pratiques contre les ransomwares et comment protéger votre entreprise.

En quoi consiste la restauration anti-ransomware ?

L’une des principales menaces qui pèsent aujourd’hui sur les entreprises se résume en un mot:  ransomwares. Le rapport sur les tendances de la protection des données en 2023 montre que le nombre d’entreprises ayant subi une attaque réussie est passé de 76 % en 2021 à 85 % en 2022. Et le plus alarmant: elles ont pu restaurer seulement 55 % des données chiffrées. Les entreprises ciblées ont perdu 45 % de leurs données en moyenne.

Il existe différents types de ransomware. Généralement, les cybercriminels bloquent l’accès des utilisateurs à leur machine et chiffrent les données pour leur extorquer d’importantes sommes d’argent. Les « scarewares » et les « doxwares » constituent d’autres types de ransomware menaçant de divulguer des informations privées si les victimes ne versent pas la rançon.

La restauration anti-ransomware consiste en une série d’actions spécifiques menées par les entreprises pour limiter l’impact des attaques. Partant de l’hypothèse que les cyberpirates vont réussir à chiffrer leurs données, elles mettent en œuvre des sauvegardes de données inaltérables et des snapshots de configuration permettant de reconstituer leurs systèmes. Réussir à se relever d’une attaque dépend de l’efficacité des processus de sauvegarde et de protection des données et des éléments ciblés par le ransomware.

Se préparer aux attaques par ransomware

La préparation anti-ransomware s’inscrit dans le plan de continuité d’activité, sachant que la probabilité d’une attaque est élevée. Une attaque réussie peut se solder par une perte de données importante et faire de l’incapacité de poursuivre l’activité une préoccupation constante.

Pour se préparer à contrer les ransomwares, il faut élaborer un plan de reprise complet, régulièrement vérifié et minutieusement testé. Celui-ci doit appliquer les meilleures pratiques de prévention contre les ransomwares, notamment des mesures de cybersécurité efficaces et une stratégie de sauvegarde complète.

Mise en œuvre de mesures de cybersécurité efficaces

La première étape consiste à renforcer votre réseau contre les accès non autorisés et à sécuriser vos systèmes contre les cyberpirates. Voici les principales mesures à prendre:

• Protection des terminaux: sécurisez l’ensemble des ordinateurs portables, machines virtuelles (VM), serveurs, et appareils embarqués et mobiles. Mettez en place l’authentification multifacteur (MFA), appliquez des règles de mots de passe forts et chiffrez les données. Installez des logiciels de sécurité des terminaux et adoptez des principes de confiance zéro.
• Sécurité du réseau: protégez votre réseau contre les accès non autorisés. Utilisez des pare-feux efficaces contre les cyberpirates et des VPN (réseaux privés virtuels) pour segmenter votre réseau et limiter la propagation en cas de faille de sécurité.
• Sécurité des messageries: mettez en œuvre des solutions avancées de protection des comptes utilisateurs contre les menaces. Sensibilisez les utilisateurs à la sécurité de leur messagerie et aux signes de phishing.
• Appliquez les correctifs: installez rapidement les correctifs de sécurité des logiciels pour limiter les risques d’exploitation des vulnérabilités.

Élaboration d’une stratégie de sauvegarde complète

Conscients de l’importance des sauvegardes, les cyberpirates les ciblent spécifiquement, ainsi que les serveurs de sauvegarde. Créez une stratégie de sauvegarde sécurisée et complète, et prenez en considération les points suivants lorsque vous développez votre plan de sauvegarde.

• Règle du 3-2-1-1-0: il s’agit d’une évolution du plan de sauvegarde 3-2-1. Cette règle impose trois sauvegardes en plus des données originales, que vous devez conserver sur deux types de supports différents au minimum, dont une copie hors site et une autre hors ligne. Le chiffre zéro indique que vous devez vérifier l’absence d’erreur dans vos sauvegardes.
• Type de sauvegarde: votre stratégie peut inclure des sauvegardes complètes, incrémentielles ou différentielles. En général, les premières sont hebdomadaires et les deux autres quotidiennes. La sauvegarde incrémentielle est une sauvegarde à part dans laquelle sont stockées toutes les modifications survenues depuis la dernière sauvegarde complète ou incrémentielle. La sauvegarde différentielle s’en distingue en ceci qu’elle contient toutes les modifications intervenues depuis la dernière sauvegarde complète. Sa taille augmente à chaque sauvegarde.
• Sauvegardes hors site et dans le cloud: il faut prévoir au minimum un jeu de sauvegardes hors site, que ce soit sur un serveur distant renforcé ou dans un service cloud sécurisé comme un stockage objet Amazon S3.
• Sauvegardes inaltérables: les sauvegardes doivent être inaltérables, c’est-à-dire en lecture seule et impossibles à modifier ou supprimer, généralement pendant une durée prédéfinie. Elles offrent une meilleure protection contre les ransomwares.

Comment détecter les incidents liés aux ransomwares

Il est crucial de détecter toute infection par ransomware tôt pour éviter une attaque d’ampleur. Une attaque par ransomware se déroule par étapes successives: pénétration ou infection initiale, reconnaissance et mise en place de l’accès et, enfin, chiffrement des données. Si vous êtes capable de détecter cette activité, vous pouvez isoler les machines concernées pour minimiser l’impact de l’attaque. Voici trois techniques utiles:

• Identifiez les symptômes et signes de ransomware: parmi les symptômes précoces d’une attaque figurent souvent une activité anormalement élevée de la CPU et des lectures-écritures sur les disques durs.
• Supervisez et analysez les anomalies sur le réseau: les signes d’une activité malveillantes sont un trafic réseau inhabituel, des pics de trafic, une bande passante réduite et des demandes de réseau anormales.
• Utilisez des solutions de gestion des informations et des événements liés à la sécurité (SIEM): grâce aux techniques d’apprentissage automatique, les logiciels SIEM analysent les données du journal d’événements pour identifier en temps réel les menaces et les activités suspectes.

Comment répondre aux attaques par ransomware

Vous devez réagir de manière rapide et radicale face à une attaque par ransomware. La rapidité est essentielle, notamment lorsqu’elle permet d’intervenir avant que l’acteur malveillant chiffre vos données. Voici cinq étapes de réponse aux attaques:

• Mettez en œuvre un plan de réponse aux incidents: activez immédiatement votre plan de maîtrise, isolation et réponse face aux ransomwares, et informez la direction ainsi que les personnes impliquées dans la réponse.
• Isolez et maîtrisez les systèmes infectés: identifiez les systèmes infectés et isolez-les de votre réseau interne et d’Internet. Capturez des snapshots et des images système de tous les terminaux infectés.
• Informez les autorités compétentes: signalez l’attaque aux autorités judiciaires dont dépend votre juridiction et aux autorités administratives concernées, comme la CNIL.
• Faites appel à expert en cybersécurité externe: contactez une entreprise spécialisée dans l’IT et la cybersécurité, comme Veeam, pour vous accompagner dans votre démarche de réponse d’urgence aux ransomwares.
• Déterminez les implications juridiques et éthiques de votre réponse aux incidents liés aux ransomwares: identifiez et informez toutes les parties concernées, et dressez les conséquences juridiques de la protection des données, de la législation sur la confidentialité et de vos responsabilités éthiques.

Stratégies de restauration anti-ransomware

Différents facteurs peuvent influencer votre stratégie de reprise:

• la durée nécessaire au retour à la normale;
• l’impact financier sur l’activité;
• les menaces de divulgation de données confidentielles en cas de refus de payer la rançon.

Nous explorons ici plusieurs approches parmi lesquelles la sauvegarde, le paiement de la rançon, les outils de déchiffrement et les fournisseurs de services anti-ransomware.

Restauration des données à partir de sauvegardes

• Restaurez les données: restaurer les données à partir de sauvegardes Veeam est un processus relativement simple laissant choisir le serveur d’origine ou une VM comme destination. La deuxième option permet de rétablir rapidement l’activité en cas d’attaque par ransomware, tandis que l’équipe IT se concentre sur le nettoyage et la réinstallation des serveurs. Avec Veeam, vous créez un réplica à partir de votre sauvegarde et configurez une VM pour le basculement en cas d’attaque. Il existe d’autres options de restauration, comme les snapshots et les cibles de sauvegarde flash.
• Assurez l’intégrité et la vérification des données: il est crucial de s’assurer que les sauvegardes ne sont pas infectées et qu’elles peuvent donc toujours servir. Par exemple, la fonction de restauration sécurisée de Veeam exécute automatiquement une analyse antivirus de vos images de sauvegarde avant de mener à bien la restauration.
• Restaurez les données à partir de sauvegardes inaltérables: comme il est impossible de modifier les sauvegardes inaltérables, vos données sont protégées contre les ransomwares pendant la période d’inaltérabilité. Les sauvegardes inaltérables assurent une immunité aux attaques bien supérieure.

Paiement de la rançon

Il est toujours difficile de prendre la décision de payer la rançon. Les entreprises concernées doivent d’ailleurs pondérer ce choix en fonction des risques et des conséquences qu’il représente. Alors qu’aux États-Unis le FBI est défavorable au paiement de la rançon, le rapport sur les tendances des ransomwares en 2023 (commandité par Veeam) montre que 80 % des entreprises ayant subi une attaque font malgré tout le choix de payer la rançon. Voici des motifs de négociation avec les auteurs de ransomware:

• Chiffrement des sauvegardes: vous n’avez peut-être pas accès à des sauvegardes saines. En effet, le rapport révèle que 75 % des cibles de sauvegarde subissent des attaques par ransomware.
• Pondération des coûts: chaque jour d’inactivité de l’entreprise se traduit par une perte d’argent et de crédibilité. Au total, le montant de la restauration peut donc s’avérer plus important que celui de la rançon. 
• Confidentialité des données: face à une menace réelle de divulgation de données privées et confidentielles, vous pouvez considérer qu’il est plus sûr de payer la rançon pour récupérer ces données. 

Toutefois, il est de notoriété que payer la rançon ne résout pas toujours le problème. De fait, parmi les entreprises ayant payé la rançon, 25 % n’ont malgré tout pas pu restaurer leurs données et 80 % ont subi ultérieurement une seconde attaque par ransomware.

Pour toutes ces raisons, les entreprises doivent trouver des moyens d’éviter la contrainte de payer la rançon.

Recours à des outils et techniques de déchiffrement

Il est parfois possible de déchiffrer les fichiers des ransomwares. Cela dépend principalement du type de ransomware et de la disponibilité d’outils adaptés. Kaspersky, Avast et Bitdefender proposent des outils de déchiffrement pour certains types de ransomware. Cependant, comme les cybercriminels aguerris utilisent des outils de chiffrement fort à 128 et 256 bits, il est quasiment impossible de déchiffrer leurs fichiers, à l’exception de certains types de ransomware dans lesquels des experts ont détecté des failles.

Utilisation de services de restauration anti-ransomware

Pour déchiffrer vos fichiers, vous avez le choix de faire appel à un fournisseur de services de restauration anti-ransomware professionnel. Certaines entreprises du secteur sont renommées en la matière, d’autres pas. Il est donc important d’évaluer leur expertise avant de contracter leurs services. De fait, il faut idéalement traiter avec des professionnels réputés qui sauront évaluer votre situation et répondre honnêtement quant à leur capacité à restaurer vos données. Les meilleurs fournisseurs de services sont présents à l’international et disposent de plusieurs laboratoires de recherche. Cela étant, leurs services sont onéreux et ne vous garantissent pas de récupérer vos données.

Meilleures pratiques de restauration anti-ransomware

Malgré tous ces écueils, vous avez toujours la possibilité de vous relever après une attaque par ransomware. Voici quatre meilleures pratiques pour mettre toutes les chances de votre côté.

• Testez et validez les sauvegardes: les sauvegardes sont inutiles si elles ne fonctionnent pas. Exécutez régulièrement des tests de validation pour identifier les altérations, virus et logiciels malveillants éventuels. Montez les sauvegardes sur une VM pour vous assurer de leur bon fonctionnement.
• Préparez un plan de réponse aux incidents liés aux ransomwares: votre plan de réponse aux incidents doit être détaillé et définir des responsabilités spécifiques. Avant même qu’un incident se produise, répertoriez les étapes que votre équipe doit respecter pour rétablir la situation.
• Simulez et entraînez-vous: vérifiez votre plan en simulant un incident lié à un ransomware. Évitez de perturber les services en utilisant une VM hors ligne. Entraînez l’équipe jusqu’à ce que chacun des membres sache exécuter sa mission.
• Formez le personnel aux techniques de prévention anti-ransomware: apprenez-leur à reconnaître les tentatives de phishing et autres méthodes utilisées par les cybercriminels.

Mesures à prendre après une attaque par ransomware

Une fois l’activité rétablie, le temps est venu d’examiner en détail et d’analyser les événements. 

• Évaluez l’impact et la portée de l’attaque: menez une évaluation à l’issue de la restauration. Étudiez la portée de l’attaque et mesurez son impact en termes d’interruption d’activité et de pertes financières. Déterminez comment les cyberpirates se sont introduits et s’ils ont réussi à altérer vos sauvegardes.
• Éliminez les vulnérabilités: identifiez et éliminez toutes les vulnérabilités matérielles et logicielles. Ensuite, formez de nouveau vos salariés.
• Renforcez la sécurité: renforcez vos systèmes et vérifiez les autorisations. Configurez des VPN supplémentaires pour mieux isoler les systèmes. Mettez en œuvre des pratiques de MFA.
• Élaborez des stratégies pour limiter les risques sur le long terme: rapprochez-vous d’acteurs de la cybersécurité comme l’ANSSI. Apprenez à réduire les risques, renforcer la sécurité et protéger vos systèmes.

Conclusion

Il est possible de se relever d’une attaque par ransomware et il est déconseillé de payer la rançon, car la plupart des entreprises qui le font ne peuvent malgré tout pas restaurer leurs données. Se préparer correctement à affronter les attaques par ransomware est déterminant pour revenir à la normale. Pour cela, il faut prendre des mesures de sécurité efficaces et élaborer une stratégie de sauvegarde adaptée. Votre stratégie de réponse aux incidents liés aux ransomwares doit être cohérente, votre équipe doit s’entraîner avec rigueur et il est essentiel de détecter tôt les ransomwares. Autre facteur: vous devez disposer d’une stratégie de sauvegarde efficace, avec plusieurs copies inaltérables. Enfin, il est tout aussi important de comprendre la nécessité d’améliorer sans relâche les processus pour s’adapter aux menaces qui ne cessent d’évoluer.

Pour en savoir plus sur la restauration anti-ransomware, regardez cette série de courtes vidéos sur les tendances des ransomwares en 2023. Vous y découvrirez comment vous préparer à une attaque par ransomware et vous en relever.

Contenus associés

• Rapport sur les tendances des ransomwares en 2023
• Comment les entreprises devraient-elles traiter les ransomwares ?
• Se relever d’une attaque par ransomware: analyse des tendances en 2023