Pourquoi les sauvegardes restent le meilleur moyen de déjouer les ransomwares

Les ransomwares sont devenus, à juste titre, la hantise des directions générales. Et si les DSI doivent encore muscler leur cybersécurité, la sauvegarde reste la base d’une bonne protection des données contre les attaquants.

En ce début d’année 2023, l’activité des ransomwares ne faiblit pas, bien au contraire, elle s’accentue encore. Du fait des retombées médiatiques des victimes, ces attaques sont aujourd’hui visibles des directions générales et celles-ci demandent aux DSI de prendre des dispositions. Ceux-ci avaient déjà mis en place des antivirus et ils ont accéléré les déploiements d’EDR, mais aucun système de protection n’est infaillible, car il existe de multiples façons pour un pirate de pénétrer un système. Eric Aptel, Directeur de l’agence Novenci Toulouse, résume la situation : « Croire à une sécurité à 100% contre les ransomware est illusoire. Il faut non seulement mettre en œuvre toutes les meilleures pratiques en matière de protection, mais surtout se préparer à réagir lorsque l’attaque surviendra. » Non seulement une entreprise peut voir son activité immobilisée par le chiffrement des données sur ses PC, serveurs et baies de stockage, mais les attaquants n’hésitent plus à menacer leurs victimes de divulguer toutes les données qu’ils sont parvenus à exfiltrer. Une attaque réussie peut avoir de lourdes conséquences en termes financiers mais aussi de propriété intellectuelle et d’images vis-à-vis de ses clients et du public.

Pour Frederico Fernandes, Directeur Technique Infrastructures NOVENCI, pour contrer les ransomwares, les meilleures pratiques à mettre en œuvre font aujourd’hui consensus auprès des experts : « Il faut d’une part analyser et auditer l’existant afin d’identifier les vulnérabilités, évaluer le niveau de maturité des utilisateurs. D’autre part, il faut protéger avec des outils tels que les firewalls, APP, EDR et NDR, et surveiller avec des SIEM, un SOC. Enfin, il faut être prêt à intervenir en cas d’incident et être préparé à la phase de remédiation. » Pour l’expert, le rôle des sauvegardes est non seulement clé en phase de remédiation, lorsqu’il s’agit de reconstituer le système d’information, mais le système de stockage a aussi un rôle important à jouer sur ces 4 phases de sécurisation du système d’information. « Les solutions de stockage NetApp apportent des fonctionnalités sur ces 4 volets, notamment sur la partie analyse, sécurisation, surveillance et, bien entendu, en phase de remédiation. Les outils NetApp Cloud Insights et Cloud Secure avec une capacité de détection en temps réel de toute activité anormale sur les données. »

La sécurité des sauvegardes est devenue critique

Ces derniers mois ont vu apparaître des ransomwares qui commencent par s’attaquer aux sauvegardes avant même de bloquer les postes. Ces sauvegardes sont généralement le dernier espoir pour l’entreprise de reconstituer son système d’information. Il est nécessaire de les protéger efficacement. De même, il faut procéder à des sauvegardes fréquentes pour perdre un minimum de données de production en cas d’attaque réussie. Eric Aptel souligne : « Les projets de rénovation des sauvegardes partent bien souvent du besoin de contrer les attaques par ransomware. Outre les briques de cybersécurité à déployer, de nombreuses fonctions de protection peuvent être réalisées au niveau des baies de stockage. Cela permet de gagner en efficacité sur les sauvegardes, mais aussi en détection. L’analyse comportementale des accès aux données permet d’endiguer très rapidement une tentative de cryptolockage, bien avant que celle-ci ne contamine toute la baie. »

Les systèmes NetApp permettent d’avoir une immuabilité des données sur plusieurs jours, voire plusieurs années si l’administrateur le souhaite. Ces données sont totalement impossibles à modifier ou effacer tant pour un attaquant que pour l’administrateur légitime du système. Appelée « Wormisation », cette technique confie à la baie une sécurité physique équivalente à celle des bandes magnétiques déconnectées. « Cette notion n’est pas nouvelle, mais la menace des ransomwares a remis cette approche aux goûts du jour » explique Frederico Fernandes. « Outre cette protection physique des données, NetApp propose par défaut le MAV (Multi-Admin-Validation) pour les administrateurs, qui implique cependant deux personnes physiques différentes au minimum. Même si le hacker arrive à prendre la main sur une baie, il ne pourra pas exécuter de commandes sans la validation d’une deuxième personne. Une telle double vérification va grandement lui compliquer la tâche. En plus du fait que ces données soient verrouillées en écriture et suppression grâce à la fonctionnalité d’immuabilité appelée « Snaplock ». Cette « Wormsation » s’applique tant aux données de type archives comme c’est le cas des données techniques relatives aux installations industrielles, de produits dont la durée de vie est très longue ou des données patientes d’un hôpital. La durée de conservation des données peut être de plusieurs décennies. Elle s’applique aussi aux données de production dont le délai de sauvegarde par snapshot est particulièrement court, de l’ordre de quelques secondes ou de quelques minutes pour une rétention de plusieurs semaines. L’idée est lorsqu’on est attaqué de ne pas remonter une sauvegarde trop ancienne. « L’un des atouts majeurs d’une solution aussi mature que celle de NetApp est de consommer très peu de ressources pour constituer les snapshots. Le mécanisme de sauvegardes incrémentales permet des restaurations très rapides » explique Eric Aptel. « Nous pouvons proposer à nos clients d’effectuer des sauvegardes toutes les heures voire moins, l’objectif étant d’être en capacité de remonter les données les plus proches du moment de l’attaque. »

Des solutions Cyber portées par les baies de stockage

La solution NetApp Cloud Insights vient se placer au-dessus de la baie de stockage afin d’en étendre les fonctionnalités de surveillance, NetApp Cloud Secure se charge d’analyser l’activité des utilisateurs. Si l’un d’eux présente une activité anormale et se met à exfiltrer de gros volumes de données, l’utilisateur va être bloqué dans la minute et son compte sera immédiatement désactivé du fait de cette activité suspecte. Au moment où cette activité est détectée, une sauvegarde est automatiquement réalisée à l’instant t et le système va soit bloquer l’utilisateur automatiquement, soit demander l’arbitrage d’un administrateur sur la mesure à prendre. « L’approche permet de connaître précisément quelles données ont pu être exfiltrées par l’attaquant avant le blocage effectif du compte compromis » souligne Frederico Fernandes. De plus, pour le volet juridique de la remédiation d’une attaque, l’outil NetApp Cloud Data Sense vient catégoriser les données, identifier les données personnelles, des données de type PCI-DSS, etc. Cela permet aussi de préparer sa réponse à incident en fonction de la nature des données qui ont fuité et prévenir les autorités en conséquence.

Ces bonnes pratiques vis-à-vis des sauvegardes sont disponibles sur les baies NetApp, mais aussi sur Amazon FSx, NetApp Azure File, Google et sur tous les systèmes sous NetApp ONTAP.