Depuis quelques années et d’autant plus depuis la crise sanitaire, la crainte de tous les responsables informatiques et RSSI se développe : une infection par ransomware couplée d’une attaque plus sophistiquée empêchant la restauration traditionnelle !
Les messages de prévention partagés ces dernières années pour les ransomwares sont obsolètes, il ne suffit plus d’une solide politique de sauvegarde et de restauration. Il faut intégrer de la rupture de technologie.
Comment est-il possible que les politiques de sauvegardes traditionnelle et rigoureuses ne suffisent plus ?
Voici 2 exemples concrets pour vous aider à y voir plus clair :
1er exemple :
Un Client sauvegarde ses VM via un logiciel leader du marché. Ses sauvegardes sont conservées en local et répliquées via un partage sur un deuxième Datacenter. L’attaquant s’est introduit dans le Système d’Information (SI), a lancé son attaque par Ransomware, ce qui a chiffré les fichiers, les sauvegardes locales et également celles distantes. Cette sorte d’attaque a réussi à cause du fait que les espaces de stockage des systèmes de sauvegarde restaient connectés.
Le Client a subi un blocage de 10 jours et a dû payer une partie des bitcoins demandés.
2ème exemple :
Un Client fait ses sauvegardes sur un robot de cartouche LTO. Les cartouches sont externalisées régulièrement. L’attaquant a étudié l’infrastructure Client et a pu détruire le catalogue de sauvegarde en même temps qu’il a chiffré les données. La reconstruction du catalogue de sauvegardes sur cartouche aurait pris trop de temps. Les attaquants obtiennent ainsi le paiement de la Rançon.
Ces deux exemples montrent parfaitement le niveau de préparation et d’ingéniosité dont font part les nouveaux attaquants par ransomwares.
Les sauvegardes peuvent elles-mêmes être chiffrées par le Ransomware si elles sont accessibles (par exemple via un partage Windows).
Si vos sauvegardes ne sont pas accessibles au ransomware, par exemple lorsque les sauvegardes sont sur cartouche, le catalogue de sauvegarde peut-être alors visé. La reconstruction d’un catalogue est longue et fastidieuse.
L’active Directory est la cible privilégiée des attaquants et tout système de sauvegarde couplé avec un AD est vulnérable.
C’est nécessaire, sachant que le délai moyen de détection d’intrusion s’établit ainsi en moyenne à 167 jours d’après une étude de Wavestone en 2019.
Le problème c’est que la détection de cyberattaque (notamment la détection des signaux faibles) est compliquée, coûteuse et … pas toujours efficace.
Pour cela il faut réfléchir aux mécanismes permettant de garantir une résilience de ses mécanismes de sauvegarde, par exemple :
76 rue Denfert-Rochereau
69004 Lyon
Tel : 04.28.29.79.01
© 2014–2022 NUABEE. TOUS DROITS RÉSERVÉS.
Cookie | Durée | Description |
---|---|---|
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |