Les attaques par rançongiciel sont alarmantes de fréquentes, survenant toutes les 11 secondes, et ce chiffre devrait empirer, passant à une attaque toutes les 2 secondes (Source : rapport Cybersecurity Ventures). Les organisations doivent se préparer de manière proactive afin de répondre efficacement à ces menaces évolutives.

Lorsque nous conseillons nos clients sur les tendances en matière de rançongiciels, nous disons souvent : « En cas d'attaque par rançongiciel, il n'y a que deux options : payer la rançon ou récupérer vos données. Sans stratégie solide, aucune option ne garantit le succès. » Voici six considérations essentielles pour une stratégie de cyberrésilience complète :

1. Immutabilité : L’immuabilité constitue la base de toute stratégie contre les cybermenaces. Veiller à ce que vos données critiques (ou non critiques) résident sur un stockage immuable est essentiel. Les organisations débattent souvent de la nécessité d’activer l’immuabilité sur :

   1. Stockage primaire à l’aide de snapshots immuables, ce qui peut réduire le temps de récupération mais s’avère généralement coûteux.
   2. Cible de sauvegarde, qui présente des avantages économiques, mais peut entraîner un allongement des délais de reprise.

   Recommandation : Trouvez un équilibre entre coût et objectif de temps de reprise (RTO). Activer l’immuabilité sur la cible de sauvegarde est souvent la solution la plus pragmatique.

2. Capacité de reprise instantanée Bien que les bandes déconnectées présentent une immuabilité, elles sont insuffisantes en matière de rapidité de restauration. Comme le disent souvent les experts : « Si vous ne pouvez pas récupérer rapidement, c’est aussi mauvais que de payer la rançon. » Les interruptions prolongées peuvent être dévastatrices pour une entreprise. Choisissez une stratégie garantissant une restauration rapide, assurant la continuité même dans des circonstances critiques.

3. Environnement de restauration isolé (ERI) : Pour les attaques sporadiques ou impossibles à tracer, la récupération peut durer des semaines suite à des enquêtes médico-légales. Dans ces cas, créer un environnement de restauration isolé (ERI) pour les applications critiques peut tout changer.

   Questions clés :

   1. Quelle devrait être la taille de votre ERI ?

      L’objectif n’est pas la taille mais l’efficacité : il faut qu’il soit aussi petit que possible tout en soutenant les applications critiques.

   2. Est-ce un investissement valable ?

      Procédez à une évaluation financière. Si le coût de création et d’exploitation d’un ERI dépasse les pertes d’affaires réelles ou potentielles causées par l’interruption d’une application lors d’un événement cyber, un ERI pourrait ne pas s’avérer nécessaire.

4. Capacité de détection des rançongiciels : Les solutions de sauvegarde modernes intègrent souvent des fonctions de détection des rançongiciels capables d’analyser les données sauvegardées pour identifier les anomalies. Ces fonctions peuvent être proposées via des plateformes SaaS ou des solutions sur site, analysant des copies principales ou archivées.

   Avantages :

   1. Détection précoce : identifier les menaces avant leur propagation.
   2. Identification du rayon d’action : repérer les systèmes touchés.
   3. Récupération plus rapide : localiser des copies de sauvegarde saines, réduire les approximations et accélérer la reprise.

   Défi : Contrairement à la récupération traditionnelle (ex. : restauration d’un seul fichier), la reprise après rançongiciel implique souvent la restauration de centaines de charges de travail à partir d’un point sain inconnu. Les outils de détection peuvent simplifier ce processus en identifiant les copies potentiellement saines, améliorant considérablement le RTO.

5. Automatisation de la restauration et du déploiement des données La reprise après rançongiciel peut exiger la restauration de dizaines ou de centaines de machines virtuelles. Sans flux de restauration automatisés et runbooks, les délais de récupération s’allongent et le risque d’erreur humaine augmente. Chaque organisation devrait accorder la priorité à l’automatisation de ses stratégies de reprise pour assurer rapidité et précision.

   Recommandation : Les organisations doivent investir dans des flux de travaux automatisés et des runbooks afin d’offrir une restauration efficace et sans erreur.

6. Salle blanche vs environnement de restauration Il est essentiel de différencier une salle blanche d’un environnement de restauration :

   Salle blanche	Environnement de restauration
   Utilisée pour tester les données et effectuer des analyses de sécurité avant de les restaurer sur les serveurs de production ou de reprise.	Conçu pour exécuter les applications à pleine ou partielle capacité lors de la reprise.
   Nécessite une infrastructure minimale (serveurs, stockage, réseaux).	Nécessite une infrastructure complète ou partielle, incluant des mécanismes de sécurité, pour héberger les applications.
   Les données, une fois vérifiées, sont restaurées vers les sites de production ou de reprise.	Nécessite une connexion aux réseaux externes.

   À considérer : Une salle blanche n’est pas utile au quotidien, mais elle peut s’avérer précieuse lors d’un événement cyber. Certains fournisseurs de sauvegarde offrent désormais ce service dans le nuage, tandis que d’autres en confient la gestion aux clients. Évaluez la probabilité de devoir utiliser une salle blanche avant d’investir.

   Conclusion

   Alors que la fréquence des attaques par rançongiciel augmente, il n’est plus suffisant de s’appuyer uniquement sur des sauvegardes traditionnelles. Une stratégie de reprise résiliente doit inclure l’immuabilité, une restauration rapide, l’isolement, l’automatisation du déploiement et des outils avancés de détection. En équilibrant les coûts avec les besoins d’affaires, les organisations peuvent mieux se protéger et assurer leur continuité face aux menaces cybernétiques.