Ransomware et sauvegarde : les défis à surmonter
Même en cas d’attaque par ransomware et exfiltration de données, l’intérêt des sauvegardes demeure. Mais une planification minutieuse s’impose pour éviter de récupérer des données corrompues.
D’après une étude menée par WatchGuard, fournisseur de cybersécurité, le premier trimestre 2022 a connu plus d’attaques par ransomware que toute l’année 2021. Et le cabinet s’attend à ce que 2022 soit une année record à cet égard.
Les ransomwares – ou « rançongiciels » – se sont multipliés et se montrent plus agressifs depuis l’attaque WannaCry d’il y a cinq ans. Néanmoins, la sauvegarde demeure le moyen de restauration le plus important en dépit de l’évolution des techniques d’attaque.
En effet, si les groupes criminels recourent à des techniques toujours plus sophistiquées, dont les attaques par double et triple extorsion, les principes fondamentaux du ransomware perdurent. Les attaquants infiltrent un réseau, détectent et chiffrent les données, puis réclament le versement d’une rançon (un paiement en cryptomonnaie la plupart du temps) contre une clé de déchiffrement permettant d’obtenir à nouveau l’accès aux données.
Rien de tout cela n’est nouveau, et rien n’indique davantage que le paiement de la rançon garantit la récupération des données.
De nombreuses études montrent que les groupes de ransomware ne remettent souvent aucune clé de déchiffrement, ou que lorsqu’ils le font, la clé n’est pas fonctionnelle. Selon une recherche de Venafi, autre fournisseur de cybersécurité, cette situation se produit dans 35 % des cas.
Ensuite, il faut compter le temps perdu, les perturbations et les coûts résultant de la récupération de données chiffrées. Cette opération peut prendre des jours, voire des semaines. Rien d’étonnant à ce que les directeurs des systèmes d’information (DSI) et les responsables de la sécurité des systèmes informatiques (RSSI) estiment judicieux d’agir par eux-mêmes, et tentent de récupérer les données à partir de leurs propres sauvegardes.
Au bout du compte, cette approche pourrait constituer la stratégie la plus efficace. Elle présente l’avantage de ne rien verser aux gangs criminels et, de ce fait, de ne s’exposer à aucune sanction. Bien que le versement d’une rançon n’ait rien d’illégal en Europe, les autorités encouragent les entreprises à ne pas payer. Et la chose est évidemment bien plus facile lorsqu’on dispose de sauvegardes solides et fiables.
Restauration à partir des sauvegardes : les fondamentaux
Les entreprises peuvent prendre toute une série de mesures pour réduire le risque d’attaque par ransomware : outils de sécurité techniques, déploiement régulier de correctifs et de mises à jour du système d’exploitation et sensibilisation des utilisateurs.
Si un pirate accède au réseau et parvient à chiffrer les fichiers, la seule option, excepté le versement de la rançon, consiste à restaurer les données à partir des sauvegardes, à condition qu’elles soient elles-mêmes protégées contre les attaques par ransomware.
La restauration peut intervenir à partir de supports hors site (lecteurs optiques ou bandes) ou à partir d’instantanés (les « snapshots »). Les instantanés ne contiennent pas simplement les données ; ils incluent les métadonnées, les copies parentes et même les fichiers supprimés. Ces instantanés sont souvent qualifiés d’immuables dans la mesure où, une fois copiés, ils ne peuvent plus être modifiés.
Les fournisseurs cherchant à renforcer la sécurité des sauvegardes ont ajouté d’autres mécanismes visant à empêcher l’effacement des instantanés : par exemple, la fourniture d’une authentification à plusieurs facteurs pour déplacer ou supprimer les données. Les entreprises bénéficient ainsi d’une protection supplémentaire contre les logiciels malveillants qui tentent de supprimer ou de corrompre des fichiers de sauvegarde.
Si possible, les sauvegardes doivent être isolées : séparation physique des systèmes de production ou séparation logique par le biais de l’outil de sauvegarde et de restauration. Dans l’idéal, les entreprises doivent mettre les deux stratégies en place.
Elles doivent en outre envisager une sauvegarde dans le cloud pour assurer une séparation à la fois logique et physique. De plus en plus d’outils de sauvegarde et de restauration prennent désormais en charge le stockage de sauvegardes immuables dans le cloud. Les DSI doivent néanmoins vérifier les coûts de stockage et les frais de sortie des données, même si le cloud reste une solution plus économique que la construction d’un imposant matériel de sauvegarde sur site.
RPO, RTO et ransomware
Tout plan de reprise après sinistre d’une entreprise doit fixer le RTO (Recovery Time Objective), c’est-à-dire la vitesse à laquelle les données doivent être restaurées, et le RPO (Recovery Point Objective), c’est-à-dire l’âge des fichiers à restaurer en vue de récupérer une version propre et utilisable de leurs données.
Dans les plans de reprise après sinistre traditionnels, le RTO doit être le plus court possible pour minimiser les pertes de revenus, et le RPO doit être le plus récent possible afin d’éviter d’avoir à reconstituer les données perdues. Pour des restaurations plus rapides, il faut prévoir des sauvegardes plus fréquentes et des coûts de stockage plus élevés.
Les ransomwares compliquent la situation, car les attaquants attendent souvent plusieurs semaines ou mois après l’infiltration du réseau pour déployer le programme malveillant. Toute la difficulté consiste alors à savoir jusqu’où remonter pour accéder à une copie propre des données. Dans la pratique, pour se protéger des ransomwares, il faut conserver plusieurs copies des données plus longtemps et veiller à leur protection.
Fenêtre de restauration
Les entreprises doivent aussi définir la fenêtre de restauration, autrement dit la durée nécessaire à la récupération et au contrôle des sauvegardes, copies hors site incluses, puis au processus de restauration lui-même.
Les systèmes de sauvegarde ne prévoient pas une restauration rapide de grands volumes de données, c’est pourquoi les entreprises mettent en place plusieurs outils de reprise après sinistre, dont les instantanés et les systèmes en miroir. Mais ces solutions restent autant vulnérables aux attaques par ransomware que les copies exploitées en production.
Bryan BettsAnalyste, Freeform Dynamics
La solution consisterait à récupérer les données dans des instances de cloud plutôt que sur site, mais les DSI doivent alors prioriser les principaux systèmes opérationnels à restaurer, et ce dans le cadre d’un plan de reprise testé à l’avance.
« Ce n’est généralement pas la sauvegarde qui constitue le point d’achoppement de la protection des données, mais la restauration », explique Bryan Betts du cabinet d’analyse Freeform Dynamics.
Il précise que du fait de la complexité croissante des systèmes informatiques, incluant les workloads en cloud, hybrides et conteneurisées, il est de plus en plus difficile de remettre les systèmes en état de fonctionnement.
Là aussi, les instantanés seront d’un grand secours, mais les auteurs des plans de reprise après sinistre doivent donner la priorité aux systèmes et processus métier, et non aux volumes de stockage. Pour une reprise après ransomware, il ne suffira pas aux entreprises de ne fixer qu’un seul RPO et RTO comme pour une simple panne technique, il leur faudra définir plusieurs objectifs différents.
Risques inhérents à la sauvegarde et à la restauration
La restauration des données après une attaque par ransomware s’avère bien plus complexe et risquée qu’un cas de panne système ou de catastrophe naturelle.
Le plus gros risque ? C’est qu’un ransomware passe inaperçu dans les sauvegardes et qu’il se réplique dans l’environnement de production ou dans les systèmes restaurés.
Pour minimiser ce risque, il convient d’utiliser des copies isolées (air gapping) ou des copies et instantanés immuables, et de conserver un nombre de copies supérieur à ce qui est normalement suffisant pour une sauvegarde conventionnelle. La récupération des données demande alors une approche plus prudente, souvent en contradiction avec les pressions commerciales qui imposent des RTO courts et des RPO récents.
La situation est d’autant plus difficile qu’il n’existe pas de systèmes viables et infaillibles, capables de distinguer un ransomware parmi les données lues avant la sauvegarde, déclare Barnaby Mote, directeur général chez Databarracks, spécialiste des sauvegardes.
« Avant l’apparition des ransomwares, la réplication des données des systèmes de production vers les systèmes de reprise d’activité se faisait au plus vite. La stratégie de récupération tenait la route face aux catastrophes classiques », poursuit-il. « Aujourd’hui, avec les ransomwares, nous obtenons l’effet inverse à celui recherché, ce qui rend les systèmes de récupération inutilisables. »
Avant de restaurer les fichiers, les équipes informatiques peuvent recourir à certaines techniques, comme la surveillance des fichiers, pour vérifier que la sauvegarde conserve les mêmes caractéristiques (notamment la même taille) que les fichiers d’origine. En revanche, la détection de telles anomalies repose encore sur un processus essentiellement manuel ou personnalisé qui dépend de la compétence des équipes chargées de la récupération et de la sécurité informatique.
Christian BorstDirecteur technique, Vectra
La récupération initiale des données dans des environnements isolés et l’exécution de contrôles ultérieurs apportent néanmoins certaines garanties. Mais, toutes ces mesures prennent du temps et ajoutent au minimum une étape supplémentaire au processus de restauration.
Et comme l’explique Christian Borst, Directeur technique chez Vectra, société spécialisée dans la détection et le traitement des menaces, la restauration qui fait suite à une attaque par ransomware ne se limite pas à la récupération des données. Les entreprises doivent rétablir l’état fonctionnel de leurs systèmes et s’assurer de la propreté des données.
« Il est essentiel de sauvegarder les configurations des systèmes et des applications en plus des données opérationnelles », poursuit-il. « L’important à cet égard est de garantir l’intégrité et la disponibilité de ces sauvegardes. »
Jamais facile ni bon marché, une bonne stratégie de protection des données aidera les entreprises à réduire les temps d’arrêt provoqués par une attaque par ransomware, et sous réserve d’une bonne préparation, et avec une petite dose de chance, leur évitera de verser une rançon.