kubais - stock.adobe.com
Sauvegarde : contre les ransomwares, ne misez pas tout sur les WORM
Les sauvegardes inaltérables, ou WORM, sont présentées comme le dernier recours pour relancer une activité après une attaque. Mais elles ne doivent pas être l’unique recours.
Pouvoir restaurer les données est un élément important dans la stratégie de défense contre les ransomwares. Des sauvegardes suffisamment récentes, ni chiffrées ni corrompues, sont la clé pour récupérer les données et reprendre les activités sans devoir payer de rançon. Encore faut-il parvenir à maintenir ses sauvegardes elles aussi à l’abri des cyberattaques. Pour ce faire, les logiciels de backup proposent de plus en plus des sauvegardes dites inaltérables, généralement désignées comme « WORM » (write once, read many).
Avec une sauvegarde définie en WORM, même un administrateur de stockage ne peut pas écraser ou supprimer la copie des données. Aucune machine externe ne peut le faire : les écritures ne sont plus autorisées que par le biais de services internes ou d’API fiables ; il s’agit généralement d’une date butoir qui lève automatiquement l’interdiction.
Pour autant, les sauvegardes inaltérables doivent être complétées par d’autres stratégies de protection des données. Les spécialistes présentent en effet l’inaltérabilité comme le dernier recours, quand toutes les autres sauvegardes ont été altérées. Le sous-entendu est que ces sauvegardes inaltérables sont si figées qu’il n’est pas possible de les mettre à jour et qu’il faut en créer régulièrement un exemplaire plus récent. Les exemplaires obsolètes n’étant pas effaçables avant la date butoir prévue, l’ensemble peut rapidement consommer beaucoup d’espace de stockage.
Mais il y a pire. Les cyberattaquants pourraient d’une manière ou d’une autre trouver le moyen de détruire quand même les sauvegardes inaltérables. Par exemple, des failles existant sur le système qui héberge les sauvegardes inaltérables pourraient être exploitées. Ces failles pourraient peut-être servir à supprimer ou à rapprocher la date butoir du WORM. Elles pourraient, pourquoi pas, servir à supprimer le système qui héberge les sauvegardes inaltérables.
Ne faites pas l’économie des bonnes pratiques usuelles
Les environnements de sauvegarde sont des cibles de plus en plus prisées dans les attaques de ransomwares. Des attaques dormantes, difficiles à détecter, s’y infiltrent et y laissent en sommeil des malwares qui chiffreront les backups en un clin d’œil à un moment donné. Déployer des sauvegardes inaltérables va donc forcément de pair avec les bonnes pratiques de cybersécurité :Veiller à ce que les utilisateurs finaux adoptent une stratégie globale de cyber-résilience, qui va au-delà de la sauvegarde et de la récupération de leurs données, et qui inclut la détection et la prévention des attaques depuis leurs postes.
- Auditer les systèmes de stockage pour détecter leurs portes dérobées.
- Mettre en œuvre une gestion solide des accès et des justificatifs d’identité, on pense notamment à un contrôle d’accès basé sur les rôles et à une authentification multifacteur. Cela va de pair avec le fait d’exiger l’accord de deux personnes pour enclencher certaines fonctions administratives.
Une autre raison pour laquelle les mesures préventives sont si importantes est l’augmentation actuelle des attaques de ransomwares à double extorsion – par lesquelles l’attaquant ne se contente pas de chiffrer les données, mais menace également de les dévoiler en public.
Chiffrez les données, celles qui sont au repos, comme celles qui sont en cours de traitement, ou du moins en transit entre deux serveurs. Cela se réalise à l’aide d’une gestion solide des clés de chiffrement. Utilisez un stockage physiquement, ou logiquement, sécurisé. Ce type de stockage garantit que les disques ne sont pas accessibles à un serveur, ce qui peut empêcher davantage un assaillant d’accéder aux données de sauvegarde.
Enfin, il existe une multitude de fonctionnalités de détection d’anomalies pour aider les entreprises à identifier les vulnérabilités de leurs environnements et pour les aider à identifier qu’une attaque par ransomware a pu se produire.