À l'ère des ransomwares, la sécurité des données doit être sans compromis.

Les attaques de ransomware ont fortement augmenté ces derniers mois. La question se pose de savoir comment protéger efficacement les données commerciales contre de telles attaques. La sauvegarde des données est l'un des éléments les plus importants de tout concept de sécurité des données. Elle doit garantir que les données commerciales soient absolument sûres et faciles à reconstituer en cas de catastrophe.

  #Security Awareness   #Security Risk Assessment   #Security Strategy Architecture   #Service Delivery Management   #Cyber Defense Center  
06.10.20
Maik Paprott
+41 58 510 15 67
maik.paprott@umb.ch

La plupart des experts, les autorités de poursuite pénale et le public s'accordent à dire qu'il ne faut pas payer les maîtres chanteurs, pour des raisons évidentes. C'est visiblement aussi l'avis de Peter Spuhler, le patron de Stadler Rail AG. Ce printemps, son entreprise a été attaquée avec un ransomware par des criminels, qui ont exigé 6 millions de dollars en bitcoin. Elle n'a pas accepté de négocier avec les maîtres chanteurs, bien que ces derniers aient également publié des données volées sur Twitter pour augmenter la pression. « Stadler n'est et n'a jamais été disposé à effectuer des paiements aux maîtres chanteurs et n'a pas entamé de négociations », a annoncé l'entreprise. L'entreprise dispose de données de sauvegarde qui fonctionnent. C'est pourquoi la production et la fourniture de prestations de service peuvent se poursuivre comme d'habitude.

 

Une panne totale et coûteuse

Dans le cas du spécialiste de la navigation Garmin, le chantage s'est déroulé différemment[1]. L'entreprise a été touchée par une « panne », a annoncé Garmin fin juillet. En fait, il s'agissait d'une panne totale. Les appareils basés sur le cloud, les centrales téléphoniques, les serveurs de messagerie et les discussions en ligne ne fonctionnaient plus. Outre les applications Connect, Garmin Express et FlyGarmin ont également été paralysés. Même les installations de production ont été touchées. Une catastrophe donc, causée par une attaque réalisée avec le ransomware WastedLocker. Ce n'est que début août que la situation s'est lentement normalisée chez Garmin. Selon des articles de presse, l'entreprise avait entre-temps versé une contribution de plusieurs millions aux maîtres chanteurs[2] et reçu en contrepartie la clé permettant de rendre les données commerciales à nouveau utilisables.

Garmin n'est bien sûr pas la seule entreprise à avoir racheté ses données aux maîtres chanteurs. Il existe même aujourd'hui des assurances pour ce cas de figure[3]. On peut supposer que dans de nombreux cas, de telles transactions n'apparaissent jamais au grand jour, surtout si les clients des entreprises victimes de chantage ne sont pas directement concernés. Chez Emsisoft, une entreprise américaine spécialisée dans le décryptage, on estime le chiffre d'affaires total du secteur des ransomwares à 25 milliards (!) de dollars l'année dernière.

 

Le double chantage est à la mode

Dans deux cas apparus ces derniers mois, des millions ont également circulé, comme pour Garmin : Travelex, le service d'échange de devises, a versé en janvier 2,3 millions de dollars de rançon à des maîtres chanteurs, après que les pirates aient crypté les fichiers de l'entreprise. Et Blackbaud, un fournisseur de logiciels et de solutions d'hébergement en nuage, a déclaré avoir stoppé une attaque de ransomware en mai. L'entreprise a tout de même payé une rançon, car les pirates avaient volé des données sur le réseau de l'entreprise et menacé de les publier en ligne. L'incident de Blackbaud, tout comme celui de Stadler Rail, est un exemple parfait du double chantage actuel avec demande de rançon. Les criminels tentent d'abord de prendre pied dans les réseaux des entreprises et d'y voler des données avant de crypter les fichiers locaux. Les entreprises concernées sont ensuite invitées à payer une rançon - soit pour débloquer les fichiers, soit pour empêcher la publication des données volées - comme une sorte de réassurance au cas où la victime refuserait de payer et choisirait de reconstruire les systèmes.

 

Le Covid-19 est un appât efficace

Selon les experts, les cybercriminels utilisent de plus en plus les thèmes liés au COVID-19 pour leurs expéditions de phishing, afin d'exploiter les inquiétudes des utilisateurs à ce sujet. Parmi les thèmes, pour lesquels la prudence est actuellement de mise, figurent les informations sur les vaccins, les masques et les désinfectants ainsi que les programmes d'aide financière. La prudence s’impose également lorsque des téléchargements ou des mises à jour gratuits sont proposés pour des solutions technologiques populaires, comme des plateformes de visioconférence ou d'audioconférence ou des médias sociaux[4]. Cette tendance se traduit également dans les statistiques : selon le Sonic Wall Cyber Threat Report 2020, les attaques de ransomware ont massivement augmenté, notamment aux États-Unis, où elles ont plus que doublé par rapport à l'année précédente[5].

 

Des appareils privés pour des activités privées

Il est donc important de minimiser les risques émanant de ses propres collaborateurs. Les e-mails provenant de l'extérieur doivent être automatiquement marqués. Les collaborateurs doivent pouvoir signaler facilement les e-mails suspects (par exemple via Report Message Add-On dans Outlook). Les liens intégrés dans les e-mails doivent être contrôlés de manière approfondie. La limitation de différents langages de script et de macros aux utilisateurs qui ont besoin de cette fonctionnalité peut réduire le risque. La limitation et la définition des logiciels nécessaires à la productivité et à la communication des employés travaillant à domicile devraient également être envisagées. Une séparation stricte entre les appareils personnels et ceux de l'entreprise est très importante - les employés ne devraient utiliser que leurs appareils personnels pour les e-mails personnels et les activités de navigation.

 

Trois copies, deux types de supports, une copie hors sit

Pour se prémunir au mieux contre les ransomwares du côté de la protection des données, Veeam, un leader mondial de la gestion du cloud et spécialiste de la sauvegarde, recommande d'appliquer la règle 3-2-1[6] : 3 copies des données, 2 types de supports de stockage différents, au moins 1 copie en dehors du site. En répartissant les données sur différents supports, les ransomwares ont plus de mal à tout infecter. Pour que ce concept fonctionne, des tests réguliers sont nécessaires ; les erreurs ne sont pas permises.

Il existe bien entendu de nombreuses possibilités différentes de sauvegarder les données. La sauvegarde en tant que service par un fournisseur externe n'en est qu'une. Dans ce cas, des copies des sauvegardes sont envoyées vers un autre site géré par un fournisseur externe. Cela peut être une bonne solution pour les clients qui n'ont pas de site commercial secondaire ou qui ne peuvent pas se permettre d'y externaliser leurs sauvegardes. Le principal frein à cette option est de céder le contrôle des données à un tiers.
Pour la sauvegarde secondaire et l'archivage des données, le stockage sur bande magnétique est une possibilité intéressante, souvent sous-estimée. Selon Veeam, ce type de sauvegarde est le moins cher (5 à 8 USD par To) et c'est aussi l'un des types de stockage les plus résistants aux attaques de ransomware ; les bandes magnétiques peuvent être facilement déplacées vers un endroit sûr. En ce qui concerne la règle 1-2-3, il est important que chaque copie de sauvegarde des données soit stockée sur une mémoire différente. Si deux copies de sauvegarde se trouvent sur le même périphérique de stockage et que le matériel tombe en panne, aucune des deux sauvegardes ne fonctionnera.  Si les sauvegardes sont stockées sur le même stockage que les MV primaires et que ce stockage tombe en panne, les MV primaires et vos sauvegardes seront perdues.

 

UMB et VEEAM : des partenaires compétents dotés d’une longue expérience

Ne vous laissez pas avoir ! Nous disposons de toute l'expertise nécessaire pour garantir la sécurité des données de votre entreprise. UMB est un partenaire Platinum du programme Veeam® ProPartner, le plus haut niveau de partenariat chez Veeam®. Cette distinction est synonyme d'expérience et de compétence dans la mise à disposition simple, fiable et flexible d'une gestion des données dans le cloud basée sur la technologie Veeam pour les entreprises, qui veulent être toujours disponibles. Contactez-nous pour en savoir plus sur la sécurité de vos données !

 

[1] http://digital-society-report.blogspot.com/2020/07/garmin-attacke-es-muss-nicht-immer-ein.html

[2] https://news.sky.com/story/garmin-obtains-decryption-key-after-ransomware-attack-12036761

[3] https://www.cbc.ca/news/technology/ransomware-cyber-insurance-pros-and-cons-1.5453619

[4] https://home.kpmg/xx/en/home/insights/2020/05/rise-of-ransomware-during-covid-19.html

[5] https://threatpost.com/sharp-spike-ransomware-pandemic-inspires-attackers/157689/

[6] https://www.veeam.com/blog/3-2-1-rule-for-ransomware-protection.html