Perception vs réalité : comment se préparer vraiment aux rançongiciels

Il semble que la plupart des environnements informatiques n’aient pas fait le lien entre les ransomwares et l’importance d’un bon système de protection. C’est facile à déduire en lisant une enquête récente d’IDC de plus de 500 DSI de plus de 20 industries à travers le monde.

La statistique la plus frappante du rapport d’IDC est que 46 % des répondants ont réussi attaqué par un rançongiciel au cours des trois dernières années. Cela signifie que les rançongiciels ont dépassé les catastrophes naturelles pour devenir la principale raison pour laquelle il faut être bon pour effectuer des restaurations de données volumineuses. Il y a de nombreuses années, la principale raison de ces restaurations était une défaillance matérielle, car la défaillance d’un système de disque signifiait souvent une restauration complète à partir de zéro.

L’avènement du RAID et du codage d’effacement a changé tout cela, mettant les catastrophes naturelles et le terrorisme au premier plan. Cependant, les chances qu’une entreprise soit victime d’une catastrophe naturelle étaient en fait assez faibles – à moins que vous ne viviez dans certaines zones sujettes aux catastrophes, bien sûr.

Argent perdu, données perdues

Ces 46% signifient essentiellement que vos chances d’être touché par un ransomware sont un tirage au sort. Pire encore, 67 % des répondants ont payé le une rançonet 50 % de données perdues. Certains commentateurs ont minimisé les 67 %, suggérant que ces organisations répondaient peut-être à une tactique de ransomware connue sous le nom d’extortionware.

Dans ce scénario, une entreprise recevra une demande telle que “Donnez-nous 10 millions de dollars, ou nous publierons les pires secrets de votre organisation”. Cependant, même si nous mettons cette statistique de côté, nous nous retrouvons avec le fait que la moitié des organisations touchées par les ransomwares ont perdu des données critiques. C’est deux lancers de pièces. Ce n’est pas bon, comme on dit.

Prêt pour une attaque ? Probablement pas

L’histoire empire cependant. Étonnamment, les mêmes organisations qui ont été attaquées et qui ont perdu des données semblaient accorder une grande importance à leur capacité à réagir à de tels événements. Premièrement, 85 % des personnes interrogées ont affirmé disposer d’un manuel de cyber-récupération pour la détection, la prévention et la réponse aux intrusions. Toute organisation est susceptible de répondre « absolument » si vous lui demandez si elle a un plan comme celui-ci.

En fait, vous pourriez même vous demander ce qui se passe chez les 15 % qui ne semblent pas penser qu’ils en ont besoin. Ils sont comme le cinquième dentiste dans l’ancienne publicité de Dentyne qui disait : “Quatre dentistes sur cinq interrogés recommandaient de la gomme sans sucre à leurs patients qui mâchaient de la gomme.” Si votre organisation ne dispose pas d’un plan de cyber-reprise, le fait que tant d’entreprises aient été attaquées devrait, espérons-le, motiver votre direction à effectuer ce changement.

Une organisation devrait être pardonnée se faire attaquer par ransomware en premier lieu. Les ransomwares sont, après tout, un domaine en constante évolution où les malfaiteurs changent constamment de tactiques pour gagner du terrain. Ce qui est difficile à comprendre, c’est que 92 % ont déclaré que leurs outils de résilience des données étaient « efficaces » ou « très efficaces ». Il va sans dire qu’un outil efficace doit être capable de récupérer des données de manière à ce que vous n’ayez pas à payer la rançon – et vous ne devriez certainement pas perdre de données.

Minimiser les dégâts d’attaque

Il existe plusieurs éléments clés pour détecter, répondre et récupérer d’un attaque de rançongiciel. Il est possible de concevoir votre infrastructure informatique de manière à minimiser les dommages d’une attaque, par exemple en refusant l’utilisation de nouveaux domaines (arrêt de la commande et du contrôle) et en limitant les mouvements latéraux internes (en minimisant la capacité du logiciel malveillant à se propager en interne). Mais une fois que vous êtes attaqué par un ransomware, cela nécessite l’utilisation de nombreux outils qui peuvent être beaucoup plus efficaces s’ils sont automatisés.

Par exemple, vous pouvez passer de la limitation des mouvements latéraux à l’arrêt total de tout le trafic IP. Si les systèmes infectés ne peuvent pas communiquer, ils ne peuvent plus faire de dégâts. Une fois les systèmes infectés identifiés et arrêtés, vous pouvez commencer la phase de récupération après sinistre consistant à mettre en ligne les systèmes infectés et à vous assurer que les systèmes récupérés ne sont pas également infectés.

La puissance de l’automatisation

La clé pour que tout cela se produise en un temps aussi court que possible est l’automatisation. Les tâches peuvent être accomplies instantanément et simultanément. Une approche manuelle entraînera des temps d’arrêt supplémentaires à mesure que l’infection se propage dans votre environnement informatique. Tout le monde s’accorde à dire que l’automatisation est la clé, y compris 93 % des répondants à l’enquête d’IDC qui ont déclaré disposer d’outils de récupération automatisés.

Ainsi, environ neuf répondants sur 10 ont déclaré que leurs outils de résilience des données étaient efficaces et automatisés. Cependant, si cela était vrai, la moitié des personnes attaquées n’auraient pas perdu de données, et beaucoup moins auraient payé la une rançon.

Qu’est-ce que cela signifie? Le plus important à retenir est que vous devez jeter un coup d’œil à votre environnement. Avez-vous un plan en place pour répondre à une attaque de ransomware ? Arrête-t-il immédiatement votre environnement pour limiter les dommages supplémentaires pendant que vous enquêtez ? Pouvez-vous également récupérer automatiquement les systèmes infectés ?

Si vos chances d’être touché par un rançongiciel sont les mêmes qu’un tirage au sort, il est peut-être temps d’enlever vos lunettes roses et de vous mettre au travail.

W. Curtis Preston est évangéliste technique en chef chez Druva.