Lorsqu’un fabricant a été victime d’une attaque par ransomware, Emerge IT Solutions a restauré ses fichiers critiques en seulement trois jours grâce à Cohesity DataProtect.

Fournisseur IT global au service des entreprises du Midwest,  Emerge IT Solutions venait tout juste de lancer une offre de sauvegarde à la demande équipée de la technologie Cohesity. Moins d’un mois plus tard, un client industriel utilisant ce service a été ciblé par une attaque par ransomware. D’après son expérience, le fournisseur de cyber-assurance du fabricant estimait qu’une restauration partielle nécessiterait entre deux et trois semaines. Emerge a déjoué tous les pronostics en restaurant la majorité des opérations en seulement trois jours grâce à Cohesity DataProtect Aucune rançon n'a été payée. Avec un temps d’arrêt estimé à 35 000 $ de l’heure, chaque journée gagnée a compté : en accélérant la restauration de 11 à 18 jours, le client a évité environ 12 millions $ de pertes de chiffre d’affaires

Le défi

Depuis le début des années 2000, Emerge IT Solutions accompagne les entreprises du Midwest dans la modernisation et la sécurisation de leur environnement informatique « En plus de concevoir et de déployer des solutions IT, nous agissons comme véritable fournisseur de services managés », souligne Jesse Kegley, directeur des revenus. « Nous intervenons soit en renfort de l’équipe informatique interne, soit en prenant en charge l’ensemble de la fonction IT de nos clients ».

Depuis plusieurs années, la demande pour nos services de cybersécurité managés est en forte croissance. « Les dirigeants savent aujourd’hui que les cyberattaques constituent un risque business majeur », insiste M. Kegley. « Tout le monde connaît une entreprise qui a déjà été frappée, et décrocher une assurance cybersécurité est devenu un véritable parcours du combattant ». Nombre de nos clients subissent la pression de leurs partenaires de chaîne d’approvisionnement, qui exigent le respect de politiques de cybersécurité toujours plus strictes. Dans ce contexte, la conformité devient un atout stratégique pour préserver et développer leurs revenus.

Au sein de sa suite de sécurité OmniWATCH , Emerge propose une protection des données managée, mais aussi des tests d’intrusion, des audits de sécurité et des services avancés de détection de menaces. Jusqu’en 2022, Emerge s’appuyait sur plusieurs technologies de sauvegarde populaires. Mais protéger plusieurs pétaoctets de données prenait 24 heures, et la restauration pouvait s’étirer sur plusieurs jours. « Une entreprise victime d’une attaque par ransomware ne peut pas se permettre un temps d’arrêt de plusieurs semaines », rappelle Andrew Miller, spécialiste sauvegarde et reprise après sinistre. « Nous voulions proposer une restauration de fichier beaucoup plus rapide afin que nos clients puissent reprendre leurs activités sans délai après une attaque ou une panne serveur »

La solution

La réponse est venue avec  Cohesity DataProtect, désormais proposé par Emerge en service managé. Hébergé sur le cloud privé d’Emerge, DataProtect réduit considérablement les risques grâce à ses copies immuables impossibles à altérer, à l’authentification multifacteur et aux contrôles d’accès basés sur les rôles. Et c’est redoutablement rapide. « Lors de nos tests, la solution Cohesity a restauré un serveur de 1,5 To en seulement deux minutes -  nous avons cru à une erreur ! » déclare M. Miller. « Avec notre ancienne solution, l’opération aurait pris des heures, voire des jours entiers ».

Aujourd’hui, Emerge s’appuie sur Cohesity DataProtect pour sauvegarder plusieurs pétaoctets de données clients : machines virtuelles, postes de travail virtuels, applications et workloads critiques « Les entreprises qui adoptent notre service équipé de la technologie Cohesity satisfont à une exigence clé des assureurs cybersécurité : conserver des copies de sauvegarde immuables hors site », précise M. Kegley Pour renforcer encore la résilience, Emerge utilise la fonctionnalité DataLock de Cohesity pour créer des snapshots de sauvegarde immuables que personne ne peut modifier - pas même un administrateur - jusqu’à l’expiration du verrou.

Pour un grand groupe industriel multi-sites, ce service de sauvegarde et restauration équipé de la technologie Cohesity a été rentabilisé plusieurs fois… dès le premier mois. Quelques semaines après le déploiement de Cohesity DataProtect pour la sauvegarde et restauration, ce client a subi une attaque par ransomware ciblée qui a chiffré la quasi-totalité de ses 65 VM et 500 postes virtuels.

M. Kegley se souvient encore très bien du déroulement de l’attaque : « Nous ne gérons pas la cybersécurité de nos clients, mais nous assurons leur helpdesk. Le matin de l’incident, nous avons reçu plusieurs appels d’employés incapables d’accéder à leurs systèmes », raconte-t-il. Emerge a rapidement confirmé que certains serveurs de production étaient chiffrés et que l’incident continuait de se propager. Le partenaire de sécurité du fabricant a rapidement établi qu’il s’agissait d’une attaque à grande échelle menée par un acteur étatique malveillant. « À ce stade, l’équipe de réponse aux incidents du fabricant, incluant Emerge et un « coach de crise » mandaté par l’assureur cybersécurité, a pris la décision d’arrêter l’ensemble des serveurs et de lancer le processus de restauration », explique M. Kegley.

Emerge s’est immédiatement mobilisée pour restaurer des fichiers intègres à partir des sauvegardes Cohesity, en constituant une équipe qui a travaillé sans relâche, 24 h/24, pendant trois jours. « Chaque minute comptait, car une seule heure de temps d’arrêt coûte 35 000 USD à notre client, soit 840 000 USD par tranche de 24 heures », précise M. Kegley.

La première étape de la restauration a consisté à identifier la copie de sauvegarde la plus récente qui n’avait pas été compromise. « L’équipe d’analyse des preuves ne savait pas encore à quel moment précis la violation s’était produite », se souvient M. Miller. « Heureusement, Cohesity nous offre deux moyens d’identifier une copie saine de nos données ». L’équipe Emerge a utilisé un outil tiers pour repérer la sauvegarde la plus récente dépourvue de toute signature d’attaque. L’autre méthode, que M. Miller a découverte par la suite, consistait à consulter le rapport Cohesity sur les anomalies d’ingestion de données, indiquant le déclenchement d’une attaque par ransomware.

À partir de cette copie saine, M. Miller a commencé à restaurer les machines virtuelles et les postes virtuels, en suivant les priorités définies par le client, les plus critiques en premier. « Cohesity dispose de capacités de recherche à l’échelle de d’entreprise remarquables », souligne-t-il. « Avec d’autres logiciels de sauvegarde que j’ai utilisés, retrouver simplement le fichier à restaurer nécessitait de multiples étapes. Avec Cohesity, il suffisait de saisir le nom du fichier, de sélectionner la copie la plus récente dans la liste, puis de cliquer sur « Restaurer maintenant ». Et puis là, quelques minutes plus tard, la machine virtuelle redémarrait et commençait sa migration vers la production ! Même les plus grosses machines virtuelles étaient de nouveau opérationnelles en moins de deux minutes ». Les ingénieurs d’Emerge se sont connectés à chaque VM pour s’assurer de son bon fonctionnement avant de la rattacher au réseau. « Gagner seulement deux minutes par machine virtuelle peut sembler anecdotique, mais appliqué à 60 VM, cela représente deux heures de restauration en moins, soit 70 000 USD d’économies pour notre client industriel », explique M. Miller.

Le processus de restauration s’est avéré si fluide qu’Emerge n’a eu besoin d’aucune assistance du support Cohesity, malgré un déploiement de DataProtect réalisé à peine un mois plus tôt.

Les résultats

La restauration accélérée des fichiers a considérablement réduit l’impact économique de l’attaque. « Trois jours seulement après l’attaque par ransomware, nous avions déjà rétabli la majorité des opérations de notre client industriel, lui permettant de relancer sa production », affirme M. Kegley. « Selon le fournisseur de cyber-assurance du client, d’autres entreprises visées par la même attaque ont eu besoin de deux à trois semaines pour parvenir à une restauration partielle seulement. Tout le mérite revient à notre équipe - et à Cohesity ».

Cette restauration rapide a eu un impact déterminant sur le résultat net Être en mesure de restaurer en trois jours au lieu des 14 à 21 jours généralement nécessaires pour ce type d’attaque a permis d’économiser près de 12 millions USD en coûts de temps d’arrêt. Aucune rançon n'a été payée.

Emerge met désormais Cohesity DataProtect au service de la reprise après sinistre, intégré dans une architecture cloud hybride. « Nous utiliserons Cohesity DataProtect sur notre cloud privé pour les sauvegardes récentes, et Microsoft Azure pour l’archivage, afin de réduire les coûts pour nos clients », précise M. Kegley. Si l’environnement de production d’un client tombe en panne, Emerge pourrait relancer ses machines virtuelles directement sur son cloud privé ou dans Azure.

M. Kegley résume ainsi : « Une cybersécurité efficace repose sur trois piliers : les personnes, les processus et la technologie. Cohesity DataProtect est la technologie qui permet à nos équipes de déployer les bons processus, afin d’aider les clients à gérer leurs risques et à restaurer rapidement après une attaque ou une panne imprévue ».

Principaux avantages

• 3 jours pour restaurer 80 % des fichiers chiffrés lors de l’attaque
• Une restauration accélérée de 11 à 18 jours par rapport à la moyenne pour ce type d’attaque
• Près de 12 M USD économisés en coûts de temps d’arrêt
• Aucune rançon payée

À propos d’Emerge IT Solutions

Fondée en 2004, Emerge s’est donné pour mission d’être le conseiller technologique le plus fiable de la vallée de l’Ohio. L’entreprise y parvient grâce à son expertise technique de premier plan, ses technologies de pointe, un service client d’exception et un engagement fort en faveur de relations durables. L’équipe d’Emerge regroupe plusieurs dizaines d’ingénieurs hautement qualifiés, offrant un portefeuille complet de solutions IT.