Cohesity de nouveau nommé Leader ! Obtenez le Magic Quadrant™ 2023 de Gartner pour les solutions logicielles de sauvegarde et de restauration d’entreprise
L’exfiltration de données est la suppression non autorisée de données sensibles d’une entreprise par des cybercriminels ayant des intentions malveillantes. L’exfiltration de données, ou ransomware 3.0, augmente le rayon d’action d’une attaque par ransomware. En effet, les acteurs malveillants ne se contentent pas de chiffrer les données de production (ransomware 1.0) ou de verrouiller les données de production et de sauvegarde (ransomware 2.0). Ils chiffrent et dérobent des données précieuses (les données à caractère personnel de clients, ou des informations de santé protégées) pour les rendre publiques ou les vendre sur le dark web, à moins que l’entreprise ciblée n’accepte de payer une rançon.
Les entreprises doivent connaître les techniques et méthodes d’exfiltration de données ainsi que les solutions pour les prévenir et les détecter en raison des risques qu’elles impliquent. Si des acteurs malveillants communiquent des informations sensibles à des parties non autorisées étrangères à l’entreprise, celles-ci peuvent en faire un usage abusif et causer des dommages irréparables à vos clients, employés ou partenaires ainsi qu’à votre entreprise.
Les cybercriminels utilisent aujourd’hui couramment les ransomwares pour faire des profits. Selon un rapport de FortiGuard Labs, ce type de cyberattaque a augmenté de 1 070 % entre juillet 2020 et juillet 2021. Les entreprises apprennent à contrer les ransomware, mais les acteurs malveillants se montrent de plus en plus créatifs. Elles doivent donc désormais être attentives à leurs environnements informatiques et les renforcer contre des attaques plus malveillantes, notamment par des logiciels malveillants qui chiffrent les données de sauvegarde, les systèmes de sauvegarde et les données de production, non seulement pour éliminer les sauvegardes, mais aussi pour voler ou exfiltrer les données à des fins lucratives. Les entreprises ciblées sont alors sommées de payer une rançon pour éviter que leurs données ne soient divulguées publiquement.
Les exfiltration de données sont le plus souvent le fait de cybercriminels, notamment d’auteurs d’attaques par ransomware, ainsi que d’employés mal intentionnés qui ont accès à des données sensibles. Ces acteurs malveillants ciblent généralement les systèmes informatiques très vulnérables qui présentent peu de correctifs, notamment les bases de données, les partages de fichiers et le trafic réseau.
L’exfiltration de données est la suppression non autorisée de données sensibles d’une entreprise par des cybercriminels ayant des intentions malveillantes. Plus vite une entreprise découvre une intrusion, moins celle-ci causera de dommages, et moins les pros de l’informatique et de la sécurité devront travailler la nuit et le week-end pour récupérer les données.
Les entreprises peuvent tirer parti d’une gestion des données moderne, dotée de capacités robustes de sécurité des données, de détection des exfiltrations de données et de surveillance, pour réduire la portée des ransomwares. Parmi les technologies clés que les entreprises devraient avoir mises en place, on trouve :
Les fuites de bases de données et de fichiers partagés ainsi que le détournement du trafic réseau par des acteurs malveillants sont des exemples courants d’exfiltration de données.
Il est difficile de savoir quand un acteur malveillant cherche à exfiltrer vos données. Cependant, les équipes informatiques peuvent remplacer une surveillance humaine par une solution de gestion des données nouvelle génération, capable de suivre en permanence les opérations normales du système, de détecter les activités anormales des utilisateurs, et ainsi de signaler rapidement les irrégularités susceptibles d’indiquer une attaque par ransomware.
Associées à des alertes, ces capacités permettent non seulement de signaler un danger potentiel, mais également de lancer une procédure de correction. Grâce à une détection des anomalies en temps quasi réel, les équipes peuvent découvrir rapidement les attaques de type chiffrement et exfiltration de données en cours, et ainsi limiter la portée des ransomwares.
Selon Cybersecurity Ventures, les coûts des dommages causés par les ransomwares dans le monde (perte de revenus et de productivité ainsi que reconstruction) devraient dépasser 265 milliards de dollars d’ici 2031. L’exfiltration de données n’est pas la seule technique de ransomware, mais elle devient de plus en plus populaire. Grâce à des solutions comme la gestion des données nouvelle génération, les équipes peuvent mieux défendre leurs données contre les auteurs d’attaques par ransomware, qui cherchent à voler et à revendre les données au plus offrant, à moins que la victime ne paie une rançon pour les récupérer.
Le terme exfiltration vient du vocabulaire militaire. Il désigne un moyen de soustraire subrepticement quelqu’un (par exemple, un agent de renseignement, un soldat, etc.) d’un territoire hostile. Dans le domaine informatique, il est devenu synonyme de ransomware et de subtilisation insidieuse et illégale de données d’un ordinateur, d’un réseau ou d’un autre système informatique (exfiltration), dans le but de demander une rançon à l’entreprise.
Une prévention des pertes de données (Data loss prevention, DLP) peut être à la fois une stratégie et une solution pour protéger les données d’une entreprise et éviter que l’on y accède sans autorisation.
Une prévention des pertes de données (DLP) désigne généralement une technologie qui surveille les données sensibles (DCP, PCI, PHI, IP) pour détecter toute transmission non autorisée. Les solutions DLP surveillent les systèmes de fichiers pour garantir que les données classifiées ou sensibles ne sont pas envoyées à l’extérieur de l’entreprise ou copiées sur des supports amovibles qui violeraient les stratégies de sécurité de l’entreprise.
Les auteurs de menaces accèdent aux données et les volent, ou les exfiltrent, pour obtenir une rançon, de plusieurs façons :
Pour contrer ce dernier scénario, également connu sous le nom de menace d’initié, les entreprises peuvent utiliser des mécanismes tels que la technologie WORM (write once, read many). Elle permet de créer et d’appliquer un verrou limité dans le temps sur les données au moyen de stratégies, puis de les attribuer à des tâches sélectionnées pour renforcer l’immuabilité des données protégées. Une fois ce mécanisme en place, ni les responsables de la sécurité, ni les administrateurs de la sécurité, ne peuvent modifier ou supprimer ces stratégies. Cela permet donc de déjouer les attaques potentielles des employés en interne.
Les cybercriminels ne viennent pas tous de l’extérieur. Des personnes mal intentionnées travaillent parfois dans l’entreprise. On parle d’exfiltration de données par un initié lorsqu’une personne ayant accès aux systèmes de l’entreprise transmet des informations sensibles à des parties non autorisées extérieures à l’entreprise, et les restitue contre le paiement d’une rançon.
Pour être compétitives, les entreprise ont besoin de données et des informations précieuses qu’elles fournissent. Cependant, les données augmentant de manière exponentielle, les équipes ne peuvent plus savoir ce qui compte le plus, car les anciens produits de gestion des données ne peuvent pas réaliser de filtrage par motif et classer les données de manière efficace.
La solution de gestion des données nouvelle génération de Cohesity est efficace pour contrer l’exfiltration des données et permettre aux entreprises de ne pas payer de rançon. Elle est en effet alimentée par des informations issues de l’intelligence artificielle et du machine learning (IA/ML), qui permettent aux entreprises de détecter plus précisément les variations et de réduire les faux positifs sans augmenter le personnel.
Les entreprises informatiques peuvent tirer parti des solides capacités de sécurité des données intégrées à la plateforme Cohesity, notamment le chiffrement, le MFA, le RBAC et le Quorum, pour dissuader les cybercriminels et se protéger contre les menaces internes. Elles peuvent également bénéficier des techniques d’IA/ML que Cohesity utilise pour établir des correspondances avec des ensembles de données « connues et correctes », et le faire de manière plus efficace et efficiente, car les « données sensibles connues » sont mises en correspondance et renvoyées à l’algorithme d’IA/ML.
