Récupération suite à une attaque par ransomware

Qu’est-ce qu’une récupération suite à une attaque par ransomware ?

Une récupération suite à une attaque par ransomware est la capacité d’une entreprise à rétablir rapidement et de manière flexible l’accès à toutes les données que les pirates ont chiffrées et/ou volées à des fins lucratives. Dans le meilleur des cas, les entreprises récupèrent d’une attaque par ransomware avec confiance et à grande échelle, sans temps d’arrêt ni perte de données. Un plan efficace de récupération suite à une attaque par ransomware est de plus en plus un signe de la cyber-résilience d’une entreprise, de sa capacité à protéger en permanence ses données stratégiques et à maintenir des accords de niveau de service (SLA) exigeants.

Les principaux services et solutions de récupération suite à une attaque par ransomware sont dotés de capacités de gestion des données et de sécurité des données qui permettent aux équipes de restaurer rapidement de nombreuses sources de données différentes (machines virtuelles, grosses bases de données et larges volumes de données non structurées) à n’importe quel point dans le temps et vers n’importe quel emplacement. Ils utilisent également le machine learning (ML) pour garantir une récupération des snapshots complète et propre.

Pourquoi une récupération suite à une attaque par ransomware est-elle importante ?

Il est important d’avoir un logiciel et un plan de récupération suite à une attaque par ransomware, car les acteurs malveillants créent plus rapidement que jamais des logiciels malveillants pour attaquer les entreprises. La question n’est donc plus de savoir si une entreprise sera victime d’une violation ou d’une demande de rançon, mais quand elle le sera. 

Selon les plus grands experts en sécurité de Cybersecurity Ventures, une entreprise sera victime d’une attaque par ransomware toutes les deux secondes d’ici à 2031. C’est nettement plus fréquent que les prévisions des analystes, qui tablaient sur une fréquence de 11 secondes d’ici fin 2021.

La plupart des entreprises ne sont pas préparées à ce qui les attend. Dans une étude de l’ESG (Enterprise Strategy Group)on a demandé aux personnes interrogées si leurs délais de récupération réels respectaient leurs SLA prédéfinis. 78 % d’entre elles ont répondu ne pas pouvoir « toujours » atteindre leurs objectifs, et 33 % ont déclaré les atteindre « parfois » ou « rarement ».*

 Un logiciel efficace de récupération suite à une attaque par ransomware est important pour que les entreprises :

• Évitent les pertes de données et les temps d’arrêts : les ransomwares verrouillent les données stratégiques dont les entreprises ont besoin pour obtenir de nouvelles connaissances et maintenir la productivité des employés, la satisfaction des clients et le bon fonctionnement des opérations.
• Gardent la confiance des employés et des clients : les nouvelles règles de conformité et de l’industrie obligent de plus en plus les entreprises à informer leurs clients des intrusions. Cela crée un malaise chez les consommateurs, qui craignent que leurs données n’aient été exposées à des acteurs malveillants.
• Évitent un désastre financier : les entreprises qui n’ont pas de systèmes efficaces de récupération suite à une attaque par ransomware sont contraintes de payer des rançons exorbitantes aux pirates.
• Respectent la réglementation : les gouvernements du monde entier adoptent des lois sur la protection de la vie privée qui imposent de lourdes sanctions financières aux entreprises dont les données sont compromises.
• Conservent un avantage concurrentiel : les entreprises qui empêchent les cybercriminels de violer leurs systèmes et de voler leurs données peuvent continuer à protéger leurs secrets commerciaux et leur propriété intellectuelle.

*Source : Résultats de la grande enquête de l’ESG sur les SLA et les exigences de disponibilité dans le monde réel (en anglais), août 2020

Qu’est-ce qu’un plan de récupération suite à une attaque par ransomware, et votre entreprise en a-t-elle un ?

Un plan de récupération suite à une attaque par ransomware est un guide ou cadre stratégique et un ensemble d’opérations qui permettent aux entreprises de lutter contre les cybercriminels qui cherchent à perturber leurs activités. Les plans les plus efficaces de récupération suite à une attaque par ransomware s’attaquent à des ransomwares toujours plus puissants :

• Ransomware 1.0 : ces variantes ne ciblaient et ne chiffraient généralement que les données de production. Il suffisait de disposer de systèmes de sauvegarde robustes pour faire face à cette menace et ne pas payer de rançon, mais les pirates ont fini par se montrer plus audacieux. 
• Ransomware 2.0 : ces variantes s’attaquent violemment aux ensembles de données de sauvegarde hébergés sur des serveurs traditionnels et pris en charge par d’anciennes solutions de gestion des données. Les pirates demandent une rançon lorsque la sauvegarde est jugée inutilisable ou détruite.
• Ransomware 3.0 : cette nouvelle tactique consiste non seulement à chiffrer les données et les systèmes, mais aussi à exfiltrer les données, c’est-à-dire à les voler pour les divulguer si l’entreprise ne paie pas de rançon. 

Un plan efficace de préparation aux ransomwares comprend cinq actions clés que les entreprises peuvent mettre en œuvre pour lutter contre les ransomwares :

1. Protéger les données et le(s) système(s) de sauvegarde
2. Réduire les risques d’accès non autorisés
3. Voir et détecter les attaques pour stopper les intrusions
4. Renforcer l’état de la sécurité avec des intégrations et des API
5. Garantir une récupération rapide des données à grande échelle

Le fait que votre entreprise ne possède pas de plan de récupération suite à une attaque par ransomware alimenté par un outil de récupération des données est un désavantage concurrentiel important.

Les données visées par un ransomware peuvent-elles être récupérées ?

Oui. Les entreprises du monde entier ayant investi dans des solutions de gestion des données modernes qui intègrent une capacité de récupération en cas d’attaque par ransomware peuvent refuser de payer une rançon et récupérer leurs données.  

Après avoir été touché par un ransomware, le Sky Lakes Medical Center, par exemple, a cloné instantanément la dernière bonne sauvegarde de ses partages NAS et a servi ces fichiers directement à partir de sa solution de gestion des données, rétablissant ainsi le service aux utilisateurs sans avoir besoin de déplacer des données.

Combien de temps faut-il pour récupérer suite à une attaque par ransomware ?

Le temps que mettent les entreprises à récupérer suite à une attaque par ransomware est très variable, et dépend en grande partie des systèmes et des données qui ont été compromis. Une solution de gestion des données moderne peut permettre de restaurer quasi instantanément des fichiers ou bases de données uniques en cas d’attaque par ransomware. En cas de compromissions et de violations plus importantes, les entreprises peuvent avoir besoin de plusieurs heures, voire plusieurs jours de travail. Suite à une attaque par ransomware, le Sky Lakes Medical Center a déclaré que sa solution de récupération avait littéralement épargné des centaines d’heures de travail à l’équipe.

Quelle est la solution face aux ransomwares ?

La meilleure solution face aux ransomwares est d’adopter une plateforme moderne de gestion des données dotée de fonctionnalités avancées de protection des données, de sécurité, de défense et de récupération. Les logiciels de gestion des données les plus efficaces intègrent des snapshots inaltérables, la technologie WORM (write once, read many), le chiffrement des données, une isolation moderne des données, du machine learning pour détecter les anomalies, et une récupération rapide des données à grande échelle.

Que se passe-t-il si vous ne payez pas la rançon demandée par un ransomware ?

Les entreprises qui n’arrivent pas à protéger leurs données contre les ransomwares, ou qui n’instaurent pas un processus de récupération rapide suite à une attaque par ransomware, risquent de rencontrer un certain nombre de problèmes, notamment :

• Une perte de données et des temps d’arrêt
• Une perte de la confiance des clients et des employés
• Un désastre financier 
•  Des amendes pour non-respect des règlementations 
• Un désavantage concurrentiel

Quel est le coût journalier d’une récupération suite à une attaque par ransomware ?

Le coût journalier d’une récupération suite à une attaque par ransomware varie en fonction de l’ampleur de l’attaque et des données compromises. Les entreprises touchées par une attaque par ransomware doivent pourtant prendre en compte les coûts financiers (notamment la perte de revenus), la perte de productivité des employés et l’atteinte à la réputation de la marque lorsqu’elles évaluent la nécessité d’installer ou non un logiciel de récupération. 

Une étude de 2021 sur l’état des ransomwares a révélé que le coût total d’une récupération suite à une attaque par ransomware a plus que doublé en un an, passant de 761 106 euros en 2020 à 1,85 million d’euros en 2021. De plus, selon Cybersecurity Ventures, le coût mondial des dommages causés par les ransomwares devrait dépasser 265 milliards d’euros d’ici 2031.

Les entreprises peuvent-elles se remettre d’une attaque par ransomware ?

Oui, les entreprises de toutes tailles et de tous secteurs peuvent utiliser des outils de récupération de données pour récupérer suite à une attaque par ransomware et refuser en toute confiance de payer une rançon. Leur secret pour réussir à récupérer suite à une attaque par ransomware est d’utiliser une plateforme moderne de gestion des données dotée de capacités telles que l’isolation des données ou des snapshots inaltérables.

Comment créer un plan efficace de reprise après sinistre ?

Pour créer un plan efficace de reprise après sinistre (qui vise à restaurer les systèmes informatiques le plus rapidement possible suite à un évènement inattendu), il faut commencer par définir les éléments suivants :

• Les données et applications que l’entreprise doit protéger en priorité
• Les données à récupérer en priorité si les systèmes sont compromis
• Les accords de niveau de service (SLA) qui déterminent les délais de remise en service des systèmes clés auxquels les utilisateurs peuvent s’attendre
• Les objectifs de niveau de service (SLO) qui déterminent le temps d’arrêt d’une application ou de systèmes critiques qui est acceptable pour l’entreprise ou des parties prenantes spécifiques

Une fois le plan de reprise après sinistre en place, les équipes peuvent réfléchir à la manière de l’instrumenter pour contrer au mieux les attaques par ransomware qui se multiplient. Le meilleur logiciel de récupération suite à une attaque par ransomware (gestion des données moderne) est un moyen idéal d’orchestrer un nouveau plan de reprise après sinistre suite à une attaque par ransomware ou de mettre à jour un plan existant.

Les logiciels de récupération suite à une attaque par ransomware sont-ils efficaces ?

Oui. Un programme efficace de récupération suite à une attaque par ransomware repose sur un service moderne de gestion des données. Il doit inclure des fonctionnalités avancées de protection des données telles que des snapshots inaltérables, une sécurité des données robuste (notamment par chiffrement et WORM), une défense proactive des données basée sur des informations pilotées par l’IA, ainsi que des capacités de récupération des données rapides et à grande échelle.

À quelle fréquence faut-il récupérer suite à une attaque par ransomware ?

Les ransomwares peuvent attaquer à tout moment. Chaque entreprise a donc besoin d’un plan complet et proactif de préparation aux ransomwares et d’une solution qui lui permette de sauvegarder ses données et ses systèmes, de réduire les risques d’accès non autorisés, de voir et de détecter les attaques pour stopper les intrusions, de renforcer l’état de la sécurité avec des intégrations et des API, et de garantir une récupération rapide des données à grande échelle.

Cohesity et la récupération suite à une attaque par ransomware

Cohesity Data Cloud est une plateforme simple pour sécuriser et gérer vos données. Si le pire scénario se produit et que l’attaque par ransomware réussit, Data Cloud permet aux entreprises de reprendre rapidement leurs activités grâce à des capacités logicielles de récupération et de gestion des données critiques, notamment :

• Une récupération instantanée à grande échelle : la plateforme de Cohesity permet aux équipes d’exploiter des snapshots inaltérables (ou immuables) pour restaurer rapidement des centaines de machines virtuelles, de grosses bases de données ou de larges volumes de données non structurées instantanément, à grande échelle, à n’importe quel point de sauvegarde dans le temps et vers n’importe quel emplacement
• Une récupération propre : la solution Cohesity aide les entreprises à identifier les snapshots compromis. Elle inclut un moteur intégré de machine learning qui recommande la dernière copie propre connue des données. Les entreprises savent ainsi quand effectuer la restauration, et que les données des snapshots ne contiennent pas d’anomalies ni de menaces potentielles de cybersécurité. Cela permet d’accélérer les temps de récupération et de garantir qu’aucun malware potentiel n’est réinjecté dans l’environnement de production
• Une récupération sur place : le service de récupération suite à une attaque par ransomware dans le cloud hybride de Cohesity (également disponible pour le déploiement de logiciels sur site), récupère les données directement sur place sur la même plateforme, sans que les entreprises n’aient à mettre en service un autre serveur ou une nouvelle base de données, ce qui leur permet de gagner du temps et de l’argent