Les attaques étant devenues monnaie courante, les CISO ont souvent la lourde tâche de maintenir les entreprises à l'écart des gros titres. Aucune solution n'offre une protection à 100 %. Ils doivent donc se concentrer sur la mise en place d'une cyber-résilience et d'une cyber-restauration pour aider les entreprises à se remettre sur pied après une attaque. Une restauration plus rapide minimise les interruptions, réduit les pertes financières et garantit la continuité des opérations. Comment les entreprises peuvent-elles se rétablir plus rapidement ? Découvrez-le.
Les entreprises travaillent aujourd'hui dans des scénarios à haut risque. De nombreux facteurs peuvent entraver une entreprise, qu'il s'agisse d'un conflit géopolitique ou d'un incident de sécurité. Le nombre d'initiatives pour une transformation numérique a explosé. Plus de 90 % des entreprises hébergent des données dans le cloud.1 Le revers de la médaille de l'accélération de la digitalisation est l'augmentation de la fréquence et de l'ampleur des attaques. Chaque jour, il y a environ 4000 attaques et toutes les 14 secondes2, une entreprise est touchée par une attaque par rançongiciel. Les entreprises doivent renforcer leurs mesures de cybersécurité pour contrer les cybermenaces.
Les entreprises devraient être préparées au pire à tout moment. L'ancien directeur du FBI Robert Mueller a dit un jour : « Il n'y a que deux types d'entreprises : celles qui ont déjà été piratées et celles qui le seront. »3 Cette affirmation est malheureusement toujours vraie. La menace se propageant comme une traînée de poudre, la possibilité d'une violation de la protection des données ou d'un piratage est devenue presque inévitable.
Selon un rapport de Gartner, d'ici 2025, environ 75 % des entreprises auront été confrontées à une ou plusieurs attaques, entraînant des interruptions d'activité et des temps d'arrêt.4 Les mesures de sécurité préventives sont importantes. Mais aucune solution ne garantit une protection à 100 % contre les attaques, surtout que les méthodes d'attaque deviennent de plus en plus sophistiquées. Les entreprises doivent détecter rapidement les cybermenaces et se remettre plus vite des attaques. Il n'est pas réaliste de lutter contre des menaces avancées et encore inconnues jusqu'à présent avec des moyens limités. Elles doivent mettre en place une cyber-résilience pour limiter les incidents et assurer la continuité de l'activité. Le développement de la cyber-résilience nécessite une approche stratégique. Ce blog traite de la manière dont les entreprises peuvent commencer à le faire.
Un élément clé dans la construction de la cyber-résilience est la cyber-restauration, une approche réactive après un incident. Les plans de cyber-restauration s'apparentent aux plans de reprise après sinistre qui ont pour objectif de restaurer les infrastructures informatiques et les données après des interruptions dues à des événements inattendus (événements politiques, catastrophes naturelles, guerres, etc.) Les solutions de cyber-restauration ne traitent que des cyber-incidents.
La restauration des systèmes, des données et des processus après une cyberattaque ou une violation des données est absolument critique pour toute entreprise. Des mesures de restauration efficaces peuvent réduire considérablement les conséquences de l'attaque et permettre de réaliser des économies. Le coût moyen de restauration supporté par les entreprises en 2023 était de 1,85 million de dollars US.5
Les pertes financières dues aux attaques augmentent chaque jour. Rien qu'en 2023, le montant des paiements liés aux rançongiciels a dépassé 1 milliard de dollars.6 Sur l'ensemble des incidents de sécurité, 24 % étaient liés à des rançongiciels. Le paiement de la rançon ne garantit toutefois pas la récupération de toutes les données. Selon un rapport de Gartner, en moyenne, seulement 65 % des données sont restituées après le paiement.7 En outre, les pirates par rançongiciels exigent le paiement en bitcoins et les transactions sont stockées sur le réseau Bitcoin qui est public. Par conséquent, la probabilité d'autres attaques de ce type augmente, car les criminels savent que l'entreprise concernée est prête à payer une rançon.
En tant que stratégie proactive, les entreprises doivent donc utiliser une solution de cyber-restauration qui leur donne un avantage. Les entreprises qui ont eu recours à des pratiques de protection des données ont dépensé environ 375 000 dollars pour la restauration après une attaque. Les entreprises qui n'avaient pas de sauvegarde de données ont payé une rançon de 750 000 dollars.
La sauvegarde des données permet à elle seule d'économiser environ 50 % du montant de la rançon, ce qui est considérable. 8 Selon certains rapports, un plan de réponse permet d'accélérer la restauration et d'économiser jusqu'à 1 million de dollars.9 Les entreprises disposant de plans de sauvegarde et de récupération subissent environ 96 % de conséquences financières en moins en cas d'attaque par rançongiciel.10 Nous allons voir ci-dessous comment les sauvegardes de données sont créées dans le cadre d'une approche de restauration.
Les sauvegardes de données offrent aux entreprises un filet de sécurité en cas d'attaque, car elles peuvent revenir à l'état antérieur à l'attaque après la restauration des données. Il est donc indispensable d'effectuer des sauvegardes - mais cela nécessite une stratégie. Aujourd'hui, les pirates savent que les entreprises créent des sauvegardes comme plan de secours et visent donc d'abord l'infrastructure correspondante. Par exemple, les attaques modernes par rançongiciel ne se contentent pas de chiffrer les systèmes, mais peuvent également cibler les mémoires de sauvegarde. Près de 97 % des attaques par rançongiciel ciblent les systèmes de sauvegarde.11 Le temps nécessaire pour lancer une attaque et demander une rançon est passé de plusieurs mois à quelques jours, d'où un besoin urgent d'une infrastructure sécurisée pour la sauvegarde des données.
Les entreprises doivent repenser leurs méthodes de sauvegarde traditionnelles afin de mettre en place un plan de cyber-restauration sûr. Voici comment procéder correctement :
Les sauvegardes créées doivent être optimisées afin d'être mieux utilisées en cas d'incident de sécurité. Pour cela, des plans de sauvegarde réguliers, la priorisation des données critiques et la réduction des besoins de stockage pour la sauvegarde grâce à la déduplication et à la compression, sont utiles. Les équipes chargées de la cybersécurité et de l'infrastructure devraient également mettre en place un environnement de restauration isolé (IRE, Isolated Recovery Environment). Il s'agit d'un environnement sécurisé et séparé, spécialement utilisé pour la restauration des systèmes, applications et données critiques. Cependant, la création d'une architecture IRE peut être un projet coûteux et chronophage.
Avant de procéder à la restauration, les équipes de sécurité doivent connaître la propagation de l'attaque, le type de menace et les systèmes attaqués. Après cette évaluation, la prochaine tâche est de contenir l'attaque. Dans le cas des rançongiciels, il est essentiel d'empêcher tout autre chiffrement. L'isolement des ressources ou des réseaux concernés est essentiel à cet égard. Ici, la segmentation permet d'isoler les réseaux concernés du reste et d'endiguer la propagation de l'attaque. Une fois que le point de restauration qui n'a pas été touché par l'attaque a été identifié, les données doivent être déplacées et intégrées à l'environnement de production afin de rétablir le fonctionnement. Les entreprises doivent évaluer si les outils de sécurité fonctionnent sans problème avec les données intégrées afin d'éviter de nouvelles pannes avant la synchronisation finale.
Les entreprises devraient évaluer les services de base qui sont les artères vitales de leur entreprise, et restaurer ces derniers en premier. Les services et applications restants peuvent être priorisés en fonction de leur importance pour l'entreprise. Pour restaurer rapidement les données et reconstruire les serveurs, il convient d'utiliser des modèles d'automatisation. L'objectif est de minimiser le temps de restauration, car chaque heure compte en cas d'incident de sécurité. Ces outils peuvent rationaliser les tâches de restauration et sont donc un facteur important pour une restauration plus rapide.
Les entreprises peuvent perdre jusqu'à 400 000 dollars US par heure à cause des pannes d'applications. Ce chiffre peut atteindre 1 million de dollars par heure.12 Certaines pannes peuvent entraîner des crises existentielles dans les petites et moyennes entreprises, qui ont des ressources limitées pour se remettre d'une cyberattaque. Par exemple, le Lincoln College, un établissement d'enseignement supérieur américain, a dû cesser ses activités après avoir été victime, pendant la pandémie de COVID 19 déjà difficile, d'une attaque par rançongiciel.13 L'établissement est resté fermé trois mois. Après le paiement de la rançon de 100 000 dollars, l'école n'a pas pu rattraper le temps perdu et a dû fermer en raison des pertes subies.
Les entreprises doivent chercher des moyens de reprendre les activités le plus rapidement possible afin de minimiser les pertes – mais la restauration ne peut être efficace que si les systèmes ne sont pas affectés par la menace de sécurité. Les experts en sécurité doivent examiner les données et les services restaurés dans des environnements isolés afin de confirmer l'élimination des menaces de rançongiciel. Ce contrôle peut être effectué à l'aide d'une détection basée sur les signatures et d'un outil IA/ML avancé afin de détecter les activités anormales et de vérifier de manière exhaustive le succès de la restauration. Il existe toutefois un risque que des logiciels malveillants attaquent à nouveau les systèmes restaurés. Les entreprises devraient donc envisager d'utiliser des logiciels de correction pour éliminer complètement les menaces de leurs systèmes. Il est également possible que des systèmes de sécurité obsolètes soient à l'origine de la cyberattaque. Dans ce cas, les équipes de sécurité doivent d'abord patcher et mettre à jour les systèmes avant de pouvoir les restaurer.
Après l'assainissement et le patching, l'étape suivante consiste à intégrer les systèmes restaurés dans l'environnement de production. Après l'intégration, le processus de validation permet de s'assurer que les applications et les données sont présentes et que les services fonctionnent comme prévu. Une fois que tout fonctionne, les équipes devraient se pencher à nouveau sur les problèmes de sécurité et travailler à leur résolution. Les serveurs et les données compromis doivent être analysés plus en détail afin de comprendre la cause et la méthode d'attaque. L'infrastructure doit être évaluée régulièrement et les systèmes obsolètes doivent être considérés comme des vulnérabilités potentielles. Les entreprises doivent savoir quelles applications ne sont plus prises en charge par le fabricant.
En matière de cyber-restauration, la mise en place d'un plan de réponse aux incidents est aussi importante que la création d'une infrastructure. Les différentes phases du plan de réponse aux incidents sont décrites ci-dessous :
Détection : La phase de détection consiste à identifier les signes d'un incident ou d'une violation de sécurité dans les systèmes ou les réseaux de l'entreprise. Il peut s'agir d'alertes provenant d'outils de sécurité, de comportements inhabituels du système ou de remarques de collaborateurs. L'objectif est de détecter immédiatement l'existence d'un incident et de mettre en place un processus de réaction. Les attaques par rançongiciel peuvent également être détectées par comparaison des signatures. Les algorithmes basés sur l'apprentissage automatique sont également un bon moyen de détecter les comportements anormaux. Les équipes de sécurité peuvent s'appuyer sur des outils tels que les filtres de recherche d'e-mails, les journaux web, les points finaux, les antivirus et les passerelles réseau pour détecter les systèmes compromis, l'exfiltration de données, les violations d'Active Directory, etc.
Analyse : Au cours de cette phase, l'équipe de réponse aux incidents examine la nature, l'étendue et les conséquences de l'incident de sécurité afin de déterminer les vulnérabilités, les méthodes d'attaque, les fichiers cryptés et les données exfiltrées. Cette action inclut la collecte de preuves, la réalisation d'analyses forensiques et l'évaluation de la gravité de la violation. L'objectif est d'obtenir une vue d'ensemble complète de l'incident et d'accélérer les mesures de confinement et de récupération.
Confinement : L'objectif de cette phase est de limiter la propagation et les conséquences de l'incident de sécurité. Il peut s'agir d'isoler les systèmes ou les réseaux concernés, de mettre en place des contrôles d'accès et de prendre des mesures de sécurité temporaires afin d'éviter d'autres dommages. Ici, l'objectif principal est d'éviter que l'incident ne s'étende pendant que les opérations de récupération sont en cours. Le confinement comprend la mise en quarantaine de tous les systèmes compromis, le blocage des comptes d'utilisateurs infectés, le blocage du trafic réseau, le changement des mots de passe et la communication continue avec les parties concernées - y compris les employés.
Eradication : Au cours de cette phase, l'équipe de réponse aux incidents s'efforce d'éliminer la cause de l'incident de sécurité dans les systèmes et les réseaux de l'entreprise. Il s'agit notamment de supprimer les malwares, de corriger les failles de sécurité et de mettre en place des contrôles de sécurité afin d'éviter des incidents similaires à l'avenir. L'objectif est d'éliminer toutes les menaces restantes et de remettre les systèmes concernés dans un état sûr.
Restauration : L'objectif de cette phase est de ramener les systèmes et les données concernés à un fonctionnement normal. Il peut s'agir de restaurer des sauvegardes, de réinstaller des logiciels et de reconfigurer des systèmes afin de garantir leur sécurité. L'objectif est de minimiser le temps d'arrêt, de rétablir l'activité commerciale et de revenir à la normale le plus rapidement possible. Les entreprises devraient garder à l'esprit certaines métriques comme le Recovery Point Objective (RPO) et le Recovery Time Objective (RTO). Le RPO est la quantité maximale de données qu'une entreprise peut perdre. Le RTO est le temps maximum nécessaire à une entreprise pour retrouver un fonctionnement normal après un incident.
Les entreprises qui disposent des outils de sécurité, des plans de réponse et des stratégies de restauration adéquats ne paniquent pas en cas d'incident de sécurité. Voici quelques-unes des solutions de sécurité que les entreprises devraient envisager pour mieux se préparer aux cybermenaces, les détecter et les combattre :
Il est souvent difficile pour une entreprise d'avoir une vue d'ensemble des outils de sécurité, de la situation en matière de sécurité, des vulnérabilités des systèmes et de l'état des menaces externes. T-Systems aide les entreprises à évaluer leur situation en matière de sécurité et à combler les lacunes. Nous sommes aux côtés des entreprises pour les aider à mettre en place des systèmes résistants grâce à des mesures de sécurité robustes et des stratégies de restauration efficaces. Contactez-nous pour développer une stratégie de sécurité pour votre entreprise avec nos experts.
1 Cloud Computing Study, 2023, Foundry
2 Attack Per Day Article, 2024, Astra
3 Types of Companies Article, 2018, Dynamic Business
4 Detect, Protect, Recover, 2021, Gartner
5 Ransomware Article, 2023, Security Intelligence
6 Total Ransomware Payments, 2024, SC Magazine
7 Ransomware Payment Article, 2021, Gartner
8 Cybercriminals and Ransomware Article, 2024, Firstpost
9 Guide to Ransomware, 2023, IBM
10 Disaster Recovery Statistics, 2024, Webinar Care
11 2022 Ransomware Trends Report, 2022, Veeam
12 Downtime Costs Article, 2023, Medium
13 Communiqué de presse, 2022, NPR
14 Impact of Cyber Recovery, 2023, Dell Technologies