T-Systems-Claim-Logo
Rechercher
Des hommes d'affaires discutent d'une stratégie de cyber-restauration

Pourquoi les entreprises ont besoin d'une stratégie de cyber-restauration

Découvrez comment une stratégie de cyber-restauration robuste peut aider les entreprises à revenir rapidement à la normale après une attaque

19. juin 2024Dheeraj Rawal

Le contexte

Les attaques étant devenues monnaie courante, les CISO ont souvent la lourde tâche de maintenir les entreprises à l'écart des gros titres. Aucune solution n'offre une protection à 100 %. Ils doivent donc se concentrer sur la mise en place d'une cyber-résilience et d'une cyber-restauration pour aider les entreprises à se remettre sur pied après une attaque. Une restauration plus rapide minimise les interruptions, réduit les pertes financières et garantit la continuité des opérations. Comment les entreprises peuvent-elles se rétablir plus rapidement ? Découvrez-le.

La sombre réalité des cyberattaques

Les entreprises travaillent aujourd'hui dans des scénarios à haut risque. De nombreux facteurs peuvent entraver une entreprise, qu'il s'agisse d'un conflit géopolitique ou d'un incident de sécurité. Le nombre d'initiatives pour une transformation numérique a explosé. Plus de 90 % des entreprises hébergent des données dans le cloud.1 Le revers de la médaille de l'accélération de la digitalisation est l'augmentation de la fréquence et de l'ampleur des attaques. Chaque jour, il y a environ 4000 attaques et toutes les 14 secondes2, une entreprise est touchée par une attaque par rançongiciel. Les entreprises doivent renforcer leurs mesures de cybersécurité pour contrer les cybermenaces.

Soit piraté, soit naïf

Les entreprises devraient être préparées au pire à tout moment. L'ancien directeur du FBI Robert Mueller a dit un jour : « Il n'y a que deux types d'entreprises : celles qui ont déjà été piratées et celles qui le seront. »3 Cette affirmation est malheureusement toujours vraie. La menace se propageant comme une traînée de poudre, la possibilité d'une violation de la protection des données ou d'un piratage est devenue presque inévitable.

Les entreprises ont besoin de cyber-résilience

Selon un rapport de Gartner, d'ici 2025, environ 75 % des entreprises auront été confrontées à une ou plusieurs attaques, entraînant des interruptions d'activité et des temps d'arrêt.4 Les mesures de sécurité préventives sont importantes. Mais aucune solution ne garantit une protection à 100 % contre les attaques, surtout que les méthodes d'attaque deviennent de plus en plus sophistiquées. Les entreprises doivent détecter rapidement les cybermenaces et se remettre plus vite des attaques. Il n'est pas réaliste de lutter contre des menaces avancées et encore inconnues jusqu'à présent avec des moyens limités. Elles doivent mettre en place une cyber-résilience pour limiter les incidents et assurer la continuité de l'activité. Le développement de la cyber-résilience nécessite une approche stratégique. Ce blog traite de la manière dont les entreprises peuvent commencer à le faire.

La cyber-restauration comme dernière ligne de défense

Expert en logiciels travaillant dans le domaine de la cybersécurité

Un élément clé dans la construction de la cyber-résilience est la cyber-restauration, une approche réactive après un incident. Les plans de cyber-restauration s'apparentent aux plans de reprise après sinistre qui ont pour objectif de restaurer les infrastructures informatiques et les données après des interruptions dues à des événements inattendus (événements politiques, catastrophes naturelles, guerres, etc.) Les solutions de cyber-restauration ne traitent que des cyber-incidents.

La restauration des systèmes, des données et des processus après une cyberattaque ou une violation des données est absolument critique pour toute entreprise. Des mesures de restauration efficaces peuvent réduire considérablement les conséquences de l'attaque et permettre de réaliser des économies. Le coût moyen de restauration supporté par les entreprises en 2023 était de 1,85 million de dollars US.5

Les pertes financières augmentent

Les pertes financières dues aux attaques augmentent chaque jour. Rien qu'en 2023, le montant des paiements liés aux rançongiciels a dépassé 1 milliard de dollars.6 Sur l'ensemble des incidents de sécurité, 24 % étaient liés à des rançongiciels. Le paiement de la rançon ne garantit toutefois pas la récupération de toutes les données. Selon un rapport de Gartner, en moyenne, seulement 65 % des données sont restituées après le paiement.7 En outre, les pirates par rançongiciels exigent le paiement en bitcoins et les transactions sont stockées sur le réseau Bitcoin qui est public. Par conséquent, la probabilité d'autres attaques de ce type augmente, car les criminels savent que l'entreprise concernée est prête à payer une rançon. 

La nécessité d'une stratégie à long terme

En tant que stratégie proactive, les entreprises doivent donc utiliser une solution de cyber-restauration qui leur donne un avantage. Les entreprises qui ont eu recours à des pratiques de protection des données ont dépensé environ 375 000 dollars pour la restauration après une attaque. Les entreprises qui n'avaient pas de sauvegarde de données ont payé une rançon de 750 000 dollars.

La sauvegarde des données permet à elle seule d'économiser environ 50 % du montant de la rançon, ce qui est considérable. 8 Selon certains rapports, un plan de réponse permet d'accélérer la restauration et d'économiser jusqu'à 1 million de dollars.9 Les entreprises disposant de plans de sauvegarde et de récupération subissent environ 96 % de conséquences financières en moins en cas d'attaque par rançongiciel.10 Nous allons voir ci-dessous comment les sauvegardes de données sont créées dans le cadre d'une approche de restauration.

Les sauvegardes de données sont la base de la restauration

Les sauvegardes de données offrent aux entreprises un filet de sécurité en cas d'attaque, car elles peuvent revenir à l'état antérieur à l'attaque après la restauration des données. Il est donc indispensable d'effectuer des sauvegardes - mais cela nécessite une stratégie. Aujourd'hui, les pirates savent que les entreprises créent des sauvegardes comme plan de secours et visent donc d'abord l'infrastructure correspondante. Par exemple, les attaques modernes par rançongiciel ne se contentent pas de chiffrer les systèmes, mais peuvent également cibler les mémoires de sauvegarde. Près de 97 % des attaques par rançongiciel ciblent les systèmes de sauvegarde.11 Le temps nécessaire pour lancer une attaque et demander une rançon est passé de plusieurs mois à quelques jours, d'où un besoin urgent d'une infrastructure sécurisée pour la sauvegarde des données.

Comment développer une stratégie de sécurisation des infrastructures

Les entreprises doivent repenser leurs méthodes de sauvegarde traditionnelles afin de mettre en place un plan de cyber-restauration sûr. Voici comment procéder correctement :

  1. Créez une infrastructure de stockage des sauvegardes, idéalement protégée contre les attaques graves par plusieurs couches de sécurité.
  2. Assurez-vous que plusieurs copies des sauvegardes sont conservées à différents endroits, dans le meilleur des cas selon la règle 3:2:1 pour la sauvegarde des données. Une copie doit servir de copie de sauvegarde primaire sur le site, la deuxième doit se trouver à un autre endroit, par exemple dans le cloud, et la dernière doit être une copie hors ligne sur un support externe. Plusieurs sauvegardes servent de plan de secours et garantissent la disponibilité des données pendant la phase de restauration.
  3. Les sauvegardes devraient également être dotées de fonctions d'intelligence artificielle (IA) afin de détecter les modèles anormaux et d'alerter les équipes d'administration ou de sécurité lorsqu'ils se produisent.
  4. Les entreprises devraient également envisager de créer des sauvegardes inaltérables, que personne ne peut modifier ou supprimer. Les sauvegardes inaltérables peuvent aider à restaurer des données antérieures à l'attaque qui n'ont pas été touchées par des infections ou des logiciels malveillants. Des réseaux à architecture air-gap peuvent être créés pour isoler les infrastructures critiques des réseaux non sécurisés ou à risque.

Optimisation supplémentaire des sauvegardes

Les sauvegardes créées doivent être optimisées afin d'être mieux utilisées en cas d'incident de sécurité. Pour cela, des plans de sauvegarde réguliers, la priorisation des données critiques et la réduction des besoins de stockage pour la sauvegarde grâce à la déduplication et à la compression, sont utiles. Les équipes chargées de la cybersécurité et de l'infrastructure devraient également mettre en place un environnement de restauration isolé (IRE, Isolated Recovery Environment). Il s'agit d'un environnement sécurisé et séparé, spécialement utilisé pour la restauration des systèmes, applications et données critiques. Cependant, la création d'une architecture IRE peut être un projet coûteux et chronophage.

Ce que vous devez savoir avant la restauration

Une équipe de sécurité travaille sur les cyberattaques sur des ordinateurs portables

Avant de procéder à la restauration, les équipes de sécurité doivent connaître la propagation de l'attaque, le type de menace et les systèmes attaqués. Après cette évaluation, la prochaine tâche est de contenir l'attaque. Dans le cas des rançongiciels, il est essentiel d'empêcher tout autre chiffrement. L'isolement des ressources ou des réseaux concernés est essentiel à cet égard. Ici, la segmentation permet d'isoler les réseaux concernés du reste et d'endiguer la propagation de l'attaque. Une fois que le point de restauration qui n'a pas été touché par l'attaque a été identifié, les données doivent être déplacées et intégrées à l'environnement de production afin de rétablir le fonctionnement. Les entreprises doivent évaluer si les outils de sécurité fonctionnent sans problème avec les données intégrées afin d'éviter de nouvelles pannes avant la synchronisation finale.

Chaque heure compte

Les entreprises devraient évaluer les services de base qui sont les artères vitales de leur entreprise, et restaurer ces derniers en premier. Les services et applications restants peuvent être priorisés en fonction de leur importance pour l'entreprise. Pour restaurer rapidement les données et reconstruire les serveurs, il convient d'utiliser des modèles d'automatisation. L'objectif est de minimiser le temps de restauration, car chaque heure compte en cas d'incident de sécurité. Ces outils peuvent rationaliser les tâches de restauration et sont donc un facteur important pour une restauration plus rapide.

Les attaques peuvent conduire à des crises existentielles

Les entreprises peuvent perdre jusqu'à 400 000 dollars US par heure à cause des pannes d'applications. Ce chiffre peut atteindre 1 million de dollars par heure.12 Certaines pannes peuvent entraîner des crises existentielles dans les petites et moyennes entreprises, qui ont des ressources limitées pour se remettre d'une cyberattaque. Par exemple, le Lincoln College, un établissement d'enseignement supérieur américain, a dû cesser ses activités après avoir été victime, pendant la pandémie de COVID 19 déjà difficile, d'une attaque par rançongiciel.13 L'établissement est resté fermé trois mois. Après le paiement de la rançon de 100 000 dollars, l'école n'a pas pu rattraper le temps perdu et a dû fermer en raison des pertes subies. 

Assainissement avant restauration

Les entreprises doivent chercher des moyens de reprendre les activités le plus rapidement possible afin de minimiser les pertes – mais la restauration ne peut être efficace que si les systèmes ne sont pas affectés par la menace de sécurité. Les experts en sécurité doivent examiner les données et les services restaurés dans des environnements isolés afin de confirmer l'élimination des menaces de rançongiciel. Ce contrôle peut être effectué à l'aide d'une détection basée sur les signatures et d'un outil IA/ML avancé afin de détecter les activités anormales et de vérifier de manière exhaustive le succès de la restauration. Il existe toutefois un risque que des logiciels malveillants attaquent à nouveau les systèmes restaurés. Les entreprises devraient donc envisager d'utiliser des logiciels de correction pour éliminer complètement les menaces de leurs systèmes. Il est également possible que des systèmes de sécurité obsolètes soient à l'origine de la cyberattaque. Dans ce cas, les équipes de sécurité doivent d'abord patcher et mettre à jour les systèmes avant de pouvoir les restaurer.

Restauration du système

Après l'assainissement et le patching, l'étape suivante consiste à intégrer les systèmes restaurés dans l'environnement de production. Après l'intégration, le processus de validation permet de s'assurer que les applications et les données sont présentes et que les services fonctionnent comme prévu. Une fois que tout fonctionne, les équipes devraient se pencher à nouveau sur les problèmes de sécurité et travailler à leur résolution. Les serveurs et les données compromis doivent être analysés plus en détail afin de comprendre la cause et la méthode d'attaque. L'infrastructure doit être évaluée régulièrement et les systèmes obsolètes doivent être considérés comme des vulnérabilités potentielles. Les entreprises doivent savoir quelles applications ne sont plus prises en charge par le fabricant.

Une stratégie de cyber-restauration pour votre entreprise

Nous avons une grande expérience dans l'aide aux entreprises pour la mise en place de mesures de sécurité robustes. Nous nous ferons un plaisir de vous aider à développer une stratégie efficace de cyber-restauration et de cyber-résilience.

Élaboration d'un plan de réponse aux incidents (Incident Response Plan)

En matière de cyber-restauration, la mise en place d'un plan de réponse aux incidents est aussi importante que la création d'une infrastructure. Les différentes phases du plan de réponse aux incidents sont décrites ci-dessous :

Détection : La phase de détection consiste à identifier les signes d'un incident ou d'une violation de sécurité dans les systèmes ou les réseaux de l'entreprise. Il peut s'agir d'alertes provenant d'outils de sécurité, de comportements inhabituels du système ou de remarques de collaborateurs. L'objectif est de détecter immédiatement l'existence d'un incident et de mettre en place un processus de réaction. Les attaques par rançongiciel peuvent également être détectées par comparaison des signatures. Les algorithmes basés sur l'apprentissage automatique sont également un bon moyen de détecter les comportements anormaux. Les équipes de sécurité peuvent s'appuyer sur des outils tels que les filtres de recherche d'e-mails, les journaux web, les points finaux, les antivirus et les passerelles réseau pour détecter les systèmes compromis, l'exfiltration de données, les violations d'Active Directory, etc.

Analyse : Au cours de cette phase, l'équipe de réponse aux incidents examine la nature, l'étendue et les conséquences de l'incident de sécurité afin de déterminer les vulnérabilités, les méthodes d'attaque, les fichiers cryptés et les données exfiltrées. Cette action inclut la collecte de preuves, la réalisation d'analyses forensiques et l'évaluation de la gravité de la violation. L'objectif est d'obtenir une vue d'ensemble complète de l'incident et d'accélérer les mesures de confinement et de récupération.

Confinement : L'objectif de cette phase est de limiter la propagation et les conséquences de l'incident de sécurité. Il peut s'agir d'isoler les systèmes ou les réseaux concernés, de mettre en place des contrôles d'accès et de prendre des mesures de sécurité temporaires afin d'éviter d'autres dommages. Ici, l'objectif principal est d'éviter que l'incident ne s'étende pendant que les opérations de récupération sont en cours. Le confinement comprend la mise en quarantaine de tous les systèmes compromis, le blocage des comptes d'utilisateurs infectés, le blocage du trafic réseau, le changement des mots de passe et la communication continue avec les parties concernées - y compris les employés.

Eradication : Au cours de cette phase, l'équipe de réponse aux incidents s'efforce d'éliminer la cause de l'incident de sécurité dans les systèmes et les réseaux de l'entreprise. Il s'agit notamment de supprimer les malwares, de corriger les failles de sécurité et de mettre en place des contrôles de sécurité afin d'éviter des incidents similaires à l'avenir. L'objectif est d'éliminer toutes les menaces restantes et de remettre les systèmes concernés dans un état sûr.

Restauration : L'objectif de cette phase est de ramener les systèmes et les données concernés à un fonctionnement normal. Il peut s'agir de restaurer des sauvegardes, de réinstaller des logiciels et de reconfigurer des systèmes afin de garantir leur sécurité. L'objectif est de minimiser le temps d'arrêt, de rétablir l'activité commerciale et de revenir à la normale le plus rapidement possible. Les entreprises devraient garder à l'esprit certaines métriques comme le Recovery Point Objective (RPO) et le Recovery Time Objective (RTO). Le RPO est la quantité maximale de données qu'une entreprise peut perdre. Le RTO est le temps maximum nécessaire à une entreprise pour retrouver un fonctionnement normal après un incident.

Avantages d'une stratégie de cyber-restauration

  1. Assurer la continuité des activités : Une entreprise résiliente dotée d'un plan de restauration s'assure des temps d'arrêt réduits et une activité commerciale ininterrompue. Les entreprises disposant d'une solution de récupération de données réduisent les temps d'arrêt de 75 %.14
  2. Réduction des conséquences financières : Si les temps d'arrêt et les pertes de données sont limités, les coûts financiers liés à la cyberattaque, les coûts de productivité, les amendes administratives et les dommages à l'image de marque sont également réduits.
  3. Amélioration de la conformité : Les entreprises peuvent se conformer aux exigences réglementaires et aux normes du secteur grâce à des mesures de restauration.
  4. Augmentation de la confiance des clients : Démontrer que des mesures de sécurité et de restauration ont été mises en place pour protéger les données est l'un des meilleurs moyens de gagner la confiance des clients et de s'assurer un avantage concurrentiel sur le marché.
  5. Amélioration de la réaction aux incidents : Un affinement régulier des directives et des contrôles de sécurité permet une réaction rapide et coordonnée qui minimise les conséquences d'une cyberattaque.
  6. Minimisation de la durée de restauration : La simplification du processus de restauration à l'aide de la technologie d'automatisation contribue également à une restauration plus rapide et à une réduction des pertes financières.

Comment améliorer la résilience et la restauration

Les entreprises qui disposent des outils de sécurité, des plans de réponse et des stratégies de restauration adéquats ne paniquent pas en cas d'incident de sécurité. Voici quelques-unes des solutions de sécurité que les entreprises devraient envisager pour mieux se préparer aux cybermenaces, les détecter et les combattre :

  • Passerelles de messagerie sécurisées : Filtrez les e-mails malveillants et réduisez les attaques de phishing.
  • Détection des points finaux et réaction : Surveillez en permanence les activités suspectes sur les points finaux et réagissez aux menaces en temps réel.
  • Solution de sécurité par tromperie : Utilisez des leurres pour attirer les pirates dans le piège et détecter les accès non autorisés dès le début.
  • Détection des menaces sur le réseau : Analysez le trafic de données afin de détecter les activités malveillantes et les menaces potentielles.
  • Segmentation du réseau : La micro-segmentation permet de diviser les réseaux en segments plus petits, auxquels sont appliqués différents contrôles de sécurité. Limitez la liberté de mouvement des pirates et limitez les dégâts.
  • Secure Access Service Edge (SASE) : SASE réduit la surface d'attaque en offrant un accès sécurisé aux ressources de l'entreprise.
  • Test d'intrusion de sécurité : Testez votre infrastructure en simulant des attaques réelles et trouvez les vulnérabilités avant que les pirates n'y parviennent.
  • Gestion des vulnérabilités : Identifiez les vulnérabilités, définissez des priorités et remédiez-y afin de réduire la surface d'attaque.
  • Gestion centralisée des journaux : Synthétisez et analysez les journaux de différentes sources afin de détecter les incidents de sécurité et de soutenir les enquêtes forensiques.
  • Gestion des identités et des accès : Gérez les identités des utilisateurs et contrôlez l'accès aux ressources sensibles afin d'éviter tout accès non autorisé.
  • Authentification multi-facteurs : Ajoutez une couche de sécurité supplémentaire aux processus d'authentification des utilisateurs et réduisez ainsi le risque d'accès non autorisé.

Nous pouvons aider votre entreprise à mettre en place une stratégie de résilience.

Il est souvent difficile pour une entreprise d'avoir une vue d'ensemble des outils de sécurité, de la situation en matière de sécurité, des vulnérabilités des systèmes et de l'état des menaces externes. T-Systems aide les entreprises à évaluer leur situation en matière de sécurité et à combler les lacunes. Nous sommes aux côtés des entreprises pour les aider à mettre en place des systèmes résistants grâce à des mesures de sécurité robustes et des stratégies de restauration efficaces. Contactez-nous pour développer une stratégie de sécurité pour votre entreprise avec nos experts.

Informations sur l’auteur
Dheeraj Rawal

Dheeraj Rawal

Spécialiste en marketing de contenu, T-Systems International GmbH

Voir le profil et tous les articles

Cela pourrait également vous intéresser 

Vous recherchez une stratégie de cyber-restauration ? Nous sommes là pour vous aider !

Nous pouvons vous aider à développer une stratégie de cybersécurité, de cyber-résilience et de cyber-restauration. Contactez-nous dès aujourd'hui.

1 Cloud Computing Study, 2023, Foundry
2 Attack Per Day Article, 2024, Astra
3 Types of Companies Article, 2018, Dynamic Business
4 Detect, Protect, Recover, 2021, Gartner
5 Ransomware Article, 2023, Security Intelligence
6 Total Ransomware Payments, 2024, SC Magazine
7 Ransomware Payment Article, 2021, Gartner
8 Cybercriminals and Ransomware Article, 2024, Firstpost
9 Guide to Ransomware, 2023, IBM
10 Disaster Recovery Statistics, 2024, Webinar Care
11 2022 Ransomware Trends Report, 2022, Veeam
12 Downtime Costs Article, 2023, Medium
13 Communiqué de presse, 2022, NPR
14 Impact of Cyber Recovery, 2023, Dell Technologies

Do you visit t-systems.com outside of France? Visit the local website for more information and offers for your country.