Alors que les attaques au ransomware restent très régulières, la stratégie de la réponse rapide et efficace à l'incident semble au moins tout aussi importante que la protection et la sensibilisation en amont.
En France et dans le monde, le ransomware reste un fléau pour de nombreuses entreprises et organisations, et de multiples services publics comme les hôpitaux. La fréquence des attaques est si importante qu'il n'est jamais certain à 100 % de pouvoir éviter les pièges tendus par les cybercriminels. La question est aujourd'hui davantage de savoir comment et quand réagir. Pour Jean-Pierre Boushira, vice-président South EMEA, Benelux et Nordics de Veritas Technologies, « les actions menées durant la première heure qui suit une attaque sont cruciales ». Il explique pourquoi.
Ransomware : la première heure est déterminante
Durant l'heure suivant l'attaque, il est possible de contenir les dégâts et de limiter l'impact financier ainsi que les dégâts causés sur la réputation de l'entité frappée, mais aussi d'assurer une reprise d'activité qui puisse être rapide et efficace. « Ce laps de temps, particulièrement court, doit être consacré à deux actions clés si les entreprises veulent se tirer à bon compte d'une attaque », explique Jean-Pierre Boushira.
D'abord, il est impératif d'isoler les systèmes touchés par le rançongiciel du réseau. Cela évite la propagation du virus. Puis, il faut immédiatement mener une enquête afin de déterminer l'origine de la cyberattaque et ainsi comprendre s'il s'agit d'une faille humaine (c'est souvent le cas) ou technologique.
En théorie, les entreprises taillées pour lutter disposent d'un service IT avec des ressources humaines et matérielles suffisantes. Elles sont censées avoir la capacité de détecter au plus vite une attaque et disposer de solutions consacrées à la gestion des données. Elles « peuvent changer la donne », nous dit J-P Boushira, car elles permettent « d'isoler rapidement la source de la contamination et de lancer des restaurations ciblées, rapides et sécurisées ».
Aider les collaborateurs à devenir des lanceurs d'alerte, avec un gain de temps qui peut être déterminant
L'une des clés, c'est d'être paré à toute éventualité. Sensibiliser ses employés sur les e-mails de phishing et l'ingénierie sociale, c'est bien, mais largement insuffisant. « Une structure peut disposer d'autant d'outils qu'elle le souhaite, si l'ensemble des collaborateurs n'est pas mobilisé et/ou sensibilisé, ces efforts seront vains », souligne à juste titre Jean-Pierre Boushira. Il invite chaque organisation à instaurer une « culture de confiance » qui permettrait à chaque salarié de se muer en potentiel lanceur d'alerte en cas de détection d'une activité anormale ou tout simplement d'attaque. Tout gain de temps peut être salvateur.
Outre le facteur humain, il y a le facteur technologique. On pense aux solutions de gestion et de récupération de données, mais aussi aux solutions de protection qui servent des objectifs de visibilité, de sauvegarde et de support nécessaires. Par exemple, une vision de l'information en temps réel sur des espaces de stockage permet de détecter rapidement une attaque en cours.
Les sauvegardes vont « servir de filet de sécurité aux systèmes de prévention », sans que cela soit infaillible pour autant. Un système de sauvegarde doit rester résilient et fiable, et les canaux et méta-serveurs doivent communiquer entre eux de façon sécurisée. Ces dimensions « doivent être prises en compte dès la conception de l'architecture par les équipes IT », explique Jean-Pierre Boushira. « Sans quoi la fonctionnalité de restauration des données risque de ne pas être disponible » lors d'une attaque.
Source : Veritas Technologies
