Contrairement aux désastres naturels, les cyberattaques peuvent affecter simultanément tous les sites et systèmes connectés d’une entreprise. Dans bien des cas, la capacité de récupération à partir des sauvegardes est la dernière ligne de défense contre des pertes catastrophiques. Découvrez les 5 principaux problèmes des sauvegardes face aux menaces modernes.
Les stratégies de sauvegardes traditionnelles ne fonctionnent plus
Historiquement, les infrastructures de sauvegarde étaient conçues pour répondre à un ou plusieurs des scénarios suivants :
- Restauration d’un fichier, serveur, base de données en réponse à un incident isolé (corruption, panne matérielle, destruction involontaire d’un document).
- Récupération après un sinistre qui affecte un site ou salle serveur (incendie, catastrophe naturelle)
- Archivage des données à long terme en fonction des exigences réglementaires (informations financières, qualité ou traçabilité).
Les sauvegardes pour ces besoins sont habituellement basées sur la règle 3-2-1 : trois copies des données (production + deux sauvegardes), stockées sur deux types de supports différents et une copie située à un autre emplacement.
Le problème est que cette approche suppose que tout événement de destruction ou corruption de données sera géographiquement limité. Avec les attaques de ransomwares, cette hypothèse ne tient plus. Il est temps de moderniser vos stratégies sauvegardes face aux nouvelles menaces.
Les problèmes des sauvegardes face aux menaces modernes
1. Vos sauvegardes ne sont pas correctement protégées
Les ransomwares peuvent infecter les postes de travail et les serveurs sur toutes les zones géographiques dès l’instant qu’ils sont connectés au même réseau. Les cybercriminels ciblent prioritairement les systèmes de sauvegarde pour les détruire avant de déployer les routines de chiffrement. Ils utilisent vos outils d’administration et vos consoles de gestion pour mener leur attaque. Dans une organisation non préparée, il est facile pour les attaquants de supprimer les sauvegardes avant de lancer une attaque de ransomware. Les victimes se retrouvent alors sans solution pour récupérer leurs données et sont plus susceptibles de payer la rançon.
Exemple : Après une intrusion initiale dans le réseau d’un cabinet comptable, les attaquants ont déployé des efforts importants pour détruire les sauvegardes. Ils savent qu’en cas du succès, le potentiel d’une attaque de ransomware est très élevé. Ils ont la certitude que l’entreprise va payer la rançon pour restaurer ses données.
2. Vous n’êtes pas préparé à effectuer une restauration générale
Jusqu’à récemment, il était impensable qu’une organisation puisse perdre d’un coup toutes ses données sur l’ensemble des sites. Aujourd’hui, même si les sauvegardes sont intègres, les entreprises ne savent pas comment restaurer leurs systèmes dans le bon ordre, sans causer des impacts opérationnels majeurs.
Exemple : Un hôpital est victime d’une cyberattaque et se trouve dans l’impossibilité de restaurer ses systèmes de radiologie. En effet, les serveurs de radiologie ne fonctionnent pas correctement sans la base de données des dossiers patients. Toutefois, la restauration des dossiers patients nécessite que certaines bases de données d’imagerie médicale soient fonctionnelles en premier.
3. Vos sauvegardes ne couvrent pas la totalité de vos systèmes
Vos systèmes critiques sont sauvegardés avec succès, mais les systèmes secondaires dont ils dépendent ont été négligés. Dans plusieurs cas, l’accès au système de sauvegarde repose sur la disponibilité du domaine Active Directory. Malheureusement, les contrôleurs de domaine ne peuvent être restaurés qu’à partir (vous l’aurez deviné !) des systèmes de sauvegarde en question.
Exemple : Une entreprise manufacturière sauvegarde et teste rigoureusement la restauration du système de planification de la production (ERP). Toutefois, le serveur Active Directory, indispensable au fonctionnement de l’infrastructure n’a jamais fait l’objet d’un test de restauration grandeur nature. Le jour venu, l’équipe informatique est dans l’impossibilité de restaurer ce système essentiel. Elle doit alors passer par une étape de reconstruction longue et complexe.
4. Vous êtes dans l’impossibilité de restaurer vos sauvegardes
Plusieurs organisations se rendent compte que les mots de passe et les clés de chiffrement pour accéder aux sauvegardes ont été détruits par le ransomware. Parfois, il arrive que le catalogue ou l’indexation des supports de sauvegarde ne soient pas inclus dans les sauvegardes elles-mêmes.
Exemple : Un cabinet médical protège ses sauvegardes sur bandes avec des clés de chiffrement. Toutefois, à la suite d’une attaque de ransomware, les clés de chiffrement qui sont enregistrées par la solution de sauvegarde ont été détruites par l’attaquant. Bien que les sauvegardes soient intègres, l’entreprise ne peut plus y accéder.
5. Vos systèmes restaurés à partir des sauvegardes sont compromis ou vulnérables
Les attaquants exploitent des vulnérabilités et persistent parfois dans votre environnement pendant des mois. Il est alors possible que les systèmes restaurés à partir de sauvegardes récentes soient compromis. En restaurant ces systèmes, vous restaurez aussi les vulnérabilités et les éléments malicieux persistants qui ont été utilisés par l’attaquant. Toute restauration de systèmes devrait passer par une étape de décontamination et d’éradication de la menace dans une zone de quarantaine.
Exemple : Suite à une attaque de ransomware, une université a rapidement restauré l’ensemble de ses systèmes et données à partir des dernières sauvegardes. Comme l’opération a été un succès, le directeur de l’établissement a refusé de payer la rançon. Quelques semaines plus tard, les cybercriminels ont réussi à se réintroduire dans l’environnement informatique. Ils ont utilisé une porte dérobée qui avait été placée lors de la première attaque. Celle-ci s’est retrouvée incluse dans les systèmes sauvegardés, puis restaurée en production.