AVIS D’EXPERTS – Les entreprises peuvent-elles se permettre de mettre en péril la sécurité de leurs systèmes en se reposant uniquement sur la capacité de leurs collaborateurs à repérer les contenus rédigés par une intelligence artificielle, qui sont parfois indiscernables même aux yeux des experts du secteur ? Edwin Weijdema, Field CTO EMEA, Veeam, nous partage ici son point de vue.
La menace des ransomwares à laquelle font face les dirigeants d’entreprise n’est pas nouvelle. Tout le monde connaît désormais les recommandations de prudence face aux e-mails de phishing et les injonctions à ne pas cliquer sur des liens suspects. Pourtant, les capacités d’imitation très réaliste de conversations humaines grâce à des outils comme ChatGPT compliquent fortement la différenciation des e-mails sérieux comparés aux tentatives d’hameçonnage. Dans le contexte de renforcement du paysage de la cybercriminalité, et ce au-delà du monde de l’entreprise, pour attaquer des domaines tels que les infrastructures critiques ou la santé, de nombreuses personnes considèrent que les mesures de cybersécurité actuellement en place ne suffisent pas à se protéger contre les acteurs malveillants. Comment les entreprises peuvent-elles s’assurer d’être correctement préparées pour répondre aux menaces qui progressent et évoluent continuellement ?
Les attaques sont inévitables, il faut en avoir conscience
La première étape pour se préparer à faire face à ces menaces consiste à prendre conscience qu’une attaque est inévitable. Alors que 71 % des entreprises du monde entier ont été victimes en 2022 d’un ransomware sous une forme ou une autre, dans le monde actuel, il ne s’agit plus de savoir si ou quand, mais combien de fois une entreprise devra faire face à une incursion par ransomware. Les entreprises qui restent dans le déni n’en seront que plus exposées et leur reprise d’activité sera plus lente lorsqu’elles en seront victimes. La vitesse de restauration des systèmes et des données est un élément essentiel, car plus les systèmes demeurent inutilisables longtemps, plus les dommages que l’entreprise risque de subir sur ses finances et sa réputation sont importants. Les méthodes de défense cyber devraient, par conséquent, se concentrer sur le fait d’appliquer des méthodes de prévention des menaces, de remédiation et de reprise opérationnelle aussi rapides que possible. En effet, seules les entreprises capables de mettre en œuvre des stratégies de réponse et de reprise d’activité dès que l’attaque se produit seront en mesure de minimiser les dégâts.
Concevoir une parade qui intègre dès le départ la reprise d’activité après sinistre
Les équipes de cybersécurité au sein des entreprises sont soumises à une pression considérable dans le cadre de la lutte contre les ransomwares ; pourtant, leur travail et leur implication ne suffisent pas à protéger leur organisation contre ces menaces. Il est important de garder à l’esprit que les attaques ne peuvent tout simplement pas être contrées à la source et que la défense contre les ransomwares exige une combinaison de personnes, de processus et de technologies. L’univers du numérique peut paraître complexe – en particulier dans le cas de grandes entreprises –, il est donc utile de rappeler que le monde numérique n’est pas si différent du monde réel. Les mesures de protection numérique, tels que les systèmes d’application de correctifs, l’authentification multifactorielle, la protection des données et la lutte contre les menaces internes ont leurs équivalents dans le monde réel : des fenêtres ouvertes qui doivent être verrouillées la nuit, une porte d’entrée fermée à double tour, la mise au coffre d’objets et de documents précieux ou encore des intrusions dans un bâtiment par une porte ou une fenêtre ouverte. Cependant, même s’il essentiel de se reposer sur une combinaison de personnes, de processus et de technologies pour minimiser le nombre d’attaques qui réussissent à s’infiltrer dans les systèmes, certaines passeront inévitablement à travers les mailles du filet. C’est là que la reprise d’activité après sinistre entre en scène.
Mettre au point des stratégies de reprise d’activité
Si les sauvegardes de données robustes et sécurisées jouent un rôle essentiel dans la stratégie de reprise d’activité après une attaque par ransomware, elles ne sont pas le seul outil disponible. Les indicateurs de Recovery Time Objectives (RTO) et de Recovery Point Objectives (RPO) revêtent une importance fondamentale lorsqu’il s’agit de mettre au point des stratégies de reprise d’activité après sinistre. Ils permettent de quantifier les perturbations que l’entreprise est en mesure de tolérer. Le RTO représente la durée maximale durant laquelle une entreprise peut se permettre de ne pas accéder à ses données, tandis que le RPO désigne la quantité maximale de données qu’elle peut perdre sans que cela cause des dégâts irréversibles. Ces mesures du risque permettent aux entreprises de concevoir leur plan de reprise d’activité après sinistre et de quantifier la fréquence à laquelle les données doivent être sauvegardées ou la rapidité à laquelle il est nécessaire de remettre les systèmes en état de marche. Dans certains cas, la restauration des données peut prendre plusieurs mois. Certaines entreprises ne survivraient pas à un tel impact et, pour celles qui en sont capables, une telle perte de temps opérationnelle peut avoir un impact financier dévastateur. Par ailleurs, les longues périodes d’arrêt d’activité n’ont pas simplement des conséquences financières ; elles peuvent avoir des effets indésirables sur les opérations, ainsi que sur la confiance des collaborateurs, des clients et des autres parties prenantes. C’est pourquoi les plans de reprise d’activité doivent servir de processus fondamentaux au sein de la stratégie de protection des données de l’entreprise.
Le rôle de la sauvegarde est central
Pour atteindre l’objectif final d’une reprise d’activité rapide après une attaque par ransomware, il est capital de disposer d’une sauvegarde parfaitement sécurisée. Cela peut sembler facile, mais une sauvegarde incomplète ou qui contient trop d’éléments redondants ne fera que ralentir le processus de reprise d’activité, tandis que des copies d’ensembles de données inutilement volumineuses ou partielles peuvent créer des failles et se révéler problématiques en cas d’attaque. Afin de restaurer rapidement leurs systèmes, les entreprises doivent prendre le temps de déterminer quelles données sont essentielles à leur fonctionnement opérationnel et se montrer sélectives concernant ce qui doit être sauvegardé et comment. C’est pourquoi, en matière de sauvegarde, il faut s’en tenir à la règle qui repose sur le principe du 3-2-1-1-0. Chaque ensemble de données doit être copié trois fois, sauvegardé sur deux supports différents et une copie doit être conservée hors site. De plus, une copie incorruptible et immuable des données doit être hébergée sur un support hors ligne – afin qu’il soit impossible de l’atteindre et de la modifier – et enfin, ces copies ne doivent contenir aucune erreur. Les cybercriminels ciblent souvent les sauvegardes elles-mêmes, ce qui leur permet de contrôler des données cruciales et rend la restauration et la reprise d’activité impossibles pour les entreprises. Une sauvegarde immuable permet de prévenir toute altération des données, tandis que de multiples sauvegardes permettent de restaurer ces données plus rapidement, accélérant ainsi le processus de reprise d’activité.
Etat des lieux des conséquences et impacts
Si la reprise d’activité reste la priorité principale après une attaque par ransomware, il ne faut pas négliger d’autres impacts invisibles. En premier lieu, même si cela peut sembler évident, il ne faut pas oublier qu’une attaque par ransomware est une activité criminelle. Une enquête de police est menée dès qu’une attaque est signalée : les entreprises ne peuvent accéder à aucun de leurs systèmes infectés pendant qu’elle se déroule. C’est pourquoi il est vital de disposer de sauvegardes qui permettent d’accéder aux données sans avoir à se connecter à un serveur compromis afin d’assurer la poursuite des activités quotidienne ou « business-as-usual » pendant le processus de restauration. Afin de minimiser les dommages financiers et ceux portés à la réputation de l’entreprise, il est important de conserver une continuité de façade, même pendant la période de restauration de ces systèmes. Malheureusement, la protection et la sécurité des données ne connaissent pas de répit. Durant une enquête, les entreprises doivent également prendre des décisions concernant leurs modes de communication interne et externe. À cette étape du processus, les collaborateurs, les clients et les autres parties prenantes sont alors impliqués et doivent avoir été informés de la possibilité ou non d’accéder à tel ou tel système, du type de données compromises et de la manière dont cet incident peut avoir un impact sur les opérations à court et à long terme. Les stratégies les plus efficaces impliquent de communiquer au bon moment et de manière claire et honnête afin d’offrir le plus d’informations possibles, en particulier dans le cas où des données sensibles sont concernées. Disposer d’une vue d’ensemble claire des données considérées comme sensibles ou essentielles aux opérations de l’entreprise et savoir où elles se trouvent permet de garantir des communications détaillées et de prendre rapidement conscience de l’impact des attaques sur les opérations. Un autre coût caché des attaques par ransomware s’illustre dans la charge de travail supplémentaire qui revient aux personnes chargées de protéger la réputation et l’avenir de l’entreprise.
Edwin Weijdema, Field CTO EMEA, Veeam