La crise sanitaire n’a pas eu pour effet de voir le nombre de cyberattaques baisser, bien au contraire. En ces temps de confinement où le télétravail est devenu critique à la survie des entreprises, celles-ci doivent pouvoir compter sur leurs sauvegardes en cas de coup dur.
La sauvegarde, c’est un peu le dernier filet de sécurité, lorsque toutes les solutions de protection ont échoué et qu’il faut rebâtir le système d’information après une attaque. Les attaques de ransomware se sont multipliées ces derniers mois et on l’a vu lors des attaques d’AP-HP, de la Mairie de Marseille, Essilor, Bretagne Telecom, nul n’est à l’abri. En cas de ransomwares, après avoir éradiqué l’attaque elle-même, tous le PCA repose sur la fiabilité des sauvegardes qui vont permettre de reconstituer le système d’information dans l’état où il se trouvait avant le raid. Une méthode de remédiation bien connue des attaquants dont le premier souci est de détruire ces sauvegardes, souligne Gabriel Ferreira, directeur technique de Pure Storage France : “Les ransomwares attaquent désormais en priorité les sauvegardes afin de mettre à mal l’entreprise et les contraindre à payer la rançon. Quand un malware s’introduit dans les systèmes, celui-ci cherche à faire une cartographie du système d’information afin de repérer les systèmes de sauvegarde et en chiffrer les contenus, il repère ensuite les serveurs Active Directory pour que l’équipe IT ait des difficultés à se connecter sur les systèmes puis le ransomware s’attaque aux postes de travail et aux serveurs en fin de chaîne.” Si les sauvegardes sont chiffrées, impossible pour l’équipe informatique d’appliquer son PCA et de restaurer les données, or l’expert souligne qu’une stratégie de protection qui s’appuie uniquement sur la protection contre les failles de sécurité est vouée à l’échec car l’entreprise ne sera jamais à l’abri d’une attaque portant sur un système non patché.
“La première chose qu’attaque un ransomware aujourd’hui, ce sont les sauvegardes”
Le télétravail, facteur aggravant de risque pour les données
Ce risque est d’autant plus élevé actuellement où les entreprises sont contraintes par les événements et doivent laisser des collaborateurs accéder au système d’information de l’entreprise via un VPN au moyen de postes domestiques peu sécurisés, comme l’explique Luc D’Urso, CEO de l’éditeur spécialisé en solutions de sauvegarde Atempo : “Le recours massif au télétravail est un facteur de risque à plusieurs niveaux. D’une part, les collaborateurs sont amenés à utiliser leur ordinateur personnel pour se connecter. Ce sont des machines parfois peu utilisées avec des logiciels qui ne sont pas à jour en termes de patch de sécurité. De ce fait, ce sont des vecteurs potentiels de contamination. C’est la raison pour laquelle nous offrons la solution anti-malware YooShield afin de détecter ces failles de sécurité. Un deuxième facteur, c’est le mode de connexion. Les données peuvent être captées lors de l’échange. Le logiciel de sauvegarde va chiffrer la donnée pour que celles-ci ne puissent être exploitées. Enfin, les ressources humaines IT sont mobilisées pour le maintien en conditions opérationnelles du système d’information et peu disponibles pour faire de l’assistance auprès des télétravailleurs qui pourraient être confrontés à un ransomware. La solution de sauvegarde doit être suffisamment simple à utiliser pour que l’utilisateur puisse restaurer son poste de manière autonome.”
“Multiplication et sophistication des attaques, SI hybrides : jamais les infrastructures de sauvegarde n’ont été aussi importantes”
Pour accompagner les entreprises dans cette crise sans précédent, Atempo a pris deux initiatives. D’une part, l’éditeur offre un nombre illimité d’agents de sauvegarde à ses clients, un moyen d’équiper rapidement tous les postes en télétravail d’un outil de sauvegarde. Cette mesure a permis d’accroitre de 33 % le nombre d’agents de sauvegarde déployés. D’autre part, Atempo participe à l’opération Open Solidarity. “Nous avons souhaité être solidaires au-delà de notre parc clients et proposer une offre de backup incluant l’hébergement des données. Nous nous sommes associés à OVH dans le cadre de l’offre Open Solidarity. OVH offre l’hébergement et nous offrons la solution de sauvegarde Lina Cloud Backup à toutes les organisations publiques ou privées sur toute la durée de la crise.”
Vers une nécessaire rénovation des infrastructures de sauvegarde ?
Si la sauvegarde était considérée comme un dernier recours et bien souvent négligée par les entreprises davantage tournées vers la recherche de compétitivité et l’innovation, cette crise sanitaire mais aussi cette recrudescence d’attaques de ransomware pourrait bien leur faire reconsidérer leur position vis-à-vis de leurs infrastructures de sauvegarde. Pure Storage milite ainsi pour des infrastructures de sauvegarde “Full-Flash” beaucoup plus performantes que les architectures à base de disques à forte capacité, voire de bandes magnétiques comme il en existe toujours : “Les systèmes de sauvegarde en place privilégient souvent la phase de sauvegarde à la restauration elle-même. Les disques magnétiques sont très limités lorsqu’il s’agit de délivrer des accès concurrentiels et récupérer rapidement les données.” Les infrastructures full-flash traînent toujours l’image de solutions de stockage trop onéreuses pour les dédiée aux sauvegardes. “Les mémoires flash ont fait des progrès considérables et, en moins de 10 ans, le coût du gigaoctet a été divisé par 40” réplique Gabriel Ferreira. “Pure Storage est actuellement l’un des seuls fournisseurs à mettre en avant la technologie QLC (Quad-Level Cell), des mémoires certes plus lentes que les anciennes générations de mémoire flash, mais très capacitives, bien adaptées à un usage massivement parallèle, peu énergivores et très durables.” En outre, le fournisseur prône pour des systèmes de stockage capable d’évoluer dans le temps en continu, une approche “evergreen” de plus en plus adoptée par les constructeurs et dans laquelle les équipements sont régulièrement mis à jour sans qu’ils doivent sacrifier des investissements déjà consentis. Une optique d’IT durable qui se place en opposition aux systèmes de stockage classiques qui devaient être remplacés tous les 3 à 5 ans.
Quant à la crainte que ces équipements de stockage haute performance soit eux aussi attaqués par le ransomware, Luc d’Urso souligne observer un renouveau de la bande magnétique, un moyen plutôt “old school” mais qui permet de disposer de moyens de sauvegarde important et inaccessibles des ransomwares. “C’est la seule parade trouvée par bon nombre d’entreprises pour conserver leurs données hors du réseau.” Face à cette problématique de sécurité absolument critique dans le choix d’une solution de sauvegarde, Pure Store implémente la technique des snapshots SafeMode, une approche qui rend les données sauvegardées immuables et potentiellement inaccessibles aux ransomwares. Enfin, tout système de sauvegarde moderne doit pouvoir envoyer des copies de ses snapshots en dehors du système d’information, notamment dans le Cloud pour pallier toute déconvenue.
Auteur : Alain Clapaud