Malgré des investissements technologiques importants ces derniers mois, les organisations restent vulnérables aux rançongiciels. Une vision trop restrictive de la cybersécurité et des infrastructures cloisonnées, qui entravent la collaboration entre les équipes sécurité et exploitation, notamment lors de la réponse aux incidents, expliquent cette persistance des risques, selon James Blake, VP stratégie cyber-résilience, Cohesity. Ses explications pour nos lecteurs.
Si les récents investissements ont permis d’améliorer la sécurité des infrastructures de sauvegarde (stockage immuable, Zero Trust) face aux menaces étatiques et aux rançongiciels, cela ne suffit plus. Beaucoup d’organisations sous-estiment l’ampleur des cyberattaques modernes et négligent, par manque de budget ou de priorisation, la mise en place de processus, d’intégrations et d’une responsabilité partagée. Des outils de cybersécurité performants ne suffiront pas à éradiquer les rançongiciels. En 2025, il sera crucial de s’attaquer à la racine du problème et de combler les lacunes en matière de préparation.
Aborder correctement la restauration des données et systèmes
De nombreuses organisations considèrent l’indisponibilité des systèmes due à une cyberattaque comme un simple problème de continuité d’activité et de reprise après sinistre. De fait, elles ne sollicitent que leur équipe informatique, et oublie d’impliquer l’équipe de sécurité. Or, contrairement aux incidents techniques classiques (catastrophe naturelle, erreur de configuration, panne de courant, défaillance matérielle) où les causes sont généralement identifiables et les procédures claires, les cyberattaques requièrent une approche différente.
Lors d’une cyberattaque, la situation est bien plus complexe. Les attaquants disposent d’un arsenal de techniques en constante évolution pour infiltrer les réseaux, obtenir des privilèges, contourner les défenses et voler, supprimer ou chiffrer des données. Auquel, bien que l’entreprise ait mis en place des procédures de restauration massive (corriger les failles, renforcer les contrôles, supprimer les emails d’hameçonnage, les comptes malveillants et autres mécanismes de persistance), il reste important d’analyser l’origine de l’incident et neutraliser la menace pour consolider leurs cyber-résilience.
De nombreux exemples montrent que des organisations ayant restauré leurs systèmes à plusieurs reprises ont été victimes de nouvelles attaques peu de temps après. Une analyse approfondie et une neutralisation de la menace sont donc essentielles.
Le manque de collaboration à l’origine des pertes de données
Tant que les équipes d’exploitation et de sécurité fonctionneront en silos, les incidents d’exploitation engendreront des pertes de temps, une pression accrue et des conséquences financières et réputationnelles importantes pour l’entreprise.
Une collaboration étroite est essentielle : l’équipe sécurité doit se concentrer sur l’analyse de l’incident et guider l’équipe informatique dans la reconstruction, la restauration et le nettoyage sécurisé des systèmes. Priorité absolue : rétablir rapidement et efficacement les canaux de communication et de collaboration,
puis assurer l’intégration transparente des plateformes de réponse et de restauration pour une efficacité optimale.
Les simulations de rançongiciels sur poste de travail ne sont plus suffisantes
Lors d’une cyberattaque majeure, les systèmes essentiels (communication, collaboration, réponse, restauration) peuvent être impactés, voire paralyser l’entreprise entière (accès aux bâtiments par exemple). Contacter les autorités devient impossible, clients et presse restent sans réponse, et la restauration des services hors production, faute de supports d’installation et configurations fiables, prend des jours. Inadmissible pour des services censés gérer l’enquête, l’atténuation, la restauration et la conformité !
Les analyses d’impact et simulations de rançongiciels doivent impérativement intégrer ces systèmes. Un “kit de survie numérique” isolé et sécurisé (configurations, outils, contacts, procédures) est indispensable pour permettre aux équipes de gérer la crise efficacement. Malgré l’investissement initial, cette approche permet un gain de temps considérable lors d’un incident, assurant une restauration plus rapide et sécurisée des systèmes critiques.
Les snapshots : ressources précieuses pour la détection d’incident
Envisager la sauvegarde et la restauration uniquement sous l’angle de la continuité d’activité, c’est négliger un atout précieux pour la cybersécurité : les snapshots. L’analyse de ces sauvegardes des systèmes par une IA permet de détecter efficacement les rançongiciels, les suppressions de données et les intrusions, rendant l’analyse criminalistique passive et indétectable par les attaquants. Même hors ligne, l’analyse rapide des systèmes et la récupération d’artefacts restent possibles. La classification des snapshots selon les données impactées facilite la gestion des obligations réglementaires. Intégrables aux solutions SIEM et SOAR, ces fonctionnalités, une fois déployées, offrent un potentiel considérable au DSI.
Abandonner ces mauvaises pratiques dès aujourd’hui, c’est gagner du temps, réduire le stress et les coûts, tout en assurant la conformité avec les réglementations comme DORA et NIS2.
