Touché par un ransomware ? De nombreuses entreprises décident de payer afin de récupérer leurs données, mais l’attaquant n’est pas toujours honnête. La solution selon Daniel Model, responsable senior des techniques de vente pour l’Europe chez Acronis ? Une stratégie de sauvegarde bien établie pour restaurer son système et ses données.
Les ransomwares ont évolué au fil du temps, dans leur mode opératoire notamment, même si leur objectif reste invariable : extorquer les entreprises et les particuliers. Après Zerolocker, Cryptowall et Sypeng en 2014, est apparu CTB-Locker (Changed Block Tracker), premier programme à exiger des rançons en Bitcoins, quasiment impossibles à tracer. Depuis février 2016, c’est Locky qui se propage à toute vitesse, usant d’un large éventail d’approches. Ces programmes malveillants s’attaquent aussi bien aux systèmes sous Windows que sous Mac. McAfee en dénombre 155 % de plus chaque trimestre en moyenne ; une prolifération qui devrait s’accélérer encore, avec des méthodes de plus en plus agressives et dangereuses.
Les utilisateurs dont le système a été infecté par un logiciel de demande de rançon voient généralement apparaître un message leur annonçant que toutes leurs données ont été chiffrées et qu’ils n’obtiendront le code de déchiffrage qu’après avoir versé la somme indiquée. Certaines versions menacent également de supprimer définitivement les données si les utilisateurs ne procèdent pas au paiement. Mais céder au chantage ne règle pas nécessairement le problème, de nombreuses victimes n’ont jamais récupéré leurs données une fois la rançon payée.
Ces attaques peuvent avoir des effets dévastateurs, en particulier pour les établissements hospitaliers, les administrations ou les grandes sociétés privées, comme les institutions financières, les fournisseurs d’accès à Internet ou encore les entreprises du secteur alimentaire. Aussi la majorité des victimes préfère-t-elle payer dans l’espoir de rétablir au plus vite l’accès à ses systèmes.
La solution : une stratégie de sauvegarde bien ficelée
Le meilleur moyen de se prémunir contre cette forme de chantage est encore la sauvegarde. Mais créer une copie de toutes les données ne suffit pas. Pour contrer efficacement ce type de cybermenaces, il faut mettre en place une véritable stratégie de sauvegarde, qui prévoit notamment la restauration des données après sinistre. Pour cela, il est essentiel de suivre la règle du 3-2-1, à savoir : conserver trois copies des données, les stocker sur deux types de supports (disque dur local et Cloud privé, par exemple) et garder une copie des données hors site, pour parer à toute éventualité, comme les incendies, inondations et autres sinistres qui risqueraient d’endommager les copies du site principal.
Les sauvegardes doivent être chiffrées et conservées hors site (dans le Cloud, sur des supports amovibles, etc.) pour empêcher toute tentative d’exploitation par des hackers ou des programmes malveillants. Les sauvegardes externalisées présentent toutefois un inconvénient : elles ne peuvent pas être actualisées de manière incrémentielle et sont donc souvent moins complètes que les sauvegardes locales ou dans le Cloud. Au mieux, elles sont programmées toutes les semaines, au pire une fois par mois seulement.
La sauvegarde locale et dans le Cloud permet de disposer de données plus actuelles. Mais en cas d’attaque par un logiciel de demande de rançon, les copies locales peuvent être infectées dès lors que le système de sauvegarde est connecté au même réseau que le système infiltré.
La sauvegarde dans le Cloud, désormais incontournable
S’il est possible de restaurer des systèmes de production et de sauvegarde locale infectés par un logiciel de demande de rançon grâce à des sauvegardes de données externes, l’opération peut prendre un certain temps, sans compter que les données risquent de ne pas être complètement à jour. Ces problèmes ne se posent pas avec les sauvegardes dans le Cloud, qui offrent par ailleurs toutes les garanties de sécurité nécessaires.
Certaines solutions permettent aux utilisateurs de copier leurs données dans le Cloud en toute simplicité et d’assurer la restauration automatisée des données, en sélectionnant la méthode de sauvegarde optimale selon l’emplacement des données de chaque système.
En cas de sinistre, les utilisateurs peuvent récupérer leurs données numériques via une connexion réseau ou les transférer vers un disque dur si les volumes sont trop conséquents, pour les restaurer rapidement, indépendamment de la capacité réseau disponible.
Les tests : une étape aussi indispensable que la planification et la sauvegarde
Le succès d’une restauration repose entièrement sur la qualité des sauvegardes ou du plan de sauvegarde, laquelle ne peut être garantie qu’après des tests rigoureux. Que de particuliers et même d’entreprises négligent cette étape, qu’ils jugent trop fastidieuse et compliquée à planifier. Les tests sont pourtant essentiels pour s’assurer de sauvegarder toutes les données nécessaires et de pouvoir les exploiter en cas de sinistre. Cela vaut autant pour les données stockées en local que dans le Cloud.
Certaines solutions de sauvegarde permettent d’ailleurs d’automatiser ces tests. En plus de contrôler la lisibilité des informations sauvegardées, ce type de solution procède également aux tests de restauration recommandés par les experts, pour vérifier l’intégrité des données sauvegardées. L’avantage de ces tests automatisés, en particulier pour les PME, est qu’ils ne requièrent pour ainsi dire aucune ressource supplémentaire.
En se dotant d’une stratégie de sauvegarde à la fois locale et dans le Cloud, obéissant à des règles prédéfinies et dont l’efficacité peut être testée, les entreprises et particuliers n’auront plus à craindre les logiciels de demande de rançon. Mieux vaut parfois une « ancienne » méthode correctement planifiée, mise en œuvre et testée pour venir à bout des menaces les plus récentes. En cas d’infection par un ransomware, il suffira à l’administrateur IT de déconnecter tous les systèmes du réseau, d’identifier ceux infectés et de les restaurer à l’aide de sauvegardes non corrompues