En cas de ransomware, la première heure après l’attaque est décisive

La fréquence des attaques par ransomware est telle, que pour la plupart des entreprises la question n’est plus de savoir si une attaque va se produire, mais de savoir quand et comment réagir. Les actions menées durant la première heure qui suit une attaque est cruciale pour contenir les dégâts, limiter les coûts financiers, l’impact sur la réputation et assurer une reprise d’activité rapide et efficace.

Expert - Jean-Pierre Boushira, Vice President South EMEA, Benelux & Nordics, Veritas Technologies

Agir vite pour limiter les pertes

Ce laps de temps de la première heure, particulièrement court, doit être consacré à deux actions clés si les entreprises veulent se tirer à bon compte d’une attaque : rapidement isoler les systèmes infectés du réseau pour éviter toute propagation, enquêter pour déterminer l’origine de l’attaque et comprendre si la faille est humaine et/ou technologique.

Dans un scénario idéal, les entreprises qui disposent d’un service IT avec des ressources matérielles et humaines suffisantes sont prêtes à faire face aux cybermenaces et ont la capacité de détecter rapidement une attaque lorsqu’elle survient. Parmi les outils mis en place pour se défendre, des solutions telles que celles dédiées à la gestion des données peuvent changer la donne, car elles permettraient d’isoler rapidement la source de la contamination et de lancer des restaurations ciblées, rapides et sécurisées. Ces fonctionnalités ont d’ailleurs pour objectif d’aider les entreprises à reprendre leurs activités tout en limitant les temps d’arrêt.

Une bonne partie de la résilience d’une entreprise réside dans sa capacité à se préparer à toute éventualité. Mais au cours de cette phase, un pan reste bien trop souvent négligé : le facteur humain. Une structure peut disposer d’autant d’outils qu’elle le souhaite, si l’ensemble des collaborateurs n’est pas mobilisé et/ou sensibilisé, ces efforts seront vains. Ainsi, faire de chaque salarié un lanceur d’alerte potentiel est essentiel pour contenir une cyberattaque. En instaurant une culture de la confiance, l’entreprise peut limiter les risques que les salariés ne gardent l’information pour eux s’ils détectent des activités anormales ou encore une cyberattaque. S’ils font le signalement rapidement, cela peut contribuer à limiter les dégâts.

Les qualités des solutions déployées sont essentielles

Bien entendu, le facteur technologique joue un rôle non négligeable dans la protection des entreprises. Pour être efficaces à H+1, les solutions de protection, de gestion et de récupération des données mises en place doivent permettre la visibilité, la sauvegarde et le support aux solutions pures de protection. Ces trois qualités constituent les piliers nécessaires pour que cette technologie reste efficace et pertinente.

Une vision globale de l’information – en continu et en temps réel, sur les différents espaces de stockage de l’entreprise permet de détecter rapidement une attaque en cours et d’activer les stratégies de réponses proactives adéquates. La mise en corrélation des informations partagées par les services de surveillance et d’analyse des menaces participe à la réduction du temps de réponse aux attaques, voire de les prévenir.

De leur côté, les sauvegardes vont servir de filet de sécurité aux systèmes de prévention qui, comme tous systèmes, ne sont pas infaillibles. Elles aideront notamment les entreprises à rebondir et à relancer leurs activités avec le moins de pertes possible. Tout système de sauvegarde doit faire preuve de résilience et rester fiable. De leur côté, les canaux et les méta-serveurs doivent communiquer entre eux de manière sécurisée pour que l’ensemble reste cohérent. Ces dimensions doivent être prises en compte dès la conception de l’architecture par les équipes IT, sans quoi la fonctionnalité de restauration des données risque de ne pas être disponible au moment crucial – autrement dit au cours d’une attaque.

Enfin, les systèmes de stockage dits « immuables » ajoutent une couche de sécurité supplémentaire à la protection des données sauvegardées. Bien qu’ils soient, par nature, extrêmement résilients, toute solution de gestion des données performante se doit d’offrir ce type de canal pour l’archivage des sauvegardes.

Il n’y a pas de secret : les entreprises ne peuvent pas se permettre de perdre du temps ni d’être prises au dépourvu lesquelles subissent une attaque par ransomware. Elles doivent se préparer en amont et mettre en place des processus efficaces si elles veulent maximiser leurs chances de limiter les dégâts et de reprendre leurs activités rapidement. Face à une menace dont les effets peuvent être particulièrement dévastateurs à court et moyen termes, la tendance est définitivement à la prudence et à la prévention.

à lire