Limiter les risques liés aux ransomwares

Les institutions de services de santé détiennent des informations hautement sensibles sur des pans entiers de la population, telles que les noms et les adresses des patients, mais aussi tous les détails de leurs dossiers médicaux. Ces derniers représentent donc une cible privilégiée des attaques par ransomware, qui se sont intensifiées en raison de la pandémie de Covid-19, selon une analyse du cabinet KPMG de mai 2020.

Face à cet enjeu majeur, Veeam et CFI Groupe ont publié en fin d'année un guide pratique pour «  » [1]. Rick Vanover, directeur principal de la stratégie Produits de Veeam, y présente plusieurs méthodes et détaille les étapes pratiques permettant aux entreprises de protéger leurs données et d’éviter d’être victimes d’attaques par ransomware.

Télécharger le guide ici :  

Un enjeu vital

Les cybercriminels profitent de graves brèches dans la gestion des données personnelles qui peuvent faire la différence en termes de vie ou de mort. L’enjeu, notamment dans le contexte de la crise sanitaire actuelle, n’a jamais été aussi important pour les services de santé, tant sur le plan de l’implémentation que de l’exécution de stratégies efficaces pour gérer les données.

En effet, tout manquement rend les SI vulnérables aux attaques par ransomware et peut avoir des conséquences durables dans la vie des clients et des patients. La menace des ransomwares est extrêmement complexe et crée une responsabilité considérable pour les entreprises.

Il n’en reste pas moins que des mesures peuvent être prises pour limiter les risques dès le départ par la conception d’infrastructures IT sécurisées résistant aux attaques par ransomware et assurant la disponibilité permanente des données critiques. Ces stratégies permettent de configurer les solutions pour rétablir une exploitation normale après l’intrusion d’un ransomware, mais d’autres outils ou techniques peuvent aussi parer à cette menace.

D’abord la détection des menaces 

La première étape est de détecter la provenance des ransomwares, de les identifier et de déterminer ce que les équipes IT peuvent faire pour diminuer la probabilité qu’une attaque réussisse. Plusieurs étapes sont ainsi nécessaires pour limiter les risques accrus d’attaque : évaluer les menaces de phishing, supprimer les vecteurs d’attaque les plus fréquents, maintenir les systèmes et les logiciels à jour.

Si les méthodes de piratage sont nombreuses, trois principaux mécanismes d’intrusion ont été identifiés :

• Les serveurs Remote Desktop Protocol (RDP), dont certains sont encore directement connectés à Internet ;
• Les mises à jour logicielles, où il faut suivre particulièrement les catégories critiques d’actifs IT (systèmes d’exploitation, applications, bases de données, firmware de périphériques) ;
• Les classiques e-mails de phishing, pour lesquels des outils d’évaluation existent.

Puis l’implémentation

En matière d’incidents liés aux ransomwares, la résilience dépend de la manière dont l’équipe informatique implémente la solution de sauvegarde, du comportement de la menace elle-même et de la procédure de correction. La mise en place de l’infrastructure de sauvegarde constitue une étape critique. Veeam préconise des recommandations d’implémentation.

Tout d’abord, l’éditeur conseille la règle du 3-2-1 pour la gestion des données : trois exemplaires au moins des données importantes, sur au moins deux différents types de support, dont un au moins situé hors site. Le maintien d’une copie ultrarésiliente, entièrement isolée, hors ligne ou inaltérable est ainsi assuré.

Différentes solutions de Veeam atténuent les risques liés aux ransomwares, notamment en protégeant, en plus des datacenters, les terminaux, postes fixes, ordinateurs portables et tablettes, de même que la création de sauvegardes NAS avec différentes options de restauration, partielle ou totale.

La détection précoce des menaces limite les dommages potentiels. Veeam a implémenté deux techniques de détection : la première alerte en cas d’activité probable d’un ransomware, et la seconde en cas de taille d’incrément suspecte. Pour augmenter la résilience aux ransomwares et aux menaces internes, les experts de Veeam recommandent également le chiffrement en prenant en charge les tâches de sauvegarde, de copie des sauvegardes et de sauvegarde sur bande, la sauvegarde par VeeamZip et le chiffrement des bandes.

Par ailleurs, l’investissement dans l’automatisation est conseillé comme arme supplémentaire, notamment pour la correction, où l’infrastructure d’origine peut être compromise. Dans tous les cas, la possibilité de créer une plateforme entièrement nouvelle sur laquelle restaurer au moyen de l’automatisation offre un intérêt majeur. Enfin, la protection de l’environnement de sauvegarde est essentielle au regard des données stratégiques qu’il contient.

Et enfin la procédure de correction

Malgré tout, le pire des scénarios peut advenir. Les principales recommandations de Veeam consistent à ne verser aucune rançon et à se concentrer sur la restauration, complète ou du fichier selon les options, après avoir réuni les conditions favorables.

Élaborer un plan de communication constitue une priorité souvent négligée pour gérer efficacement la crise. De même, déterminer en amont la chaîne décisionnelle et disposer, en réponse aux incidents, d’une liste d’experts en sécurité et en gestion des identités, prêts à être contactés en cas de besoin, s’avèrent indispensables.

Veeam organise à cet égard un groupe spécial de support pour guider dans la restauration à partir des sauvegardes sécurisées afin de ne pas réintroduire de menace. Enfin, la réinitialisation des mots de passe à grande échelle limitera la surface de propagation des menaces.

La sensibilisation, de même qu’une technologie et un support appropriés permettent de maintenir la sécurité des données internes et celle des clients. Ces stratégies contribuent à augmenter la résilience aux ransomwares tout en évitant les pertes de données, les préjudices financiers, les atteintes à la notoriété de l’entreprise ainsi que de nombreux autres dommages.

[1]