Agglotv.com

Les hackers sont entrés, et maintenant ?

Par Jean-Pierre Boushira, VP South, Benelux, and Nordics chez Veritas Technologies

À l’heure actuelle, toute entreprise devrait partir du principe que les hackers ont déjà infiltré leurs systèmes ou pourraient facilement y accéder dans un avenir proche. Il est évident que les cybercriminels avertis parviennent depuis un certain temps déjà à déjouer les meilleurs systèmes établis comme première ligne de défense. Leur stratégie est intelligente : faire profil bas et rester cachés. Pourquoi ? Leur priorité absolue est d’observer et d’apprendre, dans le but de déceler les potentielles faiblesses et d’exploiter les vulnérabilités en attendant le moment idéal pour frapper. Bien entendu, les hackers continueront de se perfectionner et de développer des technologies pour devenir plus difficiles à détecter ou ne plus être détectables. Quelle est alors la prochaine étape pour les entreprises ?

Autrefois, les rançongiciels étaient introduits dans un système, procédaient à son chiffrement et téléchargeaient tout ce qu’ils pouvaient avant de disparaître sans déclencher la moindre alerte. Mais depuis, leurs méthodes ont évolué, et les hackers s’inspirent désormais du crime organisé pour sévir. Grâce à des techniques comme la cyber-reconnaissance – un repérage des lieux, les hackers vont et viennent à leur guise de sorte d’infliger le maximum de dégâts. Appelée « ransomware dormant », cette technique est désormais un phénomène courant dans le monde numérique.

De manière générale, les hackers souhaitent causer le plus de dégâts possibles afin de maximiser leurs efforts et améliorer le retour sur investissement. D’après de récentes sources, certains ransomwares resteraient parfois en sommeil pendant près de 18 mois. Pour les acteurs malveillants, il s’agit de ne pas laisser d’autre choix aux entreprises que de payer la rançon. L’époque où violations et attaques allaient de pair est révolue depuis longtemps. Cette complexification des processus d’attaque souligne le fait que les hackers connaissent souvent les systèmes et ont conscience que l’utilisation d’une série d’évènements destinée à perturber – ou à stopper les activités, leur donnera plus de chances de toucher le pactole.

Dans ce cas, que faire pour combattre cette nouvelle stratégie de ransomware dormant ? La bonne nouvelle est que certaines pratiques et technologies aident à détecter les menaces avant que les hackers ne puissent passer à l’action. De plus, des stratégies destinées à réduire la surface d’attaque et à empêcher les perturbations/arrêts à grande échelle s’avèrent être des approches plutôt efficaces.

Apporter une nouvelle visibilité sur l’infrastructure et les données

Les attaquants recherchent les failles, autrement dit les zones où la sécurité/la surveillance restent limitées. Pour cette raison, il est donc essentiel de mettre en place des outils qui permettent d’avoir de la visibilité sur l’ensemble de l’infrastructure et de faire la lumière sur les potentielles zones grises/dark data de l’environnement. D’après de récentes recherches, 35 % des données seraient encore des dark data. Identifier leurs données et déterminer leur lieu de stockage au plus vite pour lutter contre ce phénomène est donc largement recommandé aux entreprises.

En plus d’assurer une très bonne visibilité sur l’ensemble de l’infrastructure, il est également vital de disposer d’une documentation claire (papier) décrivant l’environnement – avec la description des procédures et des configurations. L’absence de détails peut empêcher les entreprises de mener la récupération à bien et de relancer leurs activités rapidement après une attaque. L’entreprise devrait conserver ces documents dans un coffre et les vérifier/mettre à jour régulièrement.

Protéger toutes les données, quelles que soient leurs sources

Une fois que l’entreprise a identifié ses données provenant de l’ensemble des sources à disposition, il lui est possible de les protéger grâce à plusieurs couches de protection destinées à non seulement réduire la surface d’attaque mais aussi à limiter l’accès. Après s’être introduits dans un environnement, les cybercriminels recherchent souvent des informations confidentielles ou des identifiants de connexion qui leur permettront de se déplacer latéralement, ou encore à accéder aux systèmes de sauvegarde pour empêcher toute tentative de récupération. Pour limiter ce type de risques, l’entreprise peut dans un premier temps limiter les accès prodigués par un jeu d’identifiant/mot de passe mais aussi s’assurer qu’un administrateur unique n’ait pas accès à l’ensemble de l’infrastructure. En outre, il est important de verrouiller ou de limiter l’accès des cadres – qui sont souvent des cibles faciles, mais aussi les privilèges des administrateurs, en particulier pour les sauvegardes. La pratique courante consiste à adopter une approche Zero Trust pour l’ensemble de l’environnement et de mettre en œuvre un système MFA et RBAC.

Il est également important de segmenter ou de micro-segmenter le réseau en plusieurs sous-réseaux afin de veiller à ce que l’accès – notamment aux données critiques, soit géré et limité. L’important est de limiter les possibilités de déplacement des hackers une fois dans le système. Il convient de faire preuve de créativité, de mettre en place un système adapté aux besoins et aux exigences en matière de sécurité. Il est conseillé aux entreprises de créer un réseau cloisonné qui ressemble au réseau de production mais tout en ayant des paramètres d’identification différents. De plus, elles ne devraient rien partager avec leur réseau de production en dehors de l’accès au stockage immuable. Dans le même ordre d’idées, il est important d’utiliser des solutions dites Air Gap, de garder fonctions vitales de l’infrastructure en dehors du Web et de stocker les configurations des services clés comme la sauvegarde, le réseau et les services d’authentification, hors d’atteinte.

Mettez en place un stockage immuable et indélébile disposant de fonctionnalités dites Air Gap

Une méthode efficace pour protéger les données consiste à mettre en œuvre un stockage immuable et indélébile, qui garantit que les données ne peuvent pas être modifiées, cryptées ou supprimées pendant une durée déterminée ou de façon permanente. De plus, il est recommandé d’initier une stratégie de sauvegarde dite 3-2-1+1 qui consiste à effectuer au moins trois copies des données, d’avoir au moins deux types de supports distincts (disque dur/cloud), au moins une copie hors site ou séparée des données, et au moins une sur un stockage immuable. Un autre protocole de sécurité d’intérêt consiste à créer un Air Gap, c’est-à-dire à établir une séparation physique ou une isolation des dispositifs, systèmes, réseaux, etc. Il peut s’agir de matériel, de logiciels et de solutions d’Air Gap établis dans le cloud.

Détecter les activités anormales et analyser les logiciels malveillants

Ensuite, les entreprises devraient mettre en œuvre des outils qui permettent de détecter les comportements ou activités anormaux, tant au niveau des données que des utilisateurs. En clair, il s’agit d’instaurer des mesures concrètes et automatisées afin d’alerter les équipes si quelque chose se produit au sein de l’environnement. Il peut s’agir d’une activité inhabituelle d’écriture de fichiers qui pourrait indiquer une infiltration, mais aussi la détection d’extensions de fichiers de ransomware connues, etc. Il est essentiel d’être informé immédiatement de tout ce qui sort de l’ordinaire. Il convient alors d’effectuer une chasse aux cybermenaces régulière pour laquelle mettre en place des outils de détection avec des protocoles d’investigation des comportements anormaux et des logiciels malveillants sera nécessaire.

Assurer une récupération flexible, rapide et hybride

En partant du principe que les hackers se sont déjà introduits dans l’infrastructure, la résilience et la récupération rapide deviennent l’objectif ultime. En fait, il s’agit d’aller plus loin qu’un simple point de restauration, qu’une seule copie de sauvegarde ou des copies multiples. L’entreprise doit concevoir une expérience de restauration optimisée et simplifiée qui l’aidera à reprendre ses activités rapidement, même à grande échelle. Il est bien connu que les solutions de sauvegarde multiples et disparates (de par leur conception), créent une expérience de restauration compliquée, en particulier lorsque plusieurs systèmes sont compromis. Les entreprises doivent alors simplifier et rationaliser ces solutions en réduisant le nombre et la variété de produits et de fournisseurs utilisés.

Effectuer des tests et des simulations réguliers

Les cybercriminels espèrent généralement que les entreprises soient peu familières à la récupération. Leur objectif étant d’obtenir à tout prix une rançon, l’entreprise qui se prépare à une reprise a une longueur d’avance. Pour que la récupération soit rapide et efficace, l’entreprise doit disposer d’un plan d’intervention de cybersécurité pour l’ensemble de l’environnement, incluant des tests précoces et fréquents. En effet, des simulations régulières de crise – et donc de reprise, permettent de limiter les temps d’arrêt et les perturbations et de réduire l’impact d’une attaque. Il est également conseillé aux entreprises d’effectuer des tests de récupération sur l’ensemble des applications car il est fort probable qu’elles aient à récupérer l’ensemble des éléments constitutifs de leur environnement de production. Finalement, des simulations et des tests réguliers sont essentiels pour réussir, car lorsque l’entreprise est en pleine crise, le principal est que le dispositif fonctionne.

Les entreprises peuvent prendre des mesures drastiques pour lutter contre les ransomwares et prendre l’ascendant sur les hackers. En mettant en œuvre une stratégie de résilience multicouches qui suit les bonnes pratiques et assure une hygiène de cybersécurité irréprochable, les entreprises auront la possibilité de prendre les devants et de faire face aux hackers. Et pour cause, lorsqu’il s’agit d’un événement de cybersécurité ou d’une attaque par ransomware, la question n’est plus de savoir si cela arrivera, mais plutôt quand.