A l’occasion du Mois européen de la cybersécurité et alors que L’agence nationale de la sécurité des systèmes d’information (ANSSI) constate une augmentation de 255 % du nombre d’attaques par rançongiciels en 2020 sur le territoire Français, Veeam annonce avoir décidé d’adopter et de promouvoir au travers de sa stratégie et ses solutions les bonnes pratiques partagées par le NIST (Institute of Standards and Technology), qui permettent aux entreprises de toutes tailles de protéger leurs données et de garantir leur continuité d’activité
« La guerre contre le ransomware est bien là et chaque entreprise doit se préparer à une attaque contre ses données, ses conséquences pouvant être considérables tant sur le plan financier que de la réputation. », commente Stéphane Berthaud, directeur avant-vente France et Afrique, Veeam. « La bonne nouvelle est qu’en anticipant cette préparation, elles pourront mettre en place une stratégie fiable en cas d’interruption des activités. Chez Veeam, nous sommes convaincus que la meilleure stratégie pour lutter contre cette menace réside dans la sensibilisation des collaborateurs, la mise en œuvre de bonnes pratiques et la mise en place d’une stratégie de reprise après incident. »
1. Identifier : les environnements susceptibles d’être touchés par une attaque et les risques liés à ces environnements doivent être identifiés puis mis en contexte avec les objectifs de l’entreprise.
Plan de continuité d’activité : il est essentiel de déterminer les processus cruciaux pour la continuité d’activité de l’entreprise, notamment les contacts et actions indispensables en cas de crise. Ce plan doit être conservé hors site de façon à demeurer intact et accessible 24 heures sur 24, 7 jours sur 7.
Evaluation du pare-feu humain : la technologie ne peut pas, à elle seule, protéger l’entreprise. Chacun doit être sensibilisé aux risques de sécurité et savoir comment signaler les incidents potentiels. Pour cela, il est nécessaire d’évaluer le degré de sensibilisation des collaborateurs à la cybersécurité et de le tester régulièrement par des simulations de phishing.
Recensement des actifs numériques : en répertoriant les actifs les plus critiques, l’entreprise peut les identifier et les protéger efficacement.
2. Protéger : les entreprises doivent élaborer et appliquer des mesures de protection appropriées pour assurer la fourniture des services d’infrastructures critiques, en s’appuyant proactivement sur leur capacité à limiter ou contenir l’impact d’une cyberattaque.
Investissement dans l’hygiène numérique : rendre la vie dure aux acteurs malveillants qui cherchent à « infecter » l’entreprise passe notamment par le choix de mots de passe complexes et leur renouvèlement régulier, l’authentification multifacteur ou encore le retrait des équipements et applications inutiles.
Sensibilisation du pare-feu humain : la formation des collaborateurs à la cybersécurité est un moyen très efficace de rehausser le niveau de protection. Cette sensibilisation doit se dérouler en continu, afin d’informer les collaborateurs, quelle que soit leur fonction, au fur et à mesure de l’apparition des menaces.
Règle 3-2-1-1-0 : Veeam recommande aux entreprises de conserver au moins trois copies de chaque donnée importante et de stocker les sauvegardes sur deux types de supports différents, dont une copie hors site. Il est possible d’obtenir une protection supplémentaire par le chiffrement des données et l’utilisation exclusive d’infrastructures intégrant la sécurité dès leur conception.
3. Détecter : la découverte rapide des évènements de cybersécurité est une étape critique pour la mise en place d’une stratégie robuste dans ce domaine. Plus tôt un évènement est détecté, plus vite ses répercussions pourront être atténuées.
Systèmes de détection : le principal risque d’un ransomware étant sa propagation rapide à d’autres systèmes, il est essentiel de disposer d’une réelle visibilité sur toute activité pouvant en être le signe. La mise en place d’alertes avancées permet de mieux se défendre contre les virus, les malwares et les ransomwares.
Alarmes virtuelles : l’observation d’un élément suspect (compte administrateur inutilisé, par exemple) doit déclencher instantanément un signal d’alerte rouge.
4. Répondre : il s’agit d’aider les utilisateurs à développer des techniques destinées à contenir l’impact d’évènements de cybersécurité en veillant à élaborer et mettre en œuvre les actions appropriées.
Calme et responsabilité : les équipes informatiques ou autres collaborateurs ne doivent pas être tenus responsables d’une attaque. Cela ne faciliterait en rien la réponse à l’incident et ne ferait qu’accentuer les craintes et le stress. La meilleure chose à faire est de conserver son calme et de réunir les bonnes personnes pour activer le plan de réponse aux incidents le plus rapidement possible.
Plan de réponse aux incidents : les procédures de détection, de communication, de contrôle et de remédiation des incidents de cybersécurité doivent être précisées afin que les collaborateurs sachent y réagir de manière optimale lorsqu’ils surviennent.
5. Restaurer : puisqu’il est impossible de parer toutes les cyberattaques, disposer d’une stratégie de reprise dans l’éventualité d’une brèche dans les cyberdéfenses est vital.
Stratégie de reprise : les actions prioritaires pour la reprise d’activité doivent être définies en amont, comme la sauvegarde des données et la mise à l’abri des sauvegardes en cas d’attaque.
Objectifs de reprise : les systèmes de sauvegarde doivent être conçus dans l’optique des performances de reprise plutôt que sur le temps nécessaire à la sauvegarde. Pour cela, les SLA de reprise sont déterminés sous la forme d’objectifs de points et de temps de restauration (RPO/RTO) acceptables.