Cyber-attaques : les sauvegardes suffisent-elles pour s’en protéger ?
Les sauvegardes sont le dernier recours lors d’une cyber-attaque : lorsque toutes les mesures prises par l’entreprise n’ont pas été suffisantes pour s’en protéger, on essaie de restaurer le plus vite possible le système d’information à partir des sauvegardes.
Néanmoins, cette opération chronophage devient aujourd’hui de moins en moins fiable. Ayant compris l’importance des sauvegardes, les cybercriminels s’y attaquent aussi.
Ainsi, selon le benchmark 2021 des cyber-attaques en France, les systèmes de sauvegarde ont été ciblés et détruites dans 21% des attaques par ransomware.
Tout pour obtenir la rançon
En détruisant d’abord les sauvegardes, les criminels peuvent forcer leur cible à payer la rançon. Tel était le cas pour un des clients de CERT-Wavestone : il y a moins d’un an un attaquant a supprimé toutes ses sauvegardes avant de chiffrer leur système d’information.
Le plan a pu bien fonctionner car l’infrastructure de gestion des sauvegardes était administrée par un compte dans l’Active Directory. L’attaquant a donc réussi à obtenir le plus haut niveau d’accès et à se connecter sur l’infrastructure de sauvegarde sans problème.
Mesures à prendre en amont
Dans tous les cas de ransomware gérés par CERT-Wavestone le cybercriminel possédait des comptes d’administration du domaine Active Directory.
Afin d’empêcher donc l’accès de l’attaquant par ce biais, il est primordial de séparer l’infrastructure de sauvegarde de l’Active Directory. Pour réduire davantage le risque de piratage d’un compte d’administration, il est aussi recommandé de renforcer l’accès d’administration des sauvegardes, avec par exemple une authentification multi-facteur (MFA).
Il est aussi intéressant de noter que selon CERT-Wavestone, les attaques par ransomware se propagent souvent sur le même système d’exploitation. Il pourrait donc s’avérer utile d’adopter un système d’exploitation différent pour l’infrastructure de sauvegarde afin de mieux se protéger contre les attaques éventuelles.
Comme précaution complémentaire, il est possible d’appliquer des mesures de rétention des données sauvegardées au niveau de la technologie de stockage des sauvegardes, comme la mise en place d’un délai avant la suppression réelle des données ou bien la conservation d’une copie (ou snapshot) sur la baie de stockage. Grâce à cette mesure le client pourra s’accorder un délai de plusieurs jours avant la perte complète des données en cas de suppression par un utilisateur malveillant.
Les solutions proposées par HOSTEUR
HOSTEUR accompagne ses clients dans la création, sécurisation, monitoring et infogérance de leur système informatique. Grâce à notre approche holistique vous pouvez commander des solutions sur mesure tout en profitant d’un accompagnement par nos spécialistes.
Notre offre de stockage S3 Hosteur Bucket vous permet de stocker des données sur le Cloud de manière simple et sécurisée. Choisissez entre la France et la Suisse pour votre stockage ou, afin de profiter d’une sécurité maximale, optez pour une répartition des donnés dans deux datacenters dans deux pays différents. Nous vous offrons également des baies de stockage avec option HYPERCDP pour les activités d'entreprise critiques.
Lorsqu’on parle de sécurité nous nous devons de mentionner nos offres de Firewall.
>> LISEZ AUSSI: Qu'est-ce qu'un Firewall ?
HOSTEUR travaille exclusivement avec le fournisseur suédois Clavister qui est spécialisé dans la construction de pare-feux applicatifs robustes. Possédant plus de 15 ans d’expertise dans son domaine, notre fournisseur vous garantit une solution sans BACKDOOR (c’est-à-dire sans porte dérobée).
Si vous avez un projet en cours mais vous ne vous retrouvez plus dans la large gamme de produits et services à votre disposition, n’hésitez pas à contacter nos équipes. Nous serons heureux de pouvoir vous aider.
Source :
Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ?