NAKIVO > Blog

Bonnes pratiques en matière de sauvegarde contre le ransomware

Publié le: mars 19, 2024

Written by: NAKIVO Team

Selon Security Intelligence, les pirates informatiques ciblent les données de sauvegarde dans environ 93 % des attaques de ransomware. Cela a conduit à la perte de données de sauvegarde, rendant leur récupération impossible, et les organisations sont désormais plus enclines à payer la rançon dans l’espoir de restaurer l’accès à leurs systèmes.

La mise en œuvre de mesures de cybersécurité et la sauvegarde des données pour garantir leur récupération après un incident de ransomware ne suffisent plus. Les antivirus peuvent protéger les ordinateurs et leurs données dans un premier temps, mais si des virus et du ransomware ont infecté les ordinateurs et détruit les données, la seule méthode pour restaurer les données consiste à utiliser une sauvegarde. Avec des référentiels de sauvegarde dans le cloud accessibles via Internet, les sauvegardes sont encore plus exposées au risque de ransomware. C’est pourquoi des mesures supplémentaires doivent être prises pour protéger les sauvegardes en plus des données primaires.

Cet article de blog explique comment créer une stratégie efficace de défense contre les ransomwares.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Pouvez-vous restaurer à partir d’une sauvegarde après une attaque par ransomware ?

Les recherches menées par Sophos montrent que la récupération des données après un incident de ransomware à l’aide de sauvegardes est plus rapide que de payer la rançon. Des sauvegardes correctement configurées peuvent être utilisées pour la récupération des données et des machines après une attaque par ransomware. Si vous disposez d’une copie de sauvegarde fiable et non infectée, vous pouvez restaurer les données et minimiser les temps d’arrêt liés à l’incident.

Envisagez les actions suivantes pour restaurer les systèmes après un incident de ransomware :

  • Isolez le système infecté. Dès que vous détectez une infection par un ransomware, déconnectez la machine infectée du réseau afin d’empêcher la propagation du malware.
  • Enlevez le ransomware. Utilisez un logiciel antivirus ou anti-malware réputé pour enlever le ransomware de votre système. Assurez-vous que vos définitions antivirus sont à jour pour optimiser vos chances de réussite. L’alternative consiste à formater les disques durs affectés par le ransomware et à restaurer les données à partir des sauvegardes sur ces disques (les sauvegardes ne doivent pas être affectées).
  • Évaluez la disponibilité des sauvegardes. Vérifiez vos systèmes de sauvegarde pour vous assurer qu’ils ne sont pas affectés par l’attaque du ransomware.
  • Restaurez les données. Vous pouvez lancer le processus de restauration des données à l’aide de votre solution de sauvegarde. Cela peut impliquer de sélectionner des fichiers spécifiques, des dossiers ou des images système à restaurer. Suivez les instructions fournies par votre logiciel de sauvegarde ou votre fournisseur de services.
  • Testez les données restaurées. Après la restauration, testez les données récupérées pour vous assurer qu’elles sont accessibles et intactes. Cela est essentiel pour vérifier que les copies de sauvegarde n’ont pas été compromises par le ransomware.
  • Appliquez les correctifs et sécurisez. Avant de reconnecter l’ordinateur infecté au réseau, appliquez tous les correctifs de sécurité, mises à jour et améliorations nécessaires pour renforcer la sécurité du système et réduire le risque d’une nouvelle attaque.
  • Enquêtez et signalez. Recherchez comment le ransomware a pénétré dans votre système afin de prévenir de futures attaques. Signalez l’incident aux autorités, par exemple aux forces de l’ordre ou aux organismes de cybersécurité.

N’oubliez pas que l’efficacité de votre récupération dépend de la mise à jour régulière et de la sécurité de vos sauvegardes. Si vos sauvegardes sont compromises ou obsolètes, vous risquez de ne pas pouvoir récupérer entièrement vos données. Il est essentiel de mettre en place une stratégie de protection robuste contre les ransomwares, axée sur la sauvegarde, dans le cadre de vos mesures globales de cybersécurité afin d’atténuer l’impact des incidents liés aux ransomwares.

Les ransomwares peuvent-ils attaquer une sauvegarde ?

Les sauvegardes ne sont pas à l’abri des infections par des logiciels malveillants. Les ransomwares peuvent potentiellement attaquer et crypter (détruire) les fichiers de sauvegarde si ceux-ci sont directement accessibles depuis le système infecté ou si le ransomware est spécifiquement conçu pour cibler les systèmes de sauvegarde.

Les groupes criminels à l’origine des ransomwares savent que les organisations comptent sur les sauvegardes pour restaurer leurs systèmes plutôt que de payer les rançons. C’est pourquoi les sauvegardes peuvent être l’une des principales cibles des ransomwares.

Les sauvegardes stockées sur les ressources suivantes accessibles à partir d’un ordinateur infecté sont à risque :

  • Lecteurs partagés
  • Stockage en réseau (NAS)
  • Disques durs externes connectés à une machine infectée
  • Stockage dans le cloud accessible depuis des machines infectées

Bien qu’il soit possible que les ransomwares ciblent les sauvegardes, vous pouvez prendre des mesures proactives dans le cadre de votre stratégie de protection contre les ransomwares afin de sécuriser et de protéger vos données de sauvegarde. Vous vous assurez ainsi de disposer d’une option de récupération fiable en cas d’attaque.

Bonnes pratiques en matière de sauvegarde contre les ransomwares

Les bonnes pratiques en matière de sauvegarde contre les ransomwares sont conçues pour garantir l’intégrité et la récupérabilité des données en cas d’attaque par ransomware. Elles couvrent les approches de sauvegarde ainsi que les stratégies visant à protéger ces sauvegardes contre toute compromission en cas d’infection de vos systèmes principaux.

Stratégie de sauvegarde 3-2-1

La règle de sauvegarde 3-2-1 constitue la base de votre stratégie de défense contre les ransomwares. Il s’agit d’une approche robuste de la sauvegarde des données qui peut aider à protéger contre les attaques de ransomwares en garantissant la redondance, la diversité et l’isolation des copies de sauvegarde. La règle stipule que vous devez disposer d’au moins 3 copies des données, dont 2 sur des supports différents et 1 hors site. La stratégie de sauvegarde 3-2-1 contre les ransomwares peut être étendue à 3-2-1-1 pour inclure des copies isolées ou immuables.

Vous pouvez voir ci-dessous comment une stratégie de sauvegarde 3-2-1 peut protéger vos données contre les ransomwares :

  • 3 copies des données:
    • Copie principale. Il s’agit de vos données actives, des fichiers originaux et des données avec lesquelles vous travaillez quotidiennement.
    • Sauvegarde locale. Créez une deuxième copie de vos données stockées localement, par exemple sur un disque dur externe, un serveur de sauvegarde ou une appliance NAS (NAS). Cela vous permettra d’accéder rapidement et facilement à vos sauvegardes en cas de perte ou de corruption des données.
    • Sauvegarde hors site. La troisième copie de sauvegarde doit être stockée hors site, loin de votre emplacement principal. Elle peut se trouver dans un emplacement physique différent, généralement grâce à un stockage dans le cloud, en copiant la sauvegarde des données vers l’emplacement secondaire via le réseau ou en transportant physiquement les sauvegardes vers un emplacement hors site régulièrement.
  • 2 supports différents. L’utilisation de supports de stockage différents pour chaque copie de sauvegarde peut améliorer la résilience. Par exemple, si vous disposez d’une sauvegarde locale sur un disque dur physique, utilisez un autre type de support pour votre sauvegarde hors site, tel que le stockage dans le cloud ou un autre périphérique physique. Cette diversité permet de vous protéger contre le même type de ransomware affectant simultanément vos sauvegardes locales et hors site.
  • 1 support est stocké hors site. Le stockage d’une copie de sauvegarde hors site vous permet de restaurer les données si le site principal est détruit par une catastrophe telle qu’un incendie, une inondation, un ouragan, etc.
  • 1 copie isolée ou immuable. Une sauvegarde isolée est isolée du réseau et n’est pas directement accessible via Internet ni connectée à votre système principal. Une sauvegarde immuable est quant à elle stockée dans des référentiels immuables qui peuvent être modifiés ou supprimés. Cela signifie que même si un ransomware s’infiltre dans votre réseau, il ne peut pas crypter ces sauvegardes.

    Assurez-vous que votre sauvegarde isolée (sauvegarde hors ligne) est mise à jour de manière périodique, mais déconnectez cette sauvegarde du réseau ou enlevez-la de son emplacement physique lorsqu’elle n’est pas utilisée. Cette isolation rend la sauvegarde très résistante aux attaques de ransomware.

La stratégie de sauvegarde 3-2-1 contre les ransomwares protège contre les ransomwares de la manière suivante :

  • Redondance des données. En cas d’attaque par ransomware ciblant vos données principales, vous disposez de deux copies supplémentaires (locale et hors site) pour restaurer vos données sans payer la rançon.
  • Diversité. L’utilisation de différents supports de stockage garantit que si un ransomware compromet un type de sauvegarde, les autres ne sont pas affectés. Cette diversité rend plus difficile pour les ransomwares de corrompre toutes les copies de vos données.
  • Isolation. La copie isolée, stockée hors ligne ou dans un environnement isolé, sert de dernière ligne de défense. Même si un ransomware accède à votre réseau ou à vos sauvegardes locales, il ne pourra pas atteindre la copie isolée.
  • Flexibilité de la récupération. Vous pouvez rapidement restaurer à partir de la copie locale en cas de pertes de données mineures, et si une attaque ransomware grave se produit, vous disposez des copies hors site et isolées sur lesquelles vous pouvez vous appuyer.

L’approche de protection des données 3-2-1-1 est une bonne stratégie de sauvegarde des données contre les ransomwares si elle est complétée par d’autres mesures de sécurité et mise en œuvre correctement.

La planification et les tests de reprise après sinistre

La planification de la reprise après sinistre et les tests jouent un rôle essentiel dans la protection contre les attaques par ransomware en garantissant la préparation, en minimisant les temps d’arrêt et en facilitant la récupération efficace des données en cas d’attaque par ransomware. La planification de la reprise après sinistre prend en compte non seulement la récupération des données, mais aussi la continuité des activités des opérations essentielles. Cela signifie qu’il faut mettre en place des systèmes et des processus de sauvegarde pour permettre à l’entreprise de continuer à fonctionner même en cas d’incident lié au ransomware. Un plan de reprise après sinistre bien testé permet une récupération plus rapide des systèmes et des données critiques.

Créer un plan de reprise après sinistre :

  • Identifier les systèmes et les données critiques. Cela permet de hiérarchiser les éléments à protéger en cas d’attaque par ransomware.
  • Élaborer une stratégie de sauvegarde et de récupération. Cela inclut la mise en œuvre de la stratégie de sauvegarde 3-2-1, la garantie de la redondance des données et la mise en place de sauvegardes hors site.
  • Réponse aux incidents. Intégrez des procédures de réponse aux incidents spécifiques au ransomware dans votre plan de reprise après sinistre. Cela garantit que votre équipe sait comment réagir efficacement en cas d’attaque.

Testez et améliorez votre plan de reprise après sinistre en :

  • effectuant des tests réguliers. Effectuez régulièrement des tests et des simulations de reprise après sinistre incluant des scénarios de ransomware. Les tests permettent d’identifier les faiblesses de votre plan et vous permettent d’apporter les améliorations nécessaires.
  • Überprüfen der Integrität der Daten der sauvegardes par Testen des Prozesses der Récupération der Daten. Es ist essentiell, sich zu vergewissern, dass die sauvegardes nicht kompromittiert sind, um gegen Ransomware zu kämpfen.
  • Formation basée sur des scénarios. La formation du personnel à des scénarios spécifiques au ransomware permet de s’assurer qu’il est prêt à réagir efficacement en cas d’attaque.

N’oubliez pas la documentation et la conformité :

  • Documentation. Les plans de reprise après sinistre doivent être bien documentés et régulièrement mis à jour. Cette documentation permet de s’assurer que chacun connaît son rôle et ses responsabilités en cas d’incident.
  • Conformité réglementaire. La conformité aux réglementations en matière de protection des données nécessite souvent la mise en place d’un plan de reprise après sinistre solide. Cela peut aider à éviter des problèmes juridiques et des sanctions en cas d’attaque par ransomware.

Utilisation d’un stockage immuable

Le stockage immuable est un type de stockage dans lequel les données ne peuvent pas être modifiées après avoir été écrites. La technologie de stockage immuable empêche toute modification, suppression ou chiffrement des données stockées pendant une période de conservation spécifiée. Utilisez le stockage immuable pour stocker des sauvegardes et augmenter les chances de récupération des données en cas d’attaque par ransomware.

Le stockage immuable peut s’appuyer sur différents mécanismes :

  • Écriture unique, lecture multiple (WORM): Les données peuvent être écrites une seule fois, après quoi elles peuvent uniquement être lues, mais pas modifiées ni supprimées.
  • Hachage cryptographique. Les données peuvent être hachées à l’aide d’algorithmes cryptographiques, et les valeurs de hachage sont stockées séparément. Toute modification des données entraînera un hachage différent, signalant une éventuelle altération.
  • Gestion des versions. Les versions des données sont stockées et les versions précédentes peuvent être restaurées si la version actuelle est compromise.
  • Contrôles d’accès. Les systèmes de Stockage immuable disposent généralement de contrôles d’accès stricts afin d’empêcher toute modification non autorisée des données.

Les ransomwares fonctionnent généralement en effectuant le chiffrement des fichiers et en exigeant une rançon pour obtenir la clé de déchiffrement. Le stockage immuable peut protéger contre les ransomwares de plusieurs façons :

  • Empêche toute modification. Les données stockées dans un système immuable ne pouvant être modifiées, les tentatives des ransomwares visant au chiffrement ou à la modification des fichiers échoueront.
  • Permet une récupération rapide du stockage immuable pour récupérer des copies propres de vos fichiers. Vous pouvez facilement restaurer vos données à leur état non chiffré, car les données d’origine restent intactes.
  • Alertes en cas de falsification. Les systèmes de Stockage immuable peuvent générer des alertes lorsque des tentatives non autorisées de modification des données sont détectées, ce qui permet de réagir rapidement aux attaques potentielles de ransomware.

Utilisation du chiffrement des données

Le chiffrement des données peut contribuer à réduire les conséquences négatives des attaques par ransomware. Notez que le chiffrement seul ne protège pas contre les attaques par ransomware. Les ransomwares peuvent toujours chiffrer/détruire les fichiers auxquels ils accèdent, que ces fichiers soient chiffrés ou non. Cependant, le chiffrement garantit la confidentialité de vos données et empêche toute personne non autorisée, y compris les auteurs d’attaques par ransomware, de les comprendre.

Même si un ransomware s’infiltre dans votre système, il se peut qu’il ne dispose pas des autorisations ou des clés de chiffrement nécessaires pour accéder aux données sensibles chiffrées. Cela signifie qu’il ne sera pas en mesure de comprendre les données chiffrées. Par conséquent, les auteurs d’attaques par ransomware ne peuvent pas extorquer la victime en téléchargeant les données volées sur Internet. C’est également un avantage en termes de conformité pour éviter les sanctions.

Le chiffrement des données en transit, par exemple lors de leur transmission sur le réseau ou de leur stockage dans des services cloud, garantit que les données interceptées sont inutilisables pour les cybercriminels. Les canaux de communication chiffrés, tels que les VPN (réseaux privés virtuels) et les connexions SSL (Secure Socket Layer), protègent contre les ransomwares qui tentent d’intercepter les données pendant leur transmission.

Une gestion appropriée des clés est essentielle pour garantir l’efficacité du chiffrement. Stockez les clés de chiffrement de manière sécurisée et séparément des données qu’elles protègent afin d’empêcher les ransomwares d’accéder à la fois aux données et aux clés.

Définissez des autorisations pour la sauvegarde des données

La définition d’autorisations pour les données de sauvegarde permet d’empêcher les ransomwares de compromettre ou de détruire vos copies de sauvegarde. Des autorisations correctement configurées garantissent que seuls les utilisateurs ou systèmes autorisés peuvent accéder aux données de sauvegarde.

En limitant l’accès aux données de sauvegarde, vous réduisez la surface d’attaque des ransomwares. Si un ransomware s’infiltre dans votre réseau, il peut tenter de cibler plusieurs systèmes du réseau. Si le ransomware infecte un système avec des autorisations limitées, il aura plus de mal à se propager vers les emplacements de sauvegarde et à compromettre ces sauvegardes.

La configuration des autorisations est conforme au principe du moindre privilège et de la séparation des tâches. Elle garantit qu’aucun utilisateur ou système ne dispose d’un contrôle excessif sur les données de sauvegarde, ce qui réduit le risque de menaces internes.

Les paramètres d’autorisation activent l’audit et la surveillance de l’accès aux données de sauvegarde. Si un ransomware tente de compromettre les sauvegardes, l’audit peut générer des alertes et fournir un enregistrement des tentatives d’accès non autorisées à des fins d’enquête. Les accès non autorisés ou les modifications des données de sauvegarde peuvent être détectés rapidement grâce à des systèmes de surveillance et d’alerte. Cela permet de réagir rapidement aux attaques potentielles de ransomware, minimisant ainsi la perte de données.

Autres recommandations

Voici quelques recommandations supplémentaires pour vous aider à améliorer votre stratégie de sauvegarde contre le ransomware :

  • Sauvegardez régulièrement vos données. Planifiez un calendrier de sauvegarde régulier adapté aux besoins de votre organisation. Des sauvegardes fréquentes, par exemple quotidiennes ou horaires, permettent de minimiser la perte de données en cas d’attaque en réduisant le RPO.
  • Automatisez les sauvegardes. Utilisez des solutions de sauvegarde qui automatisent le processus afin de réduire le risque d’erreur humaine et d’éviter les lacunes en matière de conservation.
  • Utilisez des sauvegardes versionnées. Choisissez des solutions de sauvegarde qui offrent des paramètres de versionnement ou de conservation flexibles, vous permettant d’accéder aux versions précédentes des fichiers et de les restaurer. Cela est utile pour les restaurations ponctuelles si le ransomware n’est pas détecté pendant un certain temps.
  • Surveillez l’environnement. Mettre en place des systèmes de surveillance afin de détecter toute activité inhabituelle ou suspecte sur vos systèmes. Configurez des alertes pour toute tentative d’accès non autorisée, toute modification des configurations de sauvegarde ou toute consommation inhabituelle de ressources.
  • Sécurisez les serveurs de sauvegarde. Appliquez les bonnes pratiques en matière de sécurité au serveur de sauvegarde lui-même, notamment des mises à jour de sécurité régulières et des politiques de mots de passe forts. Réduisez au minimum l’accès à votre serveur de sauvegarde depuis Internet afin de réduire le risque d’attaques à distance. Mettez régulièrement à jour les logiciels et les systèmes de sauvegarde afin de corriger les vulnérabilités qui pourraient être exploitées par du ransomware.
  • Choisissez un fournisseur de sauvegarde de confiance. Si vous utilisez des services de sauvegarde basés sur le cloud, sélectionnez un fournisseur réputé et soucieux de la sécurité, qui a fait ses preuves en matière de protection des données.
  • Sensibilisez vos employés. Formez vos employés ou utilisateurs à reconnaître les tentatives d’hameçonnage et autres tactiques d’ingénierie sociale pouvant mener à des attaques par ransomware. Au cours du processus de planification et de test de la reprise après sinistre, les employés prennent davantage conscience des risques associés au ransomware. Cette sensibilisation accrue peut conduire à de meilleures pratiques en matière de cybersécurité et à un meilleur signalement des incidents.

Utilisation des capacités de sauvegarde résistantes aux ransomwares de NAKIVO

NAKIVO Backup & Replication & Replication est une solution de protection des données rapide, fiable et abordable qui permet de sauvergarder efficacement les données et de les protéger contre les ransomwares. Voici quelques-unes des fonctionnalités permettant de protéger les données et d’activer la récupération après un ransomware dans NAKIVO Backup & Replication & Replication :

  • Sauvegardes immuables. Les sauvegardes peuvent être rendues immuables sur un stockage local, un NAS, des plateformes de cloud public (Amazon S3, Azure Blob Storage, Wasabi, BackBlaze B2, etc.) et les clouds privés. Définissez la période d’inaltérabilité des sauvegardes. Les données sauvegardées ne peuvent être ni modifiées ni supprimées avant l’expiration de cette période. Cette fonctionnalité protège les données sauvegardées contre toute modification par un ransomware.
  • Sauvegarde sur bande magnétique. Les cartouches de bande sont un type de support de stockage de sauvegarde isolé physiquement. Après avoir enregistré une sauvegarde sur bande et éjecté la cartouche de bande, les données enregistrées sur cette cartouche ne sont plus accessibles par les ransomwares.
  • Paramètres de conservation flexibles. Il est impossible de prédire le moment exact d’une attaque par ransomware. Disposer de sauvegardes à différentes dates vous permet de restaurer les données dans l’état où elles se trouvaient avant d’être corrompues par le ransomware. La prise en charge des sauvegardes incrémentielles et des points de récupération fréquents permet de récupérer davantage de données dans leur état réel avant qu’une attaque par ransomware ne se produise.
  • Chiffrement des données. Le chiffrement des données dans un référentiel de sauvegarde et pendant leur transmission sur le réseau augmente le niveau de sécurité et empêche l’interception des données pendant leur transmission sur le réseau. Un référentiel de sauvegarde crypté empêche les pirates informatiques de réaliser le déchiffrement et de télécharger les données de ce référentiel sur Internet à des fins d’extorsion dangereuse.
  • Copie de sauvegarde. Suivez la règle de sauvegarde 3-2-1 et copiez les données de sauvegarde sur d’autres supports de stockage et hors site à l’aide de tâches de copie de sauvegarde. Le chaînage de tâches est une fonctionnalité utile de la copie de sauvegarde qui vous permet de lancer automatiquement la création d’une copie de sauvegarde une fois qu’une tâche de sauvegarde est terminée.
  • Recherche de logiciels malveillants dans les sauvegardes. L’analyse des sauvegardes pendant le processus de restauration empêche les utilisateurs de restaurer des fichiers infectés sur leurs systèmes, ce qui pourrait entraîner la propagation de virus dans l’environnement de production.
  • Reprise après sinistre. Reprise après sinistre avec la fonctionnalité Reprise après sinistre est rapide et efficace. Vous pouvez tester des scénarios de reprise après sinistre avec Reprise après sinistre. Vous pouvez attacher/détacher des référentiels de sauvegarde, car un référentiel détaché est moins vulnérable au ransomware.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Les gens qui ont consulté cet article ont également lu

Picture
Comment redémarrer les agents de gestion sur un hôte VMware ESXi
Picture
Microsoft Hyper-V Server 2016 vs. Rôle Hyper-V
Picture
Comment migrer from G Suite vers Office 365 et pourquoi vous en avez besoin