02/12/2024

Les sauvegardes de données, un dispositif clé de la remédiation des ransomwares.
Les rançongiciels (ou ransomwares) sont des attaques logicielles qui visent à chiffrer les données, plus précisément les fichiers des victimes afin de les extorquer d’une rançon contre la clé de déchiffrement.
Ces attaques, qui se sont beaucoup développées à partir de 2017, sont celles qui provoquent le plus de dommages car elles bloquent l’usage de l’informatique et donc l’administration et la production des entreprises touchées.

Quand une attaque survient, il convient d’agir le plus rapidement possible afin :

  • De comprendre comment l’attaquant a pénétré dans le système d’information et quels fichiers il a contaminé. C’est la phase d’investigation numérique, qui vise à stopper l’attaque et à identifier précisément le périmètre logiciel qui été infecté.
  • De rechercher dans les sauvegardes disponibles, les données les plus récentes correspondant à ce périmètre compromis et de procéder au remplacement des fichiers atteints par le rançongiciel.

C’est à l’issue de cette dernière opération que l’entreprise pourra retrouver une activité normale. Il restera à éradiquer l’attaquant, c’est-à-dire éliminer tous les logiciels malveillants qu’il aurait peu disséminé dans le système d’information pour répliquer son atteinte.

-> Si l’entreprise dispose de sauvegardes complètes et récentes non compromises

La remédiation se fera dans les meilleures conditions et les meilleurs délais, variables selon l’importance et la complexité du système informatique, mais souvent moins de 10 jours pour une PME.

Pour garantir des sauvegardes complètes, récentes et non compromises, il est essentiel de suivre des bonnes pratiques éprouvées, notamment celles préconisées par l’ANSSI*. La règle du 3-2-1* constitue une base incontournable : il s’agit de conserver au moins trois copies des données, en utilisant deux types de supports différents, et d’assurer qu’une copie soit stockée hors site, idéalement hors ligne. Cette approche réduit considérablement les risques liés aux défaillances matérielles, aux cyberattaques ou aux catastrophes locales comme les incendies ou les inondations.

Les sauvegardes doivent être effectuées régulièrement et de manière automatisée afin d’assurer une mise à jour constante des fichiers critiques. Par ailleurs, leur sécurité doit être renforcée par des mécanismes de chiffrement robustes et des mots de passe complexes, garantissant ainsi leur intégrité face à des tentatives de compromission. Il est tout aussi important de tester fréquemment ces sauvegardes pour vérifier leur fonctionnalité et leur exhaustivité : des restaurations simulées permettent d’identifier et de corriger tout problème avant qu’il ne devienne critique.

Enfin, isoler les copies de sauvegarde critiques, notamment en les maintenant hors ligne ou sur des systèmes non connectés au réseau, reste une mesure essentielle pour contrer les menaces telles que les ransomwares. Ces pratiques combinées offrent une protection efficace et pérenne contre les risques liés à la perte ou à la corruption des données.

-> Si l’entreprise n’en dispose pas

Excluons les cas, heureusement rares aujourd’hui, dans lesquels les victimes ne disposent d’aucune sauvegarde.

Dans la grande majorité des cas, la défaillance de sauvegardes efficaces est liée à une propagation de l’attaque aux données sauvegardées, d’autant plus fréquente que les attaquants essaient systématiquement de les atteindre car ils savent que sans sauvegardes récentes la victime sera davantage tentée de payer la rançon pour obtenir la clé de déchiffrement ; ce qui se révèle d’ailleurs souvent peu efficace et insuffisant pour rétablir l’activité.

Il s’agira alors, pour les remédiateurs, de rechercher des sauvegardes plus anciennes non compromises ou, au pire, d’essayer de rétablir quasi manuellement l’intégrité des données contaminées les plus critiques pour la continuité d’activité.

Dans tous les cas, la remise en état du système d’information sera considérablement plus longue, couteuse et elle ne sera que partielle.

Assurance Cyber et sauvegardes sécurisées : une nécessaire complémentarité

L’assurance Cyber vise essentiellement à prendre en charge et à financer la remise en état du système de l’assuré.

Cette prestation centrale est complétée par un accompagnement dans la gestion de la crise qu’occasionne la cyberattaque et de l’indemnisation des pertes d’exploitation subies durant la période de remédiation.

Chez Allianz France, nous mettons à disposition de nos assurés une prestation de remédiation d’urgence, accessible par téléphone (les ordinateurs peuvent être hors d’usage) en 24/7/365. Au-delà de l’assistance habituelle, notre prestataire entreprend immédiatement les travaux d’investigation pour pouvoir commencer le plus rapidement la remise en état du système.

Cette prestation, qui se révèle depuis son lancement en 2019 d’une grande utilité pour les assurés, sera d’autant plus performante que les sauvegardes non contaminées disponibles seront complètes et récentes.

Le partenariat exclusif BKube et Allianz : Rendre la cybersécurité accessible à tous !

 BKube s’engage pour offrir aux entreprises une solution de résilience accessible à tous et propose une offre commerciale dédiée aux clients Allianz :

Un mois gratuit pour tout abonnement annuel, afin de faciliter la mise en place d’une protection efficace et abordable.

Avec BKube et Allianz, sécurisez vos données tout en maîtrisant vos coûts.

Soyez prêt à affronter les cyber-risques 

👉 Contactez-nous dès aujourd’hui pour découvrir notre offre et bénéficier d’un mois gratuit. Commencer à renforcer la sécurité de votre entreprise dès maintenant !

Marc-Eric Bellot, Responsable du domaine cyber chez Allianz France et Sophie Benyamin, Directrice générale Bkube

*Sauvegarde en 3-2-1 : La règle de sauvegarde 3-2-1, recommandée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), consiste à conserver 3 copies de vos données, sur 2 types de supports différents, dont 1 copie stockée hors site. Cette stratégie assure la résilience face aux pannes, cyberattaques et catastrophes. Elle est essentielle pour une protection efficace des données.