Il faut souvent un événement exceptionnel pour provoquer un changement profond, à l’instar des récentes cyberattaques. Leur ampleur, leur croissance exponentielle et les enjeux qu’elles cristallisent éveillent plus que jamais les consciences comme en témoignent les récents incidents SolarWinds, Colonial Pipeline ou ceux qui ont touché les établissements de santé français. Le trafic de données est l’un des plus rentables actuellement. Le prix moyen d’un virus est de 5 $ sur le darknet avec un rapport risque / coût / gain sans équivalent d’après le rapport du Club des juristes. Le numérique est donc devenu le terrain de chasse du crime organisé. La question n’est plus “si” mais “quand” une attaque se produira.
Nous sommes à un tournant stratégique, celui d’un passage à l’action indispensable pour engager et renforcer les politiques de cybersécurité, il en va de la pérennité des organisations.
L’urgence face à la dynamique croissante et évolutive des attaques
En quelques années, l’économie parallèle de la cyber malveillance a explosé. Près de 70 % des entreprises craignent aujourd’hui de ne pas pouvoir récupérer leurs données critiques en cas de cyberattaque [1]. Une attaque se produit toutes les 11 secondes en ce moment [2] et tous les jours nous entendons des noms d’instituts financiers, industriels ou publics qui se retrouvent en difficulté. Selon IBM, les entreprises en 2020 utilisaient déjà comme premier rempart en moyenne 45 outils différents de protection [3], de l’antivirus au firewall, en passant par l’IPS, le SSO, les stratégies de sauvegarde, etc.
On note actuellement la conjonction de plusieurs phénomènes en matière de cyberattaques :
- La surface d’attaque croit indéniablement avec la généralisation du télétravail, mais aussi la multiplication d’objets connectés liés aux smart cities ou encore à la télémédecine;
- 34% des cyberattaques subies par les entreprises sont le fait d’insiders, à l’intérieur même des firewalls, via l’usurpation d’identité. Encore récemment, l’Agence du Numérique a communiqué sur la mise en vente de 50 000 comptes utilisateurs d’agents hospitaliers français sur le darknet. Des données qui pourraient permettre aux acheteurs d’accéder aux réseaux informatiques des établissements pour y déployer leur rançongiciel et paralyser l’activité.
- Lors d’une attaque, on estime qu’en moyenne les pirates ont pénétré votre réseau depuis environ 200 jours et ce, avant même de déclencher l’encryption de vos données. Un temps précieux qui souvent leur a permis de comprendre les ramifications de votre réseau et surtout, d’attaquer vos mesures de protection telles que les sauvegardes. En effet, les infrastructures de sauvegarde sont désormais les cibles prioritaires des hackers pour rendre inopérante toute restauration et ainsi contraindre au paiement des rançons.
- On estime à 80% la proportion de victimes qui paient les rançons pour éviter les pertes financières, générant un afflux massif de capitaux vers cette économie parallèle. La France est l’un des pays qui paye le plus au monde ces demandes de rançons [4]. Avec de tels moyens, les assaillants sont de plus en plus organisés et sophistiqués.
La Cyber Recovery, une solution majeure
Selon moi, Cybersécurité et Cyber Recovery ne doivent pas s’opposer, il s’agit de stratégies complémentaires. Au regard du nombre d’organisations qui se sont vues forcées à payer une rançon, il est évident que les moyens de protection actuels ne sont plus suffisants.
Je constate avec nos clients que le risque zéro n’existant pas, un second rempart est nécessaire, si le premier tombe. C’est tout l’objet de la Cyber Recovery qui permet, le cas échéant, de récupérer les données vitales perdues et de redémarrer, même si le système de sauvegarde opérationnelle a été détruit.
Le vieux concept du « 3-2-1 » (3 copies, sur 2 médias différents, dont 1 externalisé) est bon, mais clairement insuffisant, car il se peut que les 3 copies soient contaminées. Chez Dell Technologies notre vision de la Cyber Recovery repose sur quatre grands piliers :
- La sanctuarisation des données et des systèmes : Toutes les institutions à travers le monde – et notamment l’ANSSI – préconisent d’isoler ces systèmes et données vitales sauvegardées derrière un Air Gap. Ce « Minimum Viable Company » est isolé des réseaux, hors de portée. Le sanctuaire est physiquement sécurisé, interdit d’accès au personnel dument habilité à opérer sur le système d’informations primaires pour se prémunir des malwares et insiders.
- L’immuabilité des données : une fois les données hébergées dans ce sanctuaire, elles ne doivent plus pouvoir être modifiées et n’autoriser que l’ajout de nouvelles informations afin d’éviter toute corruption des données.
- L’identification de la dernière copie saine : en moyenne les entreprises mettent 197 jours à détecter une cyberattaque avancée. L’analyse des sauvegardes doit-être pro-active afin de se tenir prêt à une restauration le cas échéant. Cette vérification de l’intégrité de la copie trop souvent réalisée lorsque l’attaque est déjà constatée fait perdre un temps précieux et potentiellement des données clés. Il s’agit donc de mesurer quotidiennement des variations de la donnée sanctuarisée, à travers un moteur d’intelligence artificielle basé sur le machine learning, pour détecter les signaux faibles et les signes avant-coureurs d’attaques insidieuses.
- La remédiation et la restauration autonome : l’entreprise doit être en mesure de restaurer rapidement la dernière copie saine. Elle pourra le faire grâce à l’infrastructure dédiée sécurisée derrière l’Air Gap.
La sanctuarisation est un terme qui appartient à une sémantique particulière. Sacrées, les données ? Certainement et de plus en plus, puisqu’elles endossent un rôle clé dans la pérennité des organisations.
En résumé, la question pour les organisations n’est plus de savoir si elles seront attaquées, mais quand cela arrivera, auront-elles la capacité de relancer leur système d’informations ? Avec la Cyber Recovery, la réponse est oui.
[1] Global Data Protection Index, Dell Technologies, 2020.
[2] Renforcer la résilience métier pour se protéger contre une cyberattaque destructrice, Dell Technologies, 2020.
[3] Cyber Resilient Organization Report, Ponemon Institute & IBM, 2020.
[4] Etude sur la cybersécurité sur les PME et les TPE menée par l’assureur Hiscox
