Récupération après une attaque par ransomware : le guide complet

Ce que j'ai appris en participant aux réunions d'urgence lors d'attaques par ransomware, et les erreurs que la plupart des équipes commettent avant même d'avoir à procéder à une restauration.
Senior Product Marketing Manager
Image
Learn how to recover from ransomware without paying attackers. Discover the backup strategies, recovery stages, and incident response practices that reduce downtime and protect critical data.

L'appel du dimanche matin

Un dimanche, au début de l'année 2021, le directeur des opérations d'une société de services professionnels du sud-est des États-Unis a contacté le service d'assistance d'HYCU. Deux heures plus tôt, le ransomware RYUK s'était propagé dans l'ensemble de leur environnement. Chaque poste de travail. Chaque serveur. Les fichiers de sauvegarde sur leurs disques réseau. La copie répliquée sur leur site de reprise après sinistre situé à 100 miles de là, car la production avait continué à se répliquer normalement tandis que le logiciel malveillant chiffrait les fichiers à la source. 

L’entreprise avait perdu 50 serveurs, 10 millions de fichiers et 30 téraoctets de données médicales soumises à la réglementation HIPAA. Les attaquants réclamaient 92 bitcoins, soit environ un million de dollars à l’époque. Le directeur des opérations avait jusqu’à mercredi.

Ce qui les a sauvés, c’est un fichier de cache sur l’appareil virtuel HYCU que le rançongiciel n’avait pas atteint. Notre équipe y a travaillé toute la nuit de dimanche. Dès lundi matin, toutes les machines virtuelles étaient de nouveau opérationnelles. Le directeur des opérations nous a confié par la suite : « C’était un miracle de récupérer tous nos systèmes et toutes nos données. » 

Je repense souvent à cet appel, car presque tout ce qui a compté pour leur reprise avait été décidé plusieurs semaines avant que l’attaque ne se produise. C’est l’aspect que la plupart des équipes négligent.

Pourquoi je conseille aux gens de ne pas payer

Payer semble être le moyen le plus rapide de revenir à la normale. D’après mon expérience, c’est rarement le cas, et les données le confirment.

Parmi les entreprises qui paient la première demande de rançon, 60 % retrouvent un accès initial à leurs données. 32 % sont contraintes de payer des rançons supplémentaires avant de se rétablir. 8 % ne s’en remettent jamais. Même lorsque les clés de déchiffrement sont fournies, la reconstruction des systèmes prend généralement plusieurs semaines.

Quatre autres coûts rendent le paiement moins avantageux qu’il n’y paraît. De nombreuses polices d’assurance cyber excluent la couverture lorsqu’une rançon est versée, et les primes aux États-Unis ont augmenté d’environ 35 % en moyenne ; le paiement peut donc entraîner l’annulation de la couverture au moment même où vous en avez besoin. Le Trésor américain a averti que les paiements versés à des entités sanctionnées peuvent entraîner des sanctions de l’OFAC, quelle que soit l’intention. Les organisations qui paient sont repérées au sein de l’écosystème criminel et sont à nouveau prises pour cible, souvent par le même groupe. Et chaque paiement finance la campagne suivante.

84,5 % des organisations dans le monde ayant subi des attaques par ransomware ont pu se rétablir sans payer. Cette voie existe. Il suffit de la mettre en place avant l’attaque.

Les trois éléments indispensables à toute sauvegarde pour résister aux ransomwares

Notre équipe d’ingénieurs a codifié ce que nous avons constaté de fonctionnel en trois principes. Une sauvegarde qui ne respecte pas l’un d’entre eux est une sauvegarde susceptible d’être chiffrée au même titre que le reste des données. 

Stockage immuable

Les sauvegardes doivent être stockées sur un support où les données ne peuvent être ni modifiées ni supprimées avant l’expiration de la période de conservation. Pas même par un administrateur. Cela implique l’utilisation d’un stockage WORM sur un système de stockage objet compatible S3 avec la fonctionnalité Object Lock activée. Le stockage WORM est mathématiquement incapable de donner suite à une demande de suppression avant l’expiration de la période de conservation. Même un rançongiciel qui parvient à s’emparer des identifiants d’administrateur ne peut pas toucher aux sauvegardes immuables.

Sauvegardes isolées

L’environnement de sauvegarde doit être isolé physiquement de l’environnement de production. Séparé par segmentation du réseau, sans identifiants partagés, sans services partagés, sans relation de confiance partagée. Si l’environnement de production est compromis, la sauvegarde doit rester inaccessible. Notre appliance virtuelle est livrée renforcée par défaut, avec une image de base Linux sécurisée, sans accès root et avec SSH désactivé. 

Accès restreint

Même les super-administrateurs autorisés ne doivent pas pouvoir supprimer manuellement les sauvegardes. Le contrôle d’accès basé sur les rôles (RBAC), intégré à AD et LDAP, la multi-location et la séparation stricte des tâches protègent les sauvegardes à la fois contre les logiciels malveillants et les menaces internes. Nous désactivons la suppression manuelle des sauvegardes par défaut. Il s’agissait d’un compromis dont nous avons débattu en interne, et nous avons pris la décision de privilégier la restauration plutôt que la flexibilité.

Ce que révèle réellement l’étude menée par HYCU en collaboration avec ActualTech

Nous avons interrogé des responsables informatiques d’entreprise avec ActualTech Media sur l’état de préparation face aux ransomwares. Les chiffres révèlent une réalité que la plupart des conseils d’administration n’ont pas encore pleinement prise en compte.

65 % n’ont pas pleinement confiance en leurs solutions de sauvegarde existantes. Parmi les victimes de rançongiciels, 52 % ont subi une perte de données quantifiable et 63 % ont connu des perturbations opérationnelles. Seuls 41 % isolent physiquement leurs sauvegardes. Seuls 47 % les testent régulièrement. Seuls 35 % estiment que leurs outils actuels sont adaptés à leur environnement.

Parallèlement, 77 % des conseils d’administration participent désormais activement aux discussions sur la prévention des rançongiciels. L’attention du conseil d’administration est bien là. Les mesures correctives au niveau de l’architecture, elles, font généralement défaut.

« Compte tenu des coûts de plusieurs millions de dollars associés aux attaques par rançongiciel, sans parler de l’impact négatif sur l’image de marque et le moral des employés, les entreprises ne peuvent pas se permettre de ne pas disposer d’un plan. » — Simon Taylor, fondateur et PDG de HYCU

Le plan d’action en 5 étapes qui fonctionne réellement

La restauration n’est pas une action ponctuelle. Il s’agit d’une séquence, et plus chaque étape est rapide, moins vous subissez de pertes. 

Étape 1 : Détecter. Identifiez l’attaque en cours. Recherchez des schémas inhabituels de modification de fichiers, des événements de chiffrement inattendus, un comportement irrégulier des sauvegardes. Les outils de cybersécurité signalent certains de ces éléments. La détection des anomalies de sauvegarde repère le reste, souvent plus tôt.

Étape 2 : Contenir. Isolez immédiatement les systèmes affectés. Déconnectez les terminaux compromis. Interrompez la réplication vers les sites de reprise après sinistre. Si la réplication est toujours en cours, vous copiez des données chiffrées sur vos sauvegardes saines.

Étape 3 : Évaluation. Déterminez l’étendue de l’incident. Quels systèmes sont chiffrés ? Quelles sauvegardes sont encore saines ? Quel est le point de restauration connu comme étant valide le plus récent ? C’est à ce stade que la visualisation du parc de données change le temps de reprise. Vous ne pouvez pas restaurer ce que vous ne voyez pas.

Étape 4 : Récupération. Effectuez la restauration à partir de la sauvegarde intacte la plus récente. Application par application, dans l’ordre des dépendances. Vérifiez chaque restauration avant de passer à la suivante.

Étape 5 : Renforcement. Comblez le vecteur d’entrée. Appliquez les correctifs aux éléments qui ont été exploités. Réexaminez les politiques d’accès. Organisez un exercice de simulation sur ce qui vient de se passer. Le plan de réponse aux incidents le plus utile est celui qui a été révisé après l’incident réel.

Pourquoi la plupart des plans de réponse aux incidents échouent

Une étude Ponemon a révélé que 77 % des entreprises ne disposent pas d’un plan de réponse aux incidents formel. Parmi celles qui en disposent, seules 32 % le qualifient de « mature ». 57 % indiquent que le temps de résolution des cyberincidents s’allonge. 65 % affirment que la gravité des attaques augmente.

Cinq éléments distinguent les plans qui font leurs preuves de ceux qui ne sont que de belles promesses sur le papier. Des rôles clairement définis et des pouvoirs décisionnels attribués par nom, et non par titre. Une arborescence de communication avec des modèles pré-rédigés pour la notification en interne, aux clients et aux autorités de régulation. Une séquence de reprise donnant la priorité aux systèmes de niveau 1 et répertoriant les dépendances. Un protocole permettant de vérifier que le point de restauration choisi est sain avant le début de la reprise. Et au minimum, un exercice de simulation trimestriel. Les plans que vous ne mettez pas en pratique ne sont que de la documentation, et non une protection.

Combien de temps la reprise prend-elle réellement ?

Trois facteurs déterminent le temps de reprise : l’état des sauvegardes, l’ampleur de l’impact et les exercices de simulation. Voici ce que j’ai pu observer à travers les attaques documentées.

Scénario Durée de reprise typique
Sauvegardes immuables, isolées, IRP testé De quelques heures à une journée
Sauvegardes existantes, sans isolation physique, pas d’IRP Une à quatre semaines
Sauvegardes chiffrées, sur bande uniquement Quatre à douze semaines, souvent partielles
Pas de sauvegardes saines Souvent irrécupérables, reconstruction nécessaire

Colonial Pipeline a versé une rançon de 5 millions de dollars et a tout de même mis plusieurs jours à se remettre en ligne. Le paiement n’accélère pas la reprise. C’est l’architecture qui le fait.

Comment évaluer votre propre niveau de préparation

Nous avons développé R-Score à cet effet. Il s’agit d’une évaluation gratuite, disponible sur getrscore.org, qui note le niveau de préparation à la reprise après une attaque par ransomware selon un modèle similaire à celui d’une cote de crédit. Il évalue l’architecture de sauvegarde, le processus de restauration, la fréquence des tests et l’état de préparation de l’organisation, puis vous fournit des recommandations spécifiques pour vous améliorer.

La plupart des organisations obtiennent un score inférieur à leurs attentes. C’est cet écart entre l’état de préparation perçu et l’état de préparation réel qui rend les attaques du dimanche matin si dévastatrices. 

Questions fréquentes que l’on me pose sur la récupération après une attaque par rançongiciel

Dois-je payer la rançon si je n’ai pas d’autre choix ?

Non. Les données indiquent que 60 % des victimes retrouvent l’accès à leurs données, 32 % paient à nouveau et 8 % ne les récupèrent jamais. Le paiement vous expose également aux sanctions de l’OFAC, peut invalider votre cyberassurance, vous désigne comme cible pour de nouvelles attaques et finance la prochaine campagne. Si vous n’avez pas d’autre choix, cela signifie que votre architecture de sauvegarde est défaillante, et payer ne résoudra pas le problème.

À quelle vitesse la restauration peut-elle s’effectuer avec une configuration adéquate ? 

Avec des sauvegardes immuables, une infrastructure de restauration en « air-gap » et un plan d’intervention en cas d’incident testé, la restauration prend généralement entre quelques heures et une journée. Le cas du dimanche matin dont j’ai parlé en introduction a permis de récupérer 30 To sur 50 serveurs en une nuit à partir d’un seul fichier cache non chiffré. 

Qu’est-ce qui distingue une sauvegarde d’une sauvegarde résistante aux ransomwares ?

Une sauvegarde standard peut être chiffrée si elle est accessible depuis l’environnement de production. Une sauvegarde résistante aux ransomwares est immuable, isolée et dont l’accès est restreint. La différence réside dans la capacité de votre sauvegarde à survivre à l’attaque qui a frappé vos données de production. 

L’assurance cyber couvre-t-elle le paiement des rançons ?

Parfois, mais de nombreuses polices excluent la couverture lorsque la rançon est versée, et les primes aux États-Unis ont fortement augmenté. Certaines polices exigent une autorisation préalable. Lisez attentivement votre police avant un incident, et non pendant celui-ci. 

Commencez par l’évaluation

Si vous ne faites rien d’autre après avoir lu cet article, passez l’évaluation R-Score sur getrscore.org. C’est gratuit, cela prend environ 15 minutes et cela vous permettra d’identifier précisément vos lacunes. À partir de là, les solutions sont concrètes.