Phase 1 : Préparer votre plan de récupération

La première chose que vous devez faire concernant ces attaques est de préparer votre organisation afin qu’elle ait une alternative viable au paiement de la rançon. Alors que les attaquants qui contrôlent votre organisation disposent de plusieurs façons de vous pousser à payer, les demandes se concentrent principalement sur deux catégories :

  • Payer pour récupérer l’accès

    Les attaquants demandent un paiement en menaçant de ne pas vous redonner accès à vos systèmes et à vos données. Cela est le plus souvent effectué en chiffrant vos systèmes et vos données, puis en exigeant un paiement pour la clé de déchiffrement.

    Important

    Le paiement de la rançon une solution aussi simple et idéale que cela puisse paraître. Étant donné que vous traitez avec des criminels qui ne sont motivés que la rémunération (et souvent des manipulateurs plutôt amateurs qui utilisent une boîte à outils fournie par quelqu’un d’autre), il y a beaucoup d’incertitude quant à l’efficacité du paiement de la rançon. Il n’existe aucune garantie légale qu’ils fourniront une clé permettant de déchiffrer 100 % de vos systèmes et données, ou même qu’ils fourniront tout simplement une clé. Le processus de déchiffrement de ces systèmes utilise des outils personnalisés des attaquants, qui sont souvent des processus manuels et complexes.

  • Payer pour éviter la divulgation

    Les attaquants exigent un paiement en échange de la non-divulgation de données sensibles ou gênantes sur le dark web (autres criminels) ou au grand public.

Pour éviter d’être forcé à payer (situation avantageuse pour les attaquants), l’action la plus immédiate et la plus efficace que vous pouvez entreprendre consiste à garantir que votre organisation peut restaurer l’ensemble de votre entreprise à partir d’un stockage immuable, que ni l’attaquant, ni vous ne pouvez modifier.

Il est également très important d’identifier les ressources les plus sensibles et de les protéger avec une sécurité renforcée, mais il s’agit d’un processus plus long et plus difficile à exécuter. Nous ne voulons pas que vous soyez confronté à d’autres points au cours des phases 1 ou 2, mais nous vous recommandons de lancer le processus en associant les parties prenantes de l’entreprise, de l’informatique et de la sécurité pour poser des questions comme celles-ci et y répondre :

  • Quelles ressources métier seraient les plus préjudiciables si elles étaient compromises ? Par exemple, quelles ressources notre leadership commercial serait-il prêt à payer une demande d’extorsion si les attaquants les contrôlaient ?
  • Comment ces ressources métier se traduisent-elles en ressources informatiques (telles que des fichiers, des applications, des bases de données, des serveurs et des systèmes de contrôle) ?
  • Comment pouvons-nous protéger ou isoler ces ressources afin que des attaquants ayant accès à l’environnement informatique général ne puissent pas y accéder ?

Sécuriser les sauvegardes

Vous devez garantir que les systèmes critiques et leurs données sont sauvegardés, et que les sauvegardes sont protégées contre l’effacement délibéré ou le chiffrement par un attaquant.

Les attaques sur vos sauvegardes visent à paralyser la capacité de votre organisation à répondre sans payer, souvent en attaquant les sauvegardes et les principaux documents nécessaires à la récupération pour vous obliger à payer les demandes d’extorsion.

La plupart des organisations ne protègent pas les procédures de sauvegarde et de restauration contre ce niveau d’attaque délibérée.

Notes

Cette préparation améliore également la résilience aux catastrophes naturelles et aux attaques rapides comme WannaCry et (Not)Petya.

L’article Plan de sauvegarde et de restauration pour la protection contre les ransomware indique ce qu’il faut faire avant une attaque pour protéger vos systèmes métier critiques et durant une attaque pour garantir une récupération rapide de vos opérations métier.

Responsabilités des membres d’un programme et d’un projet

Ce tableau décrit la protection globale de vos données contre les ransomware sous l’angle d’une hiérarchie de parrainage/gestion de programme/gestion de projet pour déterminer et susciter des résultats.

Lead Implémenteurs Responsabilité
Opérations du service informatique central ou directeur informatique (CIO) Parrainage de la direction
Responsable de programme de l’infrastructure du service informatique central Susciter des résultats et une collaboration entre les équipes
Infrastructure/sauvegarde du service informatique central Activer la sauvegarde d’infrastructure
Productivité/utilisateurs finaux du service informatique central Activer la sauvegarde OneDrive
Architecture de la sécurité Fournir des conseils sur la configuration et les normes
Stratégie et normes de sécurité Mettre à jour les normes et les documents de stratégie
Gestion de la conformité de la sécurité Superviser pour garantir la conformité

Check-list d’implémentation

Appliquez ces bonnes pratiques pour sécuriser votre infrastructure de sauvegarde.

Terminé Tâche Description
Sauvegardez automatiquement toutes les données critiques selon une planification régulière. Vous permet de récupérer des données jusqu’à la dernière sauvegarde.
Testez régulièrement votre plan de continuité d’activité/reprise d’activité (BC/DR). Garantit une récupération rapide des opérations métier en traitant une attaque par ransomware ou extorsion avec la même importance qu’une catastrophe naturelle.
Protégez les sauvegardes contre l’effacement délibéré et le chiffrement :

- Protection renforcée : exigez des étapes hors bande (MFA ou PIN) avant de modifier les sauvegardes en ligne (par exemple, la Sauvegarde Azure).

- Protection renforcée : stockez les sauvegardes dans un stockage immuable en ligne (par exemple, le Stockage Blob Azure) et/ou entièrement hors connexion ou hors site.
Les sauvegardes accessibles aux attaquants peuvent être rendues inutilisables pour la reprise de l’activité. Implémentez une sécurité plus forte pour accéder aux sauvegardes et l’incapacité de modifier les données stockées dans les sauvegardes.
Protégez les documents associés nécessaires pour la récupération, comme les documents de procédure de restauration, votre base de données de gestion de la configuration (CMDB, configuration management database) et les diagrammes de réseau. Les attaquants ciblent délibérément ces ressources, car cela a un impact sur votre capacité à effectuer une récupération. Assurez-vous qu’ils survivent à une attaque par ransomware.

Résultats et chronologie de l’implémentation

Dans les 30 jours, vérifiez que le temps moyen de récupération (MTTR) répond à votre objectif de continuité d’activité/récupération d’urgence (BC/DR), tel que mesuré pendant les simulations et les opérations réelles.

Protection de données

Vous devez implémenter la protection des données pour garantir une récupération rapide et fiable après une attaque par ransomware et bloquer certaines techniques d’attaquants.

Les attaques destructrices par ransomware ou extorsion fonctionnent uniquement quand l’accès légitime total aux données et aux systèmes est perdu. Garantir que les attaquants ne peuvent pas supprimer votre possibilité de reprendre les opérations en cas de non-paiement protège votre entreprise et compromet la motivation financière à attaquer votre organisation.

Responsabilités des membres d’un programme et d’un projet

Ce tableau décrit la protection globale des données de votre organisation contre les ransomware sous l’angle d’une hiérarchie de parrainage/gestion de programme/gestion de projet pour déterminer et susciter des résultats.

Lead Implémenteurs Responsabilité
Opérations du service informatique central ou directeur informatique (CIO) Parrainage de la direction
Responsable de programme de la sécurité des données Susciter des résultats et une collaboration entre les équipes
Productivité/utilisateurs finaux du service informatique central Implémenter les changements au locataire Microsoft 365 pour OneDrive et les dossiers protégés
Infrastructure/sauvegarde du service informatique central Activer la sauvegarde d’infrastructure
Entreprise/Applications Identifier les ressources métier critiques
Architecture de la sécurité Fournir des conseils sur la configuration et les normes
Stratégie et normes de sécurité Mettre à jour les normes et les documents de stratégie
Gestion de la conformité de la sécurité Superviser pour garantir la conformité
Équipe en charge de l’éducation des utilisateurs Garantir que les recommandations données aux utilisateurs reflètent les mises à jour des stratégies

Check-list d’implémentation

Appliquez ces bonnes pratiques pour protéger les données de votre organisation.

Terminé Tâche Description
Migrez votre organisation vers le cloud :

- Déplacer des données utilisateur vers des solutions cloud comme OneDrive/SharePoint pour tirer parti des fonctionnalités de gestion des versions et de corbeille.

- Éduquez les utilisateurs sur la façon de récupérer leurs fichiers par eux-mêmes afin de réduire les délais et le coût de la récupération.
Les données utilisateur présentes dans le cloud Microsoft peuvent être protégées par des fonctionnalités intégrées de gestion des données et de sécurité.
Désignez des dossiers protégés. Rend plus difficile, pour les applications non autorisées, la modification des données se trouvant dans ces dossiers.
Vérifiez vos autorisations :

- Découvrez les autorisations d’écriture/de suppression étendues sur les partages de fichiers, SharePoint et d’autres solutions. Par « étendues », il faut entendre un grand nombre d’utilisateurs disposant d’autorisations en écriture/suppression pour les données critiques pour l’entreprise.

- Réduisez les autorisations étendues pour les emplacements de données critiques tout en répondant aux exigences de collaboration métier.

- Auditez et surveillez les emplacements de données critiques pour vous assurer que les autorisations générales ne réapparaîtnt pas.
Réduit les risques liés aux activités de ransomware qui s’appuient sur un accès large.

Étape suivante

Phase 2. Limit the scope of damage

Passez à la phase 2 pour limiter l’étendue des dommages causés par une attaque en protégeant les rôles privilégiés.

Autres ressources de ransomware

Informations clés de Microsoft :

Microsoft 365 :

Microsoft 365 Defender :

Microsoft Azure :

Microsoft Defender pour Cloud Apps :

Billets de blog de l’équipe de sécurité Microsoft :