Protection anti ransomware, TOP 8 des erreurs liées aux backups
Les sauvegardes régulières constituent l’un des éléments clés d’une stratégie de protection contre les ransomwares. Mais il ne suffit pas de faire des backups, il faut avoir une stratégie claire et faire des tests réguliers afin de s’assurer que le jour où vous en aurez besoin, ils seront accessibles et utilisables.
Dans le présent article, nous revenons sur les 8 principales erreurs que nous voyons en termes de prise de backup. Et souvent, ces erreurs sont fatales!
1. Serveur de backup directement connecté aux serveurs du réseau
Dans les PME, il est courant de voir le serveur de sauvegarde directement connecté aux serveurs, notamment via le port USB. C’est une erreur fatale car lorsqu’un ransomware s'exécute sur un ordinateur, il chiffre les données du disque dur local, mais aussi celui de tout disque connecté physiquement à l'ordinateur. De ce fait, si votre serveur de sauvegarde est directement connecté aux serveurs via USB, considérez que vous ne faites pas de sauvegarde.
Certains ransomwares sont même capables de chiffrer le contenu des répertoires distants partagés connectés à l'ordinateur. Il est donc déconseillé de faire vos sauvegardes sur un répertoire partagé accessible à tous.
Dans d’autres cas, nous constatons que le serveur de sauvegarde est installé dans la même zone réseau que les serveurs et c’est une mauvaise idée. En effet, lorsque le pirate prend le contrôle d’un serveur, il a très souvent la possibilité de découvrir les autres disponibles dans la zone, incluant le serveur de sauvegarde. C’est ce qui explique le fait que dans plusieurs cas de ransomwares, le pirate est en mesure de chiffrer les données et les sauvegardes, ce qui met les organisations dans une situation extrêmement difficile. Ne facilitez pas la tâche des pirates, ils ne vous seront pas reconnaissants.
Solution: Le serveur de sauvegarde ne doit jamais être connecté directement à un serveur ou être disponible dans la zone de ces derniers. Idéalement la sauvegarde doit être faite à distance et vous devez limiter de manière stricte les types de communications entre les serveurs du réseau et de sauvegarde. Ayez aussi toujours une copie hors ligne de vos sauvegardes.
2. Se fier uniquement aux messages de confirmation des serveurs de backups
A la fin d’une sauvegarde de données, vous avez presque toujours un message qui vous confirme si l’opération s’est réalisée avec succès ou non. Toutefois, le fait qu’une sauvegarde soit réalisée avec succès ne vous garantit pas que vous pourrez restaurer les données. Très souvent cela se passe bien, mais il arrive que seule une partie des données soit restaurable. Selon notre expérience liée aux ransomwares, dans 25% des cas, les sauvegardes n’ont pas pu être restaurées en totalité. Paradoxalement les équipes TI avaient reçu des messages confirmant que les backups s’étaient bien passés.
3. Mettre tous vos oeufs dans le même panier
Avez vous pensé au fait qu’il pourrait être possible que votre fournisseur de solution de sauvegarde vive un incident majeur qui rende toutes vos données inaccessibles?
Que feriez-vous si cela arrivait au moment où vous avez besoin de restaurer vos données en urgence?
Ces questions semblent extrêmes, mais elles sont pertinentes et vous devez vous les poser, afin de bien planifier votre stratégie de continuité des activités.
Solution: Identifiez vos processus d’affaires les plus critiques et assurez-vous que les données qu’elles traitent ne soient pas sauvegardées chez un même fournisseur. Vous pourrez être fortement impacté, si d’aventure ce fournisseur vivait un incident majeure tel que celui de OVH en France en mars 2021 (incendie), de WHC en août 2021 ou encore Facebook en octobre 2021.
Rappelez vous aussi que votre fournisseur de solution de sauvegarde pourrait être piraté et que le pirate pourrait exfiltrer vos données. Dans un tel cas, il vaudra mieux pour vous qu’une partie de vos données soit exfiltrée plutôt que la totalité. Même si vous n’avez pas été piraté, les pirates pourraient se retourner vers vous pour demander une rançon. Et plus ils détiennent vos données, plus vous serez mis sous pression pour verser une rançon.
4. Ne pas identifier clairement l’ensemble des données à sauvegarder
Si vous ne disposez pas d'un plan clair en matière de sauvegarde de données, il se pourrait que vous oubliez de sauvegarder les données de certaines applications qui sont importantes pour vous à votre insu.
En premier lieu, votre site web corporatif ! Avez-vous pensé aux impacts si votre site web corporatif n’était pas disponible pendant 1 semaine?
Dans un cas constaté, l’organisation avait oublié de prendre des copies de sauvegarde d’une application de gestion de projet car elle ne semblait pas critique. Après un incident ransomware, plusieurs développeurs de l’organisation n'ont pu travailler que partiellement pendant plusieurs jours. L’organisation a découvert avec surprise que l’application était devenue critique: avec le temps, l’usage de l’application avait été étendu par l’équipe de développement. L’application contient maintenant des informations sur les bugs à corriger et les développeurs y avaient inclus un tchat pour faciliter leurs demandes et communications. Toutes ces informations avaient été chiffrées par le ransomware.
Solution: faites une analyse d’impact d’affaires et identifiez toutes les applications qui sont critiques pour votre organisation, et assurez vous de prendre une copie de sauvegarde. Impliquez toutes les lignes d’affaires afin de vous assurer de couvrir toutes les applications de l’organisation. Ne négligez aucune application, il se pourrait qu’une application a priori banale soit vitale. Actualisez votre liste au moins une fois par année, afin de vous assurer de ne rien oublier.
5. Backups non testés régulièrement
Plusieurs organisations ne testent pas régulièrement les copies de sauvegardes qu’elles prennent et partent du principe que les données seront récupérables en cas de besoin. Ceci est une erreur.
Solution: seuls les tests réguliers vous assurent que vous pourrez restaurer vos données en cas de besoin. Nous vous recommandons donc d’établir un calendrier de test et de réaliser des tests de restauration de données au moins 1 fois par année. Le test peut être fait de manière isolée ou dans le cadre du test de votre plan de réponse aux incidents.
6. Ne pas tenir compte de son débit Internet lors du choix d’un fournisseur de solution de sauvegarde dans le Cloud
Combien de temps cela prendra pour récupérer mes sauvegardes en cas d’urgence? On devrait toujours se poser cette question lorsque l’on choisit un fournisseur de solution de sauvegarde dans le Cloud. La réponse à cette question inclut un facteur important qui vous concerne personnellement: le débit Internet de votre réseau.
Plus votre débit Internet est faible et plus les délais de récupération de vos données seront longs.
Par exemple, lors d’un cas d’incident que nous avons géré, les sauvegardes faisant plusieurs Terabytes et le temps estimé pour les télécharger étaient de 1 semaine! Il a été plus facile et rapide de trouver un coursier qui est allé chercher une copie des sauvegardes chez l'hébergeur (en Ontario), puis de le faire livrer à Montréal via le prochain vol.
Ce cas semble extrême? Pour nous, ce n’est qu’un exemple parmi tant d’autres. Votre débit Internet peut être votre ennemi en cas de ransomware.
Solution: avant d’envisager de faire vos sauvegardes chez un hébergeur, assurez vous qu’en cas de besoin, le téléchargement de vos données se fera dans des délais acceptables. Convenez avec votre fournisseur des options disponibles au cas où pour diverses raisons, le téléchargement ne marcherait pas ou serait trop long.
7. Ne pas garder une copie des sauvegardes offline
Dans plusieurs cas de ransomwares constatés, le pirate a été en mesure de chiffrer les données sur les serveurs, ainsi que les sauvegardes en ligne. A moins d’avoir fait des tests qui ont confirmé le contraire, considérez toujours qu’il y a une possibilité que le pirate puisse chiffrer également vos sauvegardes en ligne.
Solution: nous vous recommandons de toujours avoir une copie hors ligne de vos sauvegardes de données. Si vos sauvegardes sont faites chez un tiers, assurez-vous également qu’il conserve une copie hors ligne de vos données. Discutez aussi avec votre fournisseur du délai nécessaire pour accéder à ces données hors ligne afin de vous assurer que c’est acceptable pour vous.
8. Sous-estimer le temps de restauration des sauvegardes
Quand on lance une sauvegarde de données, on se soucie généralement très peu du temps nécessaire pour réaliser l’opération. Que cela prenne 1h ou un jour, c’est généralement acceptable car le processus de sauvegarde n’a pas d’incidence sur la continuité des opérations d’affaires.
Par contre, lorsqu’on lance une restauration des données c’est en général parce qu'on a un problème et que les services sont interrompus. Dans un tel contexte, il y a toujours une urgence et la durée nécessaire pour la restauration est d’une importance capitale. Vous devez donc vous assurer qu’en tout temps les restaurations de données se feront dans des délais acceptables.
Solution: identifiez les SLA raisonnables pour la restauration de vos données et faites des tests périodes pour les valider. Testez aussi le cas extrême suivant: vous avez besoin d’accéder aux données hors ligne chez votre fournisseur de sauvegarde pendant la période des vacances, les fêtes de fin d’année ou pendant un long weekend. Vous pouvez être très surpris du résultat.
Comment Streamscan peut vous aider?
En nous appuyant sur notre longue expérience en matière de réponse aux cas de ransomwares, nous avons établi une méthode de diagnostic opérationnel qui nous permet de vérifier si votre stratégie de backups est bonne et si vous avez en place tout ce qu’il faut pour restaurer vos données et revenir en production rapidement en cas de chiffrement par un ransomware. Dans de tels cas, les minutes comptent et plus vous serez prêts, mieux ce sera. Ne laissez pas les ransomwares ou les pirates vous dicter la conduite à tenir, prenez les devants et soyez prêts pour une restauration rapide de vos données, chaque fois que c’est nécessaire.
Pour en savoir plus sur ce service de diagnostic, veuillez contacter l’un de nos experts.