Se protéger contre les ransomwares implique d’abord de protéger le SI. Le rapport du Cer santé décrit les portes d’entrée les plus utilisées par les hackers dans ce but. Sans surprise, le phishing et les compromissions de comptes à privilèges sont largement utilisés. La sécurisation porte aussi les applications exposées sur internet. Patrowl a été sélectionnée dans le cadre du programme Care (voir encadré) sur cette partie. « Notre solution en SaaS surveille la totalité de ce qui est exposée en ligne en continu, entre autres avec du Pentest. Découvrir rapidement de nouvelles vulnérabilités ou encore les défauts de configuration est indispensable, décrit son co-fondateur, Vladimir Kolla. Les hackers scannent le web quotidiennement dans ce but. » Patrowl propose des plans de remédiation en complément. Autre point sensible, la gestion des comptes à privilèges laissant souvent à désirer, protéger les équipements médicaux comme les postes de travail à risques passe par une démarche spécifique. « Comme il est impossible de protéger les accès physiques à tous ces ‘endpoints’. Il faut partir du principe qu’ils sont potentiellement compromis », avance Pierre-Antoine Failly Crawford de Varonis. Qui ajoute : « La segmentation des réseaux en vLAN est indispensable et tous ces endpoints ne doivent avoir accès qu’à un vLAN ‘untrusted’ ».
Côté logiciels, les postes de travail et terminaux mobiles doivent embarquer des EDR ou XDR pour faciliter la détection des menaces et ne pas avoir un accès direct au réseau principal. Au niveau de la configuration, le minimum de ports doit rester ouvert et le trafic réseau doit être analysé en permanence. Le zéro trust doit ou devrait également être mis en place. En complément, des outils basés sur l’IA et de l’analyse comportementale facilitent l’identification de comportements atypiques. Enfin, un monitoring en continu est indispensable. Un ensemble d’outils et de services qui malgré tout ne peut garantir une sécurité totale. « Les outils basés sur des bases de signatures statiques ne servent plus à grand-chose et sont facilement contournables », illustre Pierre-Antoine Failly Crawford. Toutes ces couches ont surtout pour objectif d’ajouter de la complexité pour l’attaquant, ce qui l’oblige à passer plus de temps, à laisser des traces et donc augmente les chances de détecter une attaque en cours.
Soigner ses sauvegardes
Si malgré tout, une attaque réussit, est en cours ou si, suite à une détection, il n’est pas possible de garantir que rien n’a été compromis, la seule alternative reste de relancer le SI avec des sauvegardes. Ce qui bien sûr n’a pas échappé aux hackers. Selon un rapport***** 2024 de Veeam, 96 % des attaques par ransomware visent les sauvegardes. Des attaques pas toujours exploitées dans la foulée mais seulement au moment de la restauration. Les plus complexes peuvent se déclencher à partir de sauvegardes compromises jusqu’à 200 jours après l’intrusion. Selon le même rapport de Veeam, 63 % des entreprises risquent une réinfection lors de la restauration. Quelque soit la confiance à accorder à ces chiffres, les sauvegardes sont bien sûr une étape sensible. La règle 3 2 1 est de mise (3 sauvegardes, sur deux médias et une copie hors site). Les fournisseurs spécialisés ont souvent ajouté un 1 pour immuabilité ou ‘Air gap’. Une approche qui à l’instar du Worm inscrit les données sur des supports sur lesquels elles ne peuvent être ni modifiées ni détruites pendant une durée paramétrable. Toutes ces mesures peuvent malgré tout s’avérer insuffisantes. « En cas de ransomware, une VM peut être cryptée, ce qui empêchera ensuite l’accès à des données même immuables », illustre Antoine Lortie, directeur de Rubrik France. Un point d’autant plus important que 97% de toutes les données cryptées dans les établissements de santé en 2023 reposaient sur des architectures virtualisées selon la R&D de Rubrik. « Restaurer la dernière version n’est pas forcément une bonne idée », renchérit François-Christophe Jean, Field Technical Director de Cohesity France.
Les fournisseurs se sont engouffrés dans la brèche et proposent un panel de solutions sur ce point. « La première étape repose sur la détection de toute anomalie, si la sauvegarde du jour diffère beaucoup de celle la veille par exemple. Ce qui peut amener à déclencher une analyse plus fine avec des indicateurs de de compromission – IoC - », décrit François-Christophe Jean de Cohesity. A partir de là, des processus largement automatisés se déclenchent. « Nos solutions s’interfacent avec nombre d’outils, le XDR de Cisco par exemple. Qui peut les piloter s’il identifie un flux anormal pour sauvegarder les serveurs non impliqués par ce flux par exemple. », ajoute-il. Veeam développe la même approche. « Nous proposons une API capable de travailler en bidirectionnel avec les EDR et XDR du marché. Nous travaillons aussi avec les SIEM. Récemment, nous avons mis à disposition un plug-in gratuit intégrable avec Splunk », décrit Christophe Fontaine, Senior Regional Technical Sales Director, Southern Europe and Africa chez Veeam. Démarche similaire chez Rubrik qui récupère les métadonnées des fichiers et peut à la demande les analyser avec des IoC, comme par exemple, des demandes répétées d’accès aux données, un nombre élevé d’échecs d’authentification… Chez Veeam, « la V12.1 de Backup & Replication inclut la capacité de scanner en ligne les sauvegardes. Dans ce cas, il faudra dimensionner les infras pour prendre en charge cette opération, un ‘overhead’ de 20 à 30 % », détaille Christophe Fontaine de Veeam. Toutes ces précautions sont couplées avec des appliances sécurisées. « On ne fait même pas confiance aux horloges des SI. Nos appliances embarquent les leurs, inviolables », insiste Antoine Lortie de Rubrik.
Commentaire