Détection temps réel des ransomwares : repenser la protection des données pour renforcer la résilience de l'entreprise

Des solutions capables de détecter le chiffrement du malware à son stade le plus précoce permettront de récupérer les données en quelques secondes avec les meilleurs objectifs de RTO et de RPO.

Si les attaques ransomware sont ultra rapides, chiffrant les données ciblées en moins de 60 minutes, il faut sept jours en moyenne aux entreprises pour les détecter selon Mandiant Inc. A la traîne vis-à-vis des pirates, les organisations se retrouvent ainsi en cas d’attaque dans une posture de sécurité dite réactive, s’appuyant sur leurs différentes sauvegardes pour reconstruire les applications critiques. Bien entendu, si ces sauvegardes n’ont pas pour autant été compromises elles aussi ! Des solutions capables de détecter le chiffrement du malware à son stade le plus précoce permettront de récupérer les données en quelques secondes avec les meilleurs objectifs de temps de récupération (RTO) et de point de récupération (RPO).

Capables de paralyser les opérations d'une organisation, les attaques ransomware s’amplifient depuis plusieurs années avec notamment l'essor des plateformes de ransomware-as-a-service (RaaS) qui démocratisent ces attaques, en permettant de les lancer en quelques clics et sans expertise en hacking particulière. En 2023, plus de 72% des entreprises ont été touchées selon Statista, avec des temps moyen de récupération des données et applications critiques de 22 jours jusqu’à plusieurs mois.  Des délais inacceptables dans le contexte règlementaire actuel et des féroces enjeux commerciaux qui se jouent entre entreprises ! En outre, aucun système d'exploitation ou hyperviseur n'est à l'abri comme en témoignent l’année passée les attaques Cheerscrypt et Black Basta qui ont pris pour cible les machines virtuelles, et plus spécifiquement les hôtes Linux.

Traditionnellement, les entreprises se sont appuyées sur des outils de détection ransomware avancés sur une copie secondaire de données issues directement de leur environnement de production. Mais cette approche rallonge les délais de détection tout en ne permettant pas de mettre en lumière le point exact de l’attaque, là où elle tente de modifier les fichiers système critiques.

Ces backups ne peuvent être utilisés qu'une ou deux fois par jour, après quoi l'analyse des données concernées peut prendre des heures, un laps de temps durant lequel, le code malveillant peut en profiter pour se propager. Une fois que ce dernier est détecté, les équipes informatiques vont alors consacrer du temps et des ressources conséquentes pour s’entendre sur un niveau de RPO/RTO acceptable sur lequel s’appuyer pour assainir et restaurer leur environnement. L’objectif de point de reprise (RPO) est le dernier point dans le temps auquel les systèmes et applications informatiques peuvent être récupérés. L’objectif de temps de reprise (RTO) représente quant à lui le temps qu’il faut pour récupérer les données et les applications, c’est-à-dire le temps qu’il faudra pour que les activités de l’entreprise reviennent à la normale. En bref, l’attaque ransomware va imposer un temps de récupération prolongé qui va durer des jours voire des semaines. Sachant que le coût d’une heure de perte de données pour la plupart des entreprises peut facilement atteindre six chiffres, on avancera sans trop se tromper que les conséquences d’une indisponibilité peuvent être dramatiques en termes de pertes financières et d’image de marque.

Détecter le ransomware à l'endroit même où les données sont générées

Plutôt que de déployer la détection sur des sauvegardes périodiques espacées de plusieurs heures, une détection temps réel et continue au moment même où les données sont écrites permettra d’être en mesure de récupérer beaucoup plus tôt en cas d’attaque.

Les solutions actuelles de détection des ransomwares, temps réel et sans agent, sont en effet capables d'identifier automatiquement les activités de chiffrement qui dépassent un seuil comportemental donné, fournissant ainsi aux organisations l’alerte la plus rapide possible. En plus de détecter les comportements inhabituels au fur et à mesure des écritures, ces solutions fournissent des rapports granulaires sur chaque activité, jusqu'au nombre de blocs chiffrés. Pour identifier et vérifier le début probable d'une attaque, les équipes pourront ainsi s’appuyer sur des points de contrôle de récupération précis affichés dans un journal granulaire et qui vont ainsi permettre la reprise rapide des données à leur état initial avant l’attaque.

Et les avantages de ce système d'alerte en amont sont considérables : diminution drastique du rayon d'action de l’attaque ransomware, limitation de la perte de données, remise des données en production en quelques minutes, et non en quelques jours…

Si 61% des plans de reprise après sinistre en 2023 ont été déclenchés par des ransomwares, faisant d’eux la principale cause des temps d'arrêt et des pertes de données subies par les entreprises selon IDC, la détection de chiffrement en temps réel renforcera incontestablement leur résilience à ce véritable fléau.