Planifier sa reprise d'activité post-cyberattaque : un marathon jusqu'au sprint final !

L'expression "reprise après sinistre" fait plus souvent penser à des images de séisme ou d'inondation que de data centers ou de lignes de code. Pourtant, ces catastrophes naturelles, aussi dramatiques et dévastatrices soient-elles, restent rares et localisées. Les cyberattaques, au contraire, se caractérisent par leur spectaculaire capacité de propagation, au point de devenir au cours des dernières années, une menace létale pour les organisations. Avec la multiplication des offres de ransomware disponibles sur le dark web pour un coût modique (on parle même de ransomware-as-a-service !), nul besoin d'être situé au pied d'un volcan en activité pour investir dans un plan de reprise après sinistre.

Les cyberattaques peuvent frapper n'importe où, n'importe quand, et sont de plus en plus sophistiquées. Les logiciels malveillants peuvent se cacher pendant des mois à l'intérieur d'un réseau, dérobant, corrompant ou détruisant des données avant que leurs commanditaires ne demandent une rançon. Les dernières générations de ransomware ne se contentent pas d'attaquer une entreprise, elles prennent également directement ses clients en otage. Dans le cadre de ce que l'on appelle la "triple extorsion", les cybercriminels exercent un chantage directement auprès des propriétaires des données volées, en les menaçant de les revendre. Dans son rapport "Ransomware in a global context", Google révèle que plus de 80 millions d'échantillons de ransomware ont été téléchargés vers son service VirusTotal sur une période de 18 mois. Plus que jamais, il faut garder un oeil sur ses potentiels invités indésirables.

La perte, la corruption et le vol de données, peuvent avoir de graves conséquences à court comme à long terme pour une entreprise : perte de confiance des clients et des investisseurs, dommages irréparables sur la réputation, perte de revenus voire amendes infligées par les autorités de contrôle. Alors, que faire avant qu'un ransomware ne frappe ?

Le sport d'endurance nous offre une analogie aussi inattendue que pertinente !

Prendre soin de son matériel

La meilleure stratégie de continuité des activités et de reprise après sinistre va au-delà d'une simple restauration des données. Un bon plan garantie la restauration rapide de tout ce dont l'entreprise a besoin pour fonctionner, essentiellement son infrastructure matérielle, ses applications logicielles et l'ensemble de ses systèmes de communication et de sécurité.

Tel un athlète ne laissant rien au hasard dans la réalisation de son objectif, l'entreprise doit se doter du meilleur équipement possible : il convient, d'abord, d'adopter une infrastructure et des outils qui incluent une protection « par design », ainsi que des logiciels dédiés à la sécurité et à la segmentation du réseau. En outre, de nombreuses entreprises disposent de centres de sécurité internes ou externes, dotés de l'expertise nécessaire pour faire face aux menaces entrantes potentielles en fonction des informations qu'ils recueillent sur les attaques, les corrections et les tendances dans le monde entier. A la manière de la grippe saisonnière, l'évolution des logiciels malveillants peut être suivie et les menaces contrecarrées par les correctifs adéquats.

Une course de fond, au coude à coude

Malgré tous ces efforts, la dure réalité est que les cybercriminels sont bien financés, qualifiés et ont fait des logiciels malveillants un véritable business. C'est pourquoi les organisations doivent partir du principe que leurs protections et leurs actifs seront compromis. Elles doivent se préparer en identifiant de manière proactive les infrastructures, les informations et les données essentielles à la continuité de leurs activités, afin de mettre en oeuvre des plans de récupération pour ces actifs et négocier des accords de niveau de service avec leur fournisseur.

A l'image de l'activité de l'entreprise, de ses choix stratégiques et de ses transformations, l'identification proactive et la hiérarchisation des actifs à protéger est un travail continu, une véritable course de fond où aucune pause n'est permise. La valeur de certaines données peut en effet diminuer avec le temps et, à mesure que les volumes de données augmentent, s'ajoute la difficulté de minimiser les coûts de stockage. Dans ce cadre, il est d'ailleurs fortement recommandé d'éviter un stockage des sauvegardes sur le réseau de l'entreprise, qui est par essence vulnérable au même type d'attaque, et de plutôt privilégier des modes de stockages cloisonnés : disques, bandes magnétiques ou bien dans un cloud distinct du réseau de stockage primaire, et en fournissant une chaîne de traçabilité pour chacun de ces actifs.

Toujours dans les starting-block

On ne sait jamais comment ni quand les cybercriminels vont frapper. Chaque minute compte donc, avant et après un sinistre. Plus une reprise est rapide, plus l'impact potentiel sur les clients et autres parties prenantes est réduit tout comme les dommages financiers, réputationnels et juridiques minimisés. Un bon plan de reprise après sinistre doit permettre de faire face à tout type d'événement.

Réunir tous les éléments nécessaires à une reprise optimale d'activité après sinistre est un processus complexe. Il est important d'élaborer un plan complet de sauvegarde permettant à l'entreprise de reprendre son activité au plus vite, notamment via un service de sauvegarde en tant que service (BaaS) et une reprise après sinistre en tant que service (DRaaS).

Pour en savoir plus

Laurent Richardeau, Directeur de la B.U. Gouvernance de L'information et solutions digitales chez Iron Mountain. Il accompagne Iron Mountain dans le développement de sa stratégie, son offre et sa visibilité notamment sur le Cloud.