Les plans de sauvegarde résistent rarement aux assauts de ransomware. Les cybercriminels visent d’abord les infrastructures de sauvegarde pour les anéantir avant de chiffrer les données principales. Exposées et vulnérables, ces sauvegardes transforment un outil de récupération en point de défaillance unique.
La séquence typique d’une attaque contre les sauvegardes
Les incursions de ransomware suivent un schéma récurrent : accès initial, vol de identifiants, déplacement latéral, repérage des sauvegardes, destruction des données de secours, puis déploiement du chiffrement.
Une fois en possession de privilèges administrateur, les assaillants énumèrent les serveurs de sauvegarde, accèdent aux consoles via les identifiants dérobés, suppriment ou chiffrent les fichiers et instantanés, désactivent les agents et tâches programmées, ou altèrent les politiques de rétention.
Parmi les méthodes employées figurent la suppression des Volume Shadow Copies sous Windows, l’usage d’outils administratifs légitimes via des techniques living-off-the-land, l’attaque des instantanés d’hyperviseurs, ou l’exploitation des API pour les stockages cloud.
Les faiblesses récurrentes des sauvegardes face au ransomware
Absence de séparation entre environnements de production et de sauvegarde : mêmes domaines, mêmes identifiants, accessibilité depuis les systèmes infectés.
Contrôles d’accès défaillants : identifiants administratifs partagés, absence de multifactor authentication (MFA), comptes de service surprivilegiés.
Manque d’immutabilité : les sauvegardes modifiables ou supprimables disparaissent facilement.
Processus de récupération non testés : découvertes d’incomplétude, corruption ou lenteur lors des incidents.
Outils de sécurité et de sauvegarde isolés : attaques sur les infrastructures de secours passent inaperçues.
L’importance de l’immutabilité pour contrer le ransomware
Les sauvegardes immuables bloquent toute modification ou suppression pendant une période définie, préservant un point de récupération fiable. Caractéristiques essentielles : stockage write-once, read-many (WORM), verrous de rétention temporels, protection contre les abus d’API et d’identifiants, application au niveau du stockage.
Même avec un accès administrateur total, ces sauvegardes demeurent intactes, garantissant la continuité des opérations. L’immutabilité nécessite toutefois une combinaison avec contrôles d’accès, surveillance et validation des récupérations.
Cinq mesures pour blinder les sauvegardes contre le ransomware
Pour les fournisseurs de services gérés (MSP) et équipes IT d’entreprise :
1. Séparer les identités : Identifiants dédiés et MFA.
2. Isoler les environnements de sauvegarde : Segmentation réseau et restriction d’accès.
3. Adopter l’immutabilité : Interdire suppressions et modifications.
4. Surveiller l’activité des sauvegardes : Repérer les anomalies précocement.
5. Tester les récupérations régulièrement : Vérifier la restauration effective.
Réactions face à des sauvegardes compromises
En cas de destruction pendant une attaque de ransomware, identifier d’anciennes copies intactes, exploiter des stockages hors site ou cloud immuables, reconstruire depuis des bases propres, ou analyser forensiquement l’état dernier sain.
La récupération dépend de sauvegardes fiables, au-delà de leur simple existence.
Construire une stratégie de sauvegarde résiliente au ransomware
Intégrer sécurité et sauvegarde pour une détection, protection et récupération coordonnées.
Automatiser validations et orchestrations de récupération afin d’éviter les échecs manuels.
Assurer une visibilité complète sur l’état des sauvegardes, anomalies et signes de compromission.
Concevoir les défenses en anticipant l’accès ennemi aux systèmes de secours.