Stockage immuable : la réponse aux attaques par cryptolocking ?

Le ransomware est une menace grandissante : le nombre d’incident déclarés a augmenté de 24% entre 2022 et 2023. Le rapport semestriel de la cybersécurité de Trend Micro est sans équivoque : ces menaces soulignent la nécessité d'une gestion proactive des cyber-risques. Dans cet article, nous allons étudier l'intérêt du stockage immuable dans cet arsenal de sécurité, notamment au niveau des sauvegardes.

Cryptolocking : de quoi parle-t-on ?

Le cryptolocking (ransomware ou rançongiciel, en français) est un type d’attaque cyber qui consiste à modifier des données en les chiffrant. L'objectif est de les rendre illisibles sans une clé de déchiffrement.

La technique du cryptolocking (verrouillage) est utilisée par des cybercriminels. Une fois les fichiers illisibles, ils demandent une rançon. Seule cette rançon permet en principe de récupérer l'accès aux fichiers.

Quel danger ?

Toute organisation (publique, privée) doit aujourd'hui disposer d'un plan d'attaque pour faire face à un désastre, notamment aux attaques par cryptolocking. Le constat est glaçant : "60% des administrations n'ont pas de plan de continuité en cas d'incident majeur pour les ressources critiques", selon Digital Wallonia.

Et ce n'est pas tout :

• 2 entreprises sur 5 qui subissent une attaque sont vouées à disparaître dans les 5 ans (Gartner).
• 80 % des organisations sans plan de continuité sont susceptibles de fermer leurs portes dans les 13 mois suivant un incident (Business Continuity Institute).

Attaques par cryptolocking : les différentes étapes

On compte plusieurs étapes dans toute attaque de type ransomware :

1. Infiltration et infection : Le ransomware est introduit dans le système informatique, le plus souvent par le biais d'un e-mail de phishing. Ce dernier contient un lien ou une pièce jointe infectés. Outre l'e-mail, le SMS et WhatsApp sont également utilisés, de même que les vulnérabilités des OS et des logiciels.
2. Phase d'installation du logiciel malveillant : une fois exécuté sur l'appareil de la victime, le ransomware s'installe, le plus souvent discrètement. Il peut également tenter de se propager à d'autres appareils sur le même réseau. Il peut éventuellement désactiver ou contourner les logiciels de sécurité existants pour éviter d'être détecté.
3. Recherche de cibles et chiffrement : Le rançongiciel commence à rechercher des fichiers et des répertoires spécifiques à chiffrer. De manière générale, il va cibler en priorité des fichiers sensibles (documents, bases de données). Le logiciel malveillant procède ensuite au chiffrement des fichiers importants, non seulement sur l'ordinateur, mais aussi sur le réseau.
4. Demande de rançon : Une fois l'attaque par cryptolocking réussie, le ransomware affiche un message de demande de rançon à l'utilisateur, lui indiquant que ses fichiers ont été chiffrés et lui demandant de payer une certaine somme, souvent en cryptomonnaie ou cryptoactif. En échange, il peut théoriquement obtenir ce que l'on appelle la clé de déchiffrement.

Qu'est-ce que le stockage immuable ?

Le stockage immuable est un concept de stockage de données où, une fois la donnée écrite, elle ne peut être ni modifiée ni même supprimée pendant une période définie.

Ce type de stockage s’oppose aux stockages modifiables et de sauvegarde, lesquels ne garantissent pas nécessairement l'immuabilité.

Quel intérêt ?

L'immutabilité assure l'intégrité des données et les protège contre les modifications malveillantes ou accidentelles, ce qui en fait un outil de protection des données et de conformité réglementaire.

Le stockage immuable garantit l'intégrité des données en s'assurant que les données originales restent inchangées. Il offre ainsi une protection contre toute modification, suppression ou altération des données une fois qu'elles ont été enregistrées.

Comment ça marche ?

Le concept de stockage immuable fonctionne comme ceci :

• Écriture unique et lecture multiple : les données qui sont stockées sur un support immuable suivent le principe WORM (Write Once, Read Many). Une fois les données écrites, elles peuvent être lues autant de fois que nécessaire. Leur effacement ou la modification ne sont possibles qu'une fois que la période de stockage immuable définie est terminée.

• Période de rétention : les politiques de rétention définissent la durée pendant laquelle les données doivent rester immuables. Pendant cette période, les données ne peuvent être ni modifiées ni supprimées, ce qui offre une protection contre les altérations.

• Sécurité des données : Le stockage immuable garantit l'intégrité des données, notamment dans des contextes où il est crucial de prévenir toute altération malveillante ou accidentelle.

Immutabilité : dimensionnement et choix de la solution de stockage

Il existe 2 types d'immutabilité :

• Logicielle : l'immutabilité est assurée par le logiciel qui gère le transfert des données vers l'espace de stockage.

• Matérielle : l'immutabilité est activée au niveau de l'infrastructure de stockage elle-même.

La fiabilité des solutions dépend autant de la qualité des logiciels (Software) que du matériel (Hardware) utilisés. Pourquoi ? Toute faille ou vulnérabilité peut compromettre l'efficacité d'un des éléments. Le choix de la solution de stockage immuable doit tenir compte de ces risques, absolument. Une stratégie peut être de ne sélectionner que du matériel qui a été certifié par des organismes tiers indépendants et qui est couvert par un contrat de support professionnel.

Stockage immuable dans le Cloud : est-ce possible ?

Les services de stockage en cloud peuvent offrir des options de stockage immuable, mais tous les services en cloud ne le font pas par défaut.

L'offre Agilis Secure Cloud Bucket est une offre de stockage objet S3 proposée sous forme de service. Elle permet de stocker les données sur une infrastructure de stockage hautement disponible et souveraine pour la territorialité des données (WDC - Wallonie Data Center -, situé à Villers-le-Bouillet).

Ce service est proposé sous la forme d'un espace de stockage objet S3 (Bucket), d'une capacité définie, avec une option de Stockage Immuable matérielle. Le matériel utilisé dispose d'une certification de sécurité Critères Communs EAL2 (Common Criteria) et de la validation FIPS 140-2 de ses méthodes de chiffrement.

Les avantages ? Du matériel certifié, présent physiquement en Belgique, proche des services Cloud Agilis (RTO minimal en cas d’activation de Disaster Recovery), intégration au réseau Win.

Backup immuable : applications et sauvegardes

Le backup immuable permet le stockage sécurisé des ressources applicatives cruciales du réseau (active directory, serveurs applicatifs, bases de données, CRM,…). Ceci permet une remise en service dans les meilleures conditions en cas de cryptolocking de l’infrastructure applicative principale.

C’est une réponse en cas de désastre, dont le cryptolocking des systèmes et des données. En particulier, le backup immuable sur du stockage S3 offre l’assurance de relancer ses activités cruciales sans délais en cas de souci.

Backup et stockage immuable

Les sauvegardes (Backups) de systèmes font également partie des usages recommandés, dans le cadre de la politique de sécurité des organisations. Elles doivent participer à une stratégie de sécurité globale des organisations, qui comprend par ailleurs la surveillance du réseau, la détection des anomalies et d'autres mesures de sécurité en amont.

Stratégie et bonnes pratiques

L'approche recommandée est celle du NIST (National Institute of Standards and Technology), que nous avons déjà évoquée, représentée par ce schéma.

Les bonnes pratiques évidentes s’imposent ici aussi : 3 copies différentes des données sur 2 supports différents, dont une copie externe et une copie déconnectée ou immuable. Et, évidemment, ne rencontrer aucune erreur lors des tests de restaurations réguliers qui doivent être effectués pour valider le process de bout-en-bout.

Quelle fréquence ?

La fréquence de ces backups dépendra de plusieurs critères, dont la criticité des systèmes, les RPO/RTO souhaités en cas de désastre, le taux de changement des données du système. En général, lors d’une restauration, on utilisera le backup le plus récent (le RPO le plus proche) pour limiter la perte de données. Dans ce cas, l’immuabilité des backups sera limitée de quelques jours à quelques semaines. Attention, la durée d’immuabilité a un impact sur le volume de stockage nécessaire.

Les questions à se poser :

• Combien de données peut-on perdre et combien de temps peut-on se permettre d'être à l'arrêt (down) ? Définir le RPO (Recovery Point Objective), soit le temps associé à une perte acceptable, et le RTO (Recovery Time Objective), à savoir le temps maximum acceptable entre l'incident et la restauration du minimal vital.

• Que faut-il sauvegarder et où le faire ? Pour y répondre, il faut identifier les workloads critiques, définir le RPO par workload et prendre en compte la vitesse de restauration pour le RTO. Elle dépendra à la fois de la vitesse du stockage et de la bande passante disponible entre le stockage et l'infrastructure de restauration.

Conclusion : Stockage immuable et Cryptolocking

Le stockage immuable est considéré comme une réponse efficace contre les attaques par cryptolocking (ransomware) pour plusieurs raisons : protection contre la modification des données, assurance de récupération des données et leur intégrité et réduction du Downtime (temps d'arrêt).