Partager via


Liste de contrôle RaMP – Préparation de la récupération de ransomware

Cette liste de contrôle du plan de modernisation rapide (RaMP) vous aide à préparer votre organisation afin d’avoir une alternative viable pour payer la rançon d’attaquants par ransomware. Alors que les attaquants qui contrôlent votre organisation disposent de plusieurs façons de vous pousser à payer, les demandes se concentrent principalement sur deux catégories :

  • Payer pour récupérer l'accès

    Les attaquants demandent un paiement en menaçant de ne pas vous redonner accès à vos systèmes et à vos données. Cela est le plus souvent effectué en chiffrant vos systèmes et vos données, puis en exigeant un paiement pour la clé de déchiffrement.

    Important

    Le paiement de la rançon une solution aussi simple et idéale que cela puisse paraître. Étant donné que vous traitez avec des criminels qui ne sont motivés que la rémunération (et souvent des manipulateurs plutôt amateurs qui utilisent une boîte à outils fournie par quelqu'un d'autre), il y a beaucoup d'incertitude quant à l'efficacité du paiement de la rançon. Il n'existe aucune garantie légale qu'ils fourniront une clé permettant de déchiffrer 100 % de vos systèmes et données, ou même qu'ils fourniront tout simplement une clé. Le processus de déchiffrement de ces systèmes utilise des outils personnalisés des attaquants, qui sont souvent des processus manuels et complexes.

  • Payer pour éviter la divulgation

    Les attaquants exigent un paiement en échange de la non-divulgation de données sensibles ou gênantes sur le dark web (autres criminels) ou au grand public.

Pour éviter d’être forcé à payer (situation avantageuse pour les attaquants), l’action la plus immédiate et la plus efficace consiste à garantir que votre organisation peut restaurer l’ensemble de votre entreprise à partir d’un stockage immuable qui n’a pas déjà été infecté ou chiffré par une attaque par ransomware, que ni l’attaquant ni vous ne pouvez modifier.

Il est également très important d'identifier les ressources les plus sensibles et de les protéger avec une sécurité renforcée, mais il s'agit d'un processus plus long et plus difficile à exécuter. Nous ne voulons pas que vous retardiez d'autres domaines, mais nous vous recommandons de lancer le processus en réunissant les acteurs du monde des affaires, de l'informatique et de la sécurité afin de poser des questions et d'y répondre :

  • Quelles ressources métier seraient les plus préjudiciables si elles étaient compromises ? Par exemple, quels sont les actifs que les dirigeants d'entreprise seraient prêts à payer en cas d'extorsion si les attaquants les contrôlaient ?
  • Comment ces actifs commerciaux se traduisent-ils en actifs informatiques tels que les fichiers, les applications, les bases de données et les serveurs ?
  • Comment pouvez-vous protéger ou isoler ces ressources afin que des attaquants ayant accès à l’environnement informatique général ne puissent pas y accéder ?

Sécuriser les sauvegardes

Vous devez vous assurer que les systèmes critiques et leurs données sont sauvegardés et qu'ils sont immuables afin de les protéger contre un effacement ou un cryptage délibéré par un attaquant. Les sauvegardes ne doivent pas déjà avoir été infectées ou chiffrées par une attaque par ransomware, sinon vous restaurez un ensemble de fichiers qui peuvent contenir des points d’entrée pour que les attaquants peuvent exploiter après la récupération.

Les attaques sur vos sauvegardes visent à paralyser la capacité de votre organisation à répondre sans payer, souvent en attaquant les sauvegardes et les principaux documents nécessaires à la récupération pour vous obliger à payer les demandes d'extorsion.

La plupart des organisations ne protègent pas les procédures de sauvegarde et de restauration contre ce niveau d'attaque délibérée.

Remarque

Cette préparation améliore également la résilience aux catastrophes naturelles et aux attaques rapides comme WannaCry et (Not)Petya.

Plan de sauvegarde et restauration pour la protection contre les ransomware explique ce qu'il faut faire avant une attaque pour protéger les systèmes critiques de l'entreprise et pendant une attaque pour assurer une reprise rapide des activités de l'entreprise à l'aide d'Azure Backup et d'autres services de cloud computing Microsoft. Si vous utilisez une solution de sauvegarde hors site fournie par un tiers, consultez leur documentation.

Responsabilités des membres d'un programme et d'un projet

Ce tableau décrit la protection globale de vos données contre les ransomware sous l'angle d'une hiérarchie de parrainage/gestion de programme/gestion de projet pour déterminer et susciter des résultats.

Prospect Owner Responsabilité
Opérations du service informatique central ou directeur informatique (CIO) Parrainage de la direction
Responsable de programme de l'infrastructure du service informatique central Susciter des résultats et une collaboration entre les équipes
Ingénieur infrastructure/sauvegarde Activer la sauvegarde d'infrastructure
Administrateurs de Microsoft 365 Implémentez des modifications à votre locataire Microsoft 365 pour OneDrive et les dossiers protégés
Ingénieur Sécurité Fournir des conseils sur la configuration et les normes
Administrateur informatique Mettre à jour les normes et les documents de stratégie
Gouvernance de la sécurité et/ou Administration informatique Superviser pour garantir la conformité
Équipe en charge de l'éducation des utilisateurs Assurez-vous que les utilisateurs recommandent l’utilisation de OneDrive et de dossiers protégés

Objectifs de déploiement

Respectez ces objectifs de déploiement pour sécuriser votre infrastructure de sauvegarde.

Terminé Objectif de déploiement Owner
1. Protégez les documents nécessaires à la restauration, tels que les documents de procédure de restauration, votre base de données de gestion de la configuration (CMDB) et les réseaux de tâches. Architecte informatique ou implémenteur
2. Établissez un processus de sauvegarde automatique de tous les systèmes critiques selon un calendrier régulier et surveillez l’adhésion. Administrateurs de sauvegardes informatique
3. Établissez un processus et planifiez régulièrement l’exercice de votre plan de continuité d’activité et reprise d’activité (BCDR). Architecte informatique
4. Incluez la protection des sauvegardes contre l’effacement et le chiffrement délibérés dans votre plan de sauvegarde :

- Protection renforcée : exigez des étapes hors bande (telles que l'authentification multifactorielle ou un code PIN) avant de modifier les sauvegardes en ligne (tel que Sauvegarde Azure).

- Protection renforcée : stockez les sauvegardes dans un stockage immuable en ligne (par exemple, le Stockage Blob Azure) et/ou entièrement hors connexion ou hors site.
Administrateurs de sauvegardes informatique
5. Avez-vous que vos utilisateurs configurent la sauvegarde OneDrive et les dossiers protégés. Administrateur de productivité Microsoft 365

Étape suivante

Poursuivez l’initiative de données, de conformité et de gouvernance à l’étape 3. Données.