Cybersécurité : avez-vous bien sauvegardé vos données ?

14 mai 2021

Le chercheur en cybersécurité Bertrand Milot a donné une présentation sur l’état du cyberpiratage au Canada et dans le monde, à l’occasion de la conférence « Sécurité de l’information en temps de COVID », le 16 mars 2021. Le portrait fait par le fondateur de la firme de cybersécurité Bradley & Rollins donne froid dans le dos.

La pandémie a créé un contexte où les vulnérabilités informatiques se sont multipliées (par le travail à distance et la mauvaise protection des ordinateurs et des réseaux VPN), mais aussi la vulnérabilité tout court des Internautes, cliquant sur des emails d’hameçonnages en pensant recevoir leurs résultats de dépistage, avoir accès à une cure miracle ou un vaccin sur le marché noir.

En mars 2020, ReedSmith a observé une hausse de 400% des escroqueries au mois de mars 2020; En avril 2020, Google a bloqué 18 millions de emails par jour d’hameçonnage et de malware.

Plus inquiétant encore, les attaques se sont intensifiées, se sont complexifiés… sachant que les pirates ont, aussi, commencé à mieux s’organiser.

On voit maintenant une vraie méthodologie de revente entre organisations de cybercriminels, où une organisation A propose ses services de cybercriminalité à une organisation B, pour être exploitée par cette dernière. »

Voici un exemple, tiré de sa conférence, où le groupe criminel annonce son rançongiciel littéralement… « en tant que service » (SaaS)!

Actuellement, les entreprises sont extrêmement vulnérables, dit Betrand Milot.

La seule raison pour laquelle votre entreprise n’a pas encore été attaquée, ce n’est pas que vous êtes bien protégé ou que vous avez de la chance, c’est uniquement le fait que les cybercriminels ont un problème de capacité. Ils n’arrivent pas à attaquer tout le monde. »

Ne pas payer pour récupérer ses données

Une menace émergente est le fameux «ransomware». Ces maliciels bloquent l’accès à vos fichiers en les chiffrant; les pirates demandent alors une somme d’argent – parfois en Bitcoin – pour en déverrouiller l’accès. Mais rien ne garantit qu’ils le feront, si vous payez!

Un participant notoire de la conférence des affaires était Louis-Philippe Desjardins, directeur principal en cybersécurité de la firme Deloitte, mais aussi, et surtout, chef de la sécurité de l’information à la STM, lorsque le réseau de transit a subi une cyberattaque de rançonnage, en novembre dernier. La STM avait alors refusé de payer 2,8 millions de dollars pour récupérer l’accès au tiers de ses serveurs qui avait été chiffré.

Payer n’est jamais le plan A, dit le directeur en cybersécurité. Pour avoir la liberté de prendre cette décision-là, il faut reposer sur une bonne stratégie de sauvegarde et être sûr qu’on a tout le nécessaire pour relever l’organisation. » 

La STM a pu le faire, après un laborieux travail de relance.

L’importance de faire plusieurs copies de sauvegarde, les fameux « back-up » – de manière incrémentale, donc échelonnée dans le temps – et aussi dans un lieu isolé de votre réseau, est le message le plus fort qui ressortait de sa présentation.

Il y a une différence entre avoir une sauvegarde et avoir une bonne stratégie de sauvegarde, a expliqué Philippe Desjardins. Si vous avez une version en production, avec une sauvegarde qui se fait chaque nuit et qui est écrasée la nuit suivante, ce n’est pas suffisant. Si vous avez une compromission et que vous vous en rendez compte seulement 48 heures plus tard, ça va venir impacter votre copie de sauvegarde. Vous ne disposez aucune sauvegarde intègre à restaurer en cas d’incident. »

Le directeur en cybersécurité conseille de faire des copies incrémentales sur plusieurs semaines et même plusieurs mois. Il sera alors possible, en cas de compromission, de relancer vos systèmes avec version récente « non corrompue ».

Vous savez ce qu’il vous reste à faire… Bonne sauvegarde!