Que se passe-t-il lorsque votre sécurité est compromise ?
Nous avons récemment eu un Sage 300 (anciennement connu sous le nom d'Accpac) qui a subi une attaque de ransomware, apprenant à ses dépens qu'il y avait des lacunes dans leur sécurité informatique qui auraient pu les laisser sans rien. À mesure que le rôle que joue la technologie dans les entreprises augmente, le besoin de mesures de sécurité plus robustes augmente également, mais il faut souvent un rodage comme celui-ci avant qu'une entreprise ne réalise à quel point les mesures de sécurité informatique sont importantes.
Pour donner un contexte, les logiciels malveillants, abréviation de « logiciels malveillants », font référence à des logiciels hostiles ou intrusifs tels que des virus informatiques, des chevaux de Troie, des rançongiciels ou des logiciels espions (pour n'en nommer que quelques-uns), et vous ne savez jamais d'où ils vont venir. Les logiciels malveillants sont souvent déguisés en fichiers ou interactions normaux, ce qui signifie qu'il existe d'innombrables voies qu'ils peuvent utiliser pour se faufiler dans votre système.
Ces dernières années, un type de malware particulièrement préoccupant a gagné du terrain : ransomware. Le ransomware est un type spécifique de virus qui crypte les fichiers d'une victime (ce qui signifie qu'ils ne peuvent pas être ouverts ou accessibles) et demande une rançon pour le décryptage et le retour des fichiers. Étant donné la possibilité de gain financier, les ransomwares sont devenus l'un des types de logiciels malveillants les plus courants et les plus dangereux.
Pour notre client, le ransomware a été un énorme signal d'alarme, car ce n'est qu'après coup qu'il a appris les mesures simples qui auraient pu être prises pour améliorer sa sécurité informatique et empêcher complètement l'attaque.
Étude de cas : entreprise de fabrication
Découvrir le problème
Dans le cadre de ses tâches quotidiennes, l'un de nos Sage 300 clients ont remarqué qu'il se passait quelque chose d'étrange avec les fichiers du dossier partagé sur le réseau de l'entreprise. Certains de leurs fichiers ne fonctionnaient pas et en plus, Sage 300 ne fonctionnait pas correctement non plus. Dans cette situation, la première étape consiste normalement à appeler votre Fournisseur de services gérés (MSP), mais comme ils n'en avaient pas, ils nous ont contactés, leur Sage 300 partenaires, dans l'espoir que nous pourrions les aider à comprendre ce qui n'allait pas.
Comme nous n'étions pas leur MSP, nous ne pouvions pas obtenir l'accès dont nous avions besoin à distance pour évaluer leurs serveurs et la situation, nous nous sommes donc précipités pour leur rendre visite sur place. Quand nous sommes arrivés, nous avons découvert que la raison pour laquelle leur Sage 300 ne fonctionnait pas parce que les fichiers dont il avait besoin étaient cryptés. Leur serveur de sauvegarde avait été infecté par un rançongiciel qui n'avait pas été détecté pendant un mois entier. Le rançongiciel n'a été remarqué que lorsqu'il a commencé à se propager aux fichiers que les employés utilisaient pour accomplir leurs tâches habituelles, ce qui signifiait qu'il avait le temps de gagner du terrain et de se frayer un chemin dans les sauvegardes de l'entreprise.
Arrêt du ransomware et restauration des fichiers
Il est important de noter que dans la majorité des cas de rançongiciels, la récupération des fichiers est difficile, voire impossible, vous êtes donc confronté à deux options : payer la rançon ou nettoyer votre système et restaurer les fichiers à partir d'une sauvegarde. Payer la rançon est extrêmement mal avisé car il n'y a aucune garantie que vos fichiers seront libérés et même s'ils le sont, vous serez probablement à nouveau victime parce que l'attaque du ransomware a réussi et a été lucrative pour les attaquants.
La première étape consiste toujours à l'empêcher de se propager pour minimiser les dégâts. Ils avaient deux serveurs, le serveur principal et leur serveur de sauvegarde, nous avons donc déconnecté les deux pour nous assurer que le malware ne pouvait pas infecter le réseau et les postes de travail des utilisateurs. Heureusement, dans cette situation, il était facile de contenir le ransomware car il ne s'était pas encore propagé sur le réseau, mais le client était toujours confronté à l'une des pires situations : le ransomware avait infecté son serveur principal. ainsi que les leurs sauvegardes, donc il y avait de fortes chances qu'ils perdent toutes leurs données.
Dans une situation idéale, une entreprise devrait avoir ses données sauvegardées de trois manières/emplacements différents. Cela garantit qu'il y aura toujours une sauvegarde fonctionnelle qui pourra être restaurée immédiatement après un sinistre, et sans problème. Ceci est courant pour les entreprises qui ont un fournisseur de services gérés, mais dans de nombreux cas, les entreprises n'ont qu'une seule sauvegarde, ce qui les rend vulnérables à des répercussions plus graves suite à une attaque de logiciel malveillant.
Heureusement, les dommages causés à l'une des bandes de sauvegarde ont été nettement moindres que les autres, de sorte que notre équipe a pu récupérer presque toutes les données du fabricant. Le serveur de sauvegarde a dû être reconstruit à partir de zéro et les systèmes ont été arrêtés pendant 3 jours pendant que notre équipe nettoyait le système du ransomware, récupérait la plupart des données (un jour de modifications de fichiers était irrécupérable) et restaurait tout Ordinaire. Ce n'est cependant pas la norme - ce client a été extrêmement chanceux. Dans la majorité des cas similaires à celui-ci, où le serveur principal et les sauvegardes sont effectués, tout est perdu.
Comment est-ce arrivé?
Il est difficile de déterminer l'origine exacte de l'attaque, mais il est clair qu'elle a commencé sur le serveur de sauvegarde et s'est propagée à partir de là. Ils exécutaient des sauvegardes régulières et leur contrôleur vérifiait que les sauvegardes étaient terminées, mais ils ont commis une erreur majeure (et courante) : ils n'ont pas vérifié que les sauvegardes fonctionnaient réellement. Comme discuté dans notre blog précédent sur sauvegardes de données et reprise après sinistre, de nombreuses sauvegardes ne sont pas testées et plus de 50 % des sauvegardes sur bande échouent, ce qui signifie que de nombreuses entreprises ne découvrent les sauvegardes défectueuses que lorsqu'il est trop tard. Un certain nombre de facteurs ont joué dans la façon dont cette société a obtenu le ransomware, mais nous pouvons dire avec certitude que si les sauvegardes avaient été testées, le ransomware aurait été découvert plus tôt et son impact aurait pu être minimisé.
Amélioration de la sécurité informatique
Sur le papier, il semblait qu'ils faisaient tout correctement, qu'ils exécutaient des sauvegardes régulières, qu'ils disposaient d'un pare-feu et d'un antivirus, mais ce client est l'exemple parfait de la façon dont quelques petites failles de sécurité peuvent rapidement se transformer en une informatique massive violation de la sécurité. Leur système était défectueux car ils n'avaient qu'une seule forme de sauvegarde, leurs sauvegardes n'étaient jamais testées (alors qu'elles auraient dû être testées de manière optimale chaque semaine), leur pare-feu n'avait pas été mis à jour depuis 6 ans et leur antivirus n'était pas suffisant .
Suite à cette expérience, le Sage 300 clients ont également commencé à travailler avec nous en tant que fournisseur de services gérés (MSP), ce qui leur a permis d'améliorer leur sécurité informatique de manière exponentielle et de devenir plus proactifs avec leur sécurité. Une partie de ce qui nous a permis de faire face à l'attaque si rapidement et efficacement était notre connaissance de leur ERP et des systèmes environnants. Vince Andriani, responsable du service informatique de La Compagnie de Solution explique que «l'objectif principal d'un fournisseur de services gérés est d'être proactif plutôt que réactif. Avec une gestion et une surveillance actives, des situations comme celle-ci peuvent être atténuées et, dans la plupart des cas, évitées ».
Avoir un MSP vous aide à vous libérer de la pression pour détecter les failles de sécurité. Selon le degré de services gérés choisis, un MSP exécutera plusieurs sauvegardes à différents endroits qui sont testés régulièrement, votre réseau sera surveillé pour détecter les menaces de sécurité et tout signe d'attaque de logiciel malveillant sera signalé et traité immédiatement.