Le Blog Amazon Web Services
AWS, un allié stratégique dans la lutte contre les ransomwares
L’article ci-dessous a été rédigé par Guillaume Neau, Solutions Architect – Government, AWS France.
La cybercriminalité est en pleine expansion. Les attaques par ransomware[1] se multiplient, et à l’ère de l’interconnexion numérique, la surface d’attaque disponible pour les criminels et les conséquences d’une intrusion réussie sont démultipliées. Aujourd’hui, les attaques par ransomware coûtent des milliards de dollars aux gouvernements, aux associations à but non lucratif et aux entreprises, et interrompent leurs activités. La plupart des attaques par ransomware sont opportunistes, ce qui signifie qu’elles infectent sans distinction tout réseau accessible par des vecteurs humains et/ou des machines. Peu importe le secteur d’activité ou la zone géographique dans laquelle vous vous trouvez, quasiment tous les domaines dans le monde ont déjà constaté un incident créé par un ransomware. Cependant, les pirates informatiques ont de plus en plus tendance à cibler les secteurs où la probabilité d’une entrée et d’un paiement réussi est élevée.
Les équipes de sécurité des établissements d’enseignement, des agences publiques nationales ou locales et des organismes de santé multiplient les mesures pour protéger leurs données, en réponse à l’augmentation des attaques par ransomware. Les hackers savent comment identifier les points faibles de ces secteurs. Par exemple, de nombreux établissements d’enseignement et organismes publics sont vulnérables en raison des réductions de budgets, des lacunes des ressources de sécurité et d’anciens systèmes informatiques présentant des vulnérabilités non corrigées. De même, les ransomwares ciblent les secteurs qui ne peuvent pas se permettre de stopper leurs activités, comme les hôpitaux, et qui sont donc plus enclins à payer les rançons. En France, les récentes attaques contre des hôpitaux tels que l’Assistance Publique-Hôpitaux de Paris, puis contre l’hôpital de Dax et ceux de Villefranche-sur-Saône, Tarare et Trévoux, sont des preuves concrètes de l’augmentation de ces attaques.
Les ransomwares
Les ransomwares, qui sont partout dans l’actualité, sont particulièrement impitoyables : ces programmes exploitent la faiblesse des ressources humaines et financières dédiées à la sécurité informatique et s’adaptent pour attaquer celles dont les défenses sont les plus limitées, à mesure que les organisations qui disposent de meilleures ressources renforcent leur sécurité. Pour une administration locale, une petite entreprise, un hôpital ou une université, l’informatique est souvent une charge. Pour tous ces acteurs, il est difficile de justifier des dépenses supplémentaires en matière de sécurité informatique, car il s’agit d’une dépense qui n’entraînera pas directement une augmentation de la productivité, mais plutôt une réduction d’un risque difficile à quantifier et à percevoir. Souvent, ces structures n’ont ni le temps ni les ressources pour se prémunir contre les ransomwares de manière efficace. De nombreux clients se tournent donc vers le cloud pour améliorer à moindre coût leur posture de sécurité. AWS propose par exemple à ses clients l’accès à tous les mécanismes clés nécessaires à la mise en place d’une sécurité efficace contre les attaques par ransomware.
Avant que les ransomwares ne frappent : créez une application sécurisée et segmentez votre réseau
Il est important de déployer une infrastructure sécurisée et conforme sur le cloud. Grâce aux services AWS, vous pouvez mettre en œuvre les recommandations de préparation aux attaques par ransomware de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) fournies dans son guide, qui viendront ajouter une barrière de protection supplémentaire contre les hackers qui essayent d’infiltrer un logiciel malveillant au sein d’une entreprise. Concrètement, il s’agit de mettre en place une stratégie basée sur un accès contrôlé, des systèmes mis à jour et cloisonnés, la détection précoce des menaces, des sauvegardes régulières, ainsi que des plans de continuité et de reprise d’activité pré-définis et testés.
Le cœur du modèle de l’utilisation d’AWS est construit sur un modèle “zéro-trust”, plaçant l’authentification de l’accès au centre de toutes les actions sur la plateforme. Ce modèle, qui utilise le service AWS « Identity and Access Management » (AWS IAM), facilite la mise en œuvre de la politique de privilèges en assurant la traçabilité des actions effectuées sur un compte client. En bref, chaque action est systématiquement enregistrée et refusée si elle n’est pas explicitement déclarée dans les droits de l’administrateur du client ou de l’application, protégeant ainsi les ressources les plus critiques de nos clients « by-design ».
La segmentation du réseau améliore la protection contre les ransomwares. Elle permet de n’autoriser que le trafic nécessaire au bon fonctionnement des systèmes, assure un cloisonnement fort des applications entre elles et évite qu’un malware puisse se propager de machine en machine. Il s’agit du fonctionnement par défaut du cloud AWS et de l’environnement de cloud privé virtuel (VPC), disponible immédiatement pour tous les clients sans surcoût, sans matériel ou logiciel supplémentaire à gérer.
« Garder son calme et sécuriser son cloud » : la puissance de l’automatisation
Pour réagir à un cyber-incident, il faut être capable de détecter l’existence d’une menace dès le début. Si un ransomware est détecté quand la demande de rançon apparait sur l’écran de l’ordinateur, cela signifie que le hacker s’est déjà infiltré dans le réseau. La détection précoce des comportements anormaux des utilisateurs ou de l’activité du réseau est primordiale pour déjouer les menaces de logiciels malveillants et lancer les processus de contre-attaque. En comprenant ce à quoi ressemble le comportement « normal » dans l’environnement AWS, les alertes de sécurité peuvent être automatiquement configurées pour envoyer des notifications ou pour exécuter des mesures préventives complémentaires (par exemple, l’exécution de sauvegardes d’instantanés des systèmes) lorsque des comportements malveillants ou anormaux sont détectés. Chez AWS, nous fournissons des services permettant d’identifier de telles menaces, comme Amazon GuardDuty.
La prévention d’une intrusion dans le système par un ransomware nécessite des vérifications régulières des correctifs de sécurité. Il est moins risqué d’automatiser les mises à jour dans le cloud car les entreprises peuvent facilement cloner les environnements pour tester les correctifs, et faire machine-arrière en seulement quelques minutes si elles le souhaitent. Nous conseillons à nos clients d’automatiser cette tâche, en utilisant le gestionnaire de correctifs d’AWS System Manager, qui applique automatiquement les correctifs de sécurité à un groupe de machines, sur site ou dans le cloud. De même, nos clients utilisent Amazon Inspector pour recevoir, automatiquement et régulièrement, des rapports sur les failles de leurs réseaux par rapport à une base publique de vulnérabilités connues (CVE). En outre, Amazon Relational Database Service (Amazon RDS), qui permet d’installer, de gérer et de mettre à l’échelle facilement une base de données relationnelle dans le cloud, automatise l’application de correctifs et l’exécution des sauvegardes de sorte que vous n’ayez plus à vous en soucier.
Sauvegardez et chiffrez vos données
Il est essentiel de mettre en place une stratégie de chiffrement et de sauvegarde efficace. La première vous protégera contre la divulgation de vos données lors d’un incident de sécurité, tandis que la seconde vous permettra de les récupérer sans avoir à payer de rançon. Les entreprises qui peuvent efficacement sauvegarder les données quotidiennement, voire plusieurs fois par jour, et les restaurer rapidement dans les environnements de production réduisent considérablement l’impact des ransomwares. Certaines variantes plus récentes et plus intelligentes de ransomware sont conçues pour rechercher les sauvegardes stockées et les chiffrer ou les supprimer, afin de perturber les efforts de récupération. Il est donc crucial de créer des copies de sauvegarde en plusieurs exemplaires et de les stocker dans des endroits cloisonnés.
Pour vous aider dans cette tâche, tous les services de base de données et de stockage AWS disposent de capacités de chiffrement (dans une approche défensive/de protection) et de sauvegarde. Facile d’utilisation et très peu coûteuse, cette approche permet à nos clients de mettre en place des stratégies de sauvegarde plus robustes et de les exécuter plusieurs fois par jour.
La sécurisation de la destination est facilitée par Amazon Simple Storage Service (Amazon S3), qui offre la possibilité d’enregistrer toutes les sauvegardes et de les rendre indestructibles par un malware. À l’échelle, l’utilisation du service de sauvegarde AWS permet d’établir une vue consolidée et d’isoler fortement une application de ces sauvegardes grâce à des privilèges et des clés de chiffrement distincts.
Enfin, il est généralement recommandé de tester les plans de sauvegarde et de reprise d’activité. Le cloud facilite ces tests : juste pour le temps du test, il est facile et peu coûteux de créer des environnements semblables à la production et de vérifier que la restauration des systèmes à partir des sauvegardes fonctionne, voire de l’automatiser pour la tester régulièrement.
Le cloud est votre meilleur allié pour vous prémunir contre les ransomwares
Les ransomwares évoluent, mais la connaissance et la préparation à ce type d’attaques aussi. Les agences gouvernementales, les associations à but non lucratif et les entreprises du monde entier ont accordé leur confiance à AWS pour alimenter leurs infrastructures et assurer la sécurité de leurs systèmes et de leurs données. En utilisant les services et les meilleures pratiques d’AWS, les clients peuvent prendre des mesures proactives pour réduire la probabilité et l’impact des attaques par ransomware dans leur environnement AWS.
Vous souhaitez en savoir plus ? Nous sommes basés en France avec des équipes disponibles, n’hésitez pas à nous contacter !
[1] En français: rançongiciels