Les sauvegardes ont longtemps été considérées comme le filet de sécurité ultime en cybersécurité, mais une nouvelle réalité s'est imposée : elles échouent souvent lors des attaques par ransomware. Les attaquants ciblent et détruisent désormais délibérément les systèmes de sauvegarde avant de déployer le ransomware, transformant un mécanisme de récupération potentiel en un point de défaillance unique. La **Acronis Cyber Platform** vise à résoudre ce problème en combinant la sauvegarde avec des contrôles de sécurité, tels que l'immuabilité, la protection de l'accès et la détection des menaces. ## Comment les attaquants brisent systématiquement les stratégies de sauvegarde Les attaques par ransomware suivent généralement une séquence prévisible : **Accès initial → vol d'identifiants → mouvement latéral → découverte des sauvegardes → destruction des sauvegardes → déploiement du ransomware** Pour perturber cette chaîne, les organisations ont besoin de contrôles robustes à chaque étape. Par exemple, **Acronis** intègre la protection des points d'extrémité, la surveillance des identifiants et la protection des sauvegardes dans une seule plateforme pour détecter les menaces avant que les sauvegardes ne soient compromises. Les attaquants exploitent les vulnérabilités des systèmes de sauvegarde en : * Énumérant les serveurs de sauvegarde et les dépôts de stockage. * Accédant aux consoles de sauvegarde via des identifiants volés. * Supprimant ou chiffrant les fichiers de sauvegarde et les snapshots. * Désactivant les agents de sauvegarde et les tâches planifiées. * Modifiant les politiques de rétention pour supprimer les points de récupération. Les techniques courantes incluent la suppression des Volume Shadow Copies (VSS) sur les systèmes Windows, l'utilisation d'outils d'administration légitimes (techniques "living-off-the-land"), le ciblage des snapshots d'hyperviseur dans les environnements virtuels et l'exploitation de l'accès aux API pour le stockage de sauvegarde cloud. ## Échecs courants des sauvegardes lors d'incidents de ransomware Plusieurs faiblesses récurrentes contribuent aux échecs de sauvegarde et de récupération lors des attaques par ransomware : * **Absence d'isolation :** Les systèmes de sauvegarde résident souvent dans le même domaine que les systèmes de production, utilisent les mêmes identifiants et sont accessibles depuis des hôtes compromis. * **Contrôles d'accès faibles :** Les identifiants d'administrateur partagés, le manque d'authentification multi-facteurs (MFA) et les comptes de service surprivilégiés facilitent l'accès à l'infrastructure de sauvegarde. * **Absence d'immuabilité :** Les sauvegardes traditionnelles sans immuabilité sont facilement modifiées ou supprimées par les attaquants. * **Processus de récupération non testés :** Les organisations découvrent souvent lors d'un incident que les sauvegardes sont incomplètes, corrompues ou trop lentes à restaurer à grande échelle. * **Outils de sécurité et de sauvegarde cloisonnés :** Les systèmes de sauvegarde fonctionnent souvent indépendamment de la surveillance de sécurité, laissant les attaques sur l'infrastructure de sauvegarde indétectées. ## L'importance de l'immuabilité Les sauvegardes immuables empêchent toute modification ou suppression pendant une période définie, garantissant qu'un point de récupération propre est toujours disponible. La **Acronis Cyber Platform** offre un stockage immuable avec des politiques de rétention appliquées et une protection contre l'utilisation abusive des identifiants. Les caractéristiques clés des sauvegardes immuables incluent : * Stockage en mode écriture une seule fois, lecture multiple (WORM). * Verrous de rétention basés sur le temps. * Protection contre l'utilisation abusive des API et des identifiants. * Application au niveau du stockage, pas seulement du logiciel. Bien que l'immuabilité soit cruciale, elle doit être combinée avec le contrôle d'accès, la surveillance et la validation de la récupération pour une protection complète. ## 5 façons de protéger les sauvegardes contre les ransomwares Pour les MSP et les équipes informatiques d'entreprise, la sécurisation des sauvegardes nécessite cohérence et standardisation. Les pratiques clés incluent : 1. **Appliquer la séparation des identités :** Utiliser des identifiants dédiés et la MFA. 2. **Isoler les environnements de sauvegarde :** Segmenter les réseaux et limiter l'accès. 3. **Utiliser des sauvegardes immuables :** Empêcher la suppression ou la modification. 4. **Surveiller l'activité de sauvegarde :** Détecter les comportements anormaux tôt. 5. **Tester régulièrement la récupération :** S'assurer que les sauvegardes peuvent être restaurées. Des plateformes comme **Acronis** intègrent ces capacités dans une solution unique, réduisant la complexité et améliorant la résilience. ## Que faire si les sauvegardes sont déjà compromises Si les sauvegardes sont affectées lors d'une attaque par ransomware, envisagez de : * Identifier les copies de sauvegarde plus anciennes, non touchées. * Tirer parti du stockage immuable hors site ou basé sur le cloud. * Reconstruire les systèmes à partir de bases propres. * Utiliser l'analyse forensique pour déterminer le dernier état connu et fonctionnel. La récupération ne consiste pas seulement à avoir des sauvegardes, mais à avoir des sauvegardes fiables. ## Construire une stratégie de sauvegarde résiliente aux ransomwares Pour protéger les sauvegardes contre les ransomwares, les organisations doivent dépasser la pensée traditionnelle de la sauvegarde et adopter une approche axée sur la résilience. Envisagez des solutions de protection comme celles de la **Acronis Cyber Platform**, qui incluent : * Intégration de la sécurité et de la sauvegarde * Automatisation de la protection et de la récupération * Garantie d'une visibilité de bout en bout * Conception pour les scénarios d'attaque ## L'évolution vers une protection cyber intégrée La fragmentation des architectures traditionnelles crée des angles morts. Une approche plus efficace consiste à consolider la protection des points d'extrémité, la sauvegarde et la surveillance dans une plateforme unifiée capable de : * Détecter les menaces avant que la compromission des sauvegardes ne se produise. * Protéger l'infrastructure de sauvegarde avec la même rigueur que les systèmes de production. * Garantir que les points de récupération restent intacts et vérifiés. * Fournir une visibilité centralisée sur tous les environnements. Des solutions comme **Acronis Cyber Protect** sont conçues autour de ce modèle intégré, combinant la sauvegarde, la cybersécurité et la gestion de la récupération dans un cadre opérationnel unique. Les sauvegardes jouent toujours un rôle essentiel dans la défense contre les ransomwares, mais seulement si elles sont conçues pour résister aux attaques actives. Le message clé est que les sauvegardes échouent non pas parce qu'elles sont manquantes, mais parce qu'elles sont exposées. Pour garantir la récupération dans les environnements de menaces modernes, les organisations doivent repenser l'architecture de sauvegarde avec la sécurité au cœur, en adoptant l'immuabilité, l'isolation, la surveillance et l'intégration.