Les success stories Databack : réponse à cyberattaque dans un environnement cloud
Le cloud computing joue un rôle essentiel dans la transformation numérique des organisations professionnelles (entreprises, administrations, collectivités…). Il est vecteur de développement, d’innovation et d’efficacité opérationnelle, d’agilité et de flexibilité, de réduction des coûts… mais il soulève également des questions en termes de vulnérabilité, de cybersécurité et de protection des données. Databack vous présente un état des lieux de la sécurité du cloud à travers le récit d’une cyberattaque…
Cloud computing et cybermalveillance
En fournissant des ressources informatiques hébergées sur internet, le cloud computing a apporté aux entreprises et aux organismes publics une grande souplesse financière et technique : travail collaboratif, maîtrise des coûts opérationnels, extrême réactivité… Les services à distance (notamment les infrastructures, les plateformes et les logiciels « as a Service ») leur ont offert une flexibilité, une modularité et une accessibilité inégalées pour stocker, gérer et exploiter leurs données.
Toutefois, l’usage accru du cloud s’est immanquablement accompagné d’une croissance des risques de sécurité informatique et de violation des données. Au sein de Databack, nous avons ainsi constaté une augmentation des attaques par ransomware dans les environnements cloud. Désormais un grand « classique » de la cybermalveillance, ces attaques y prennent une tout autre dimension, puisqu’elles impliquent une responsabilité partagée entre :
• le client final, à savoir l’utilisateur du service et le propriétaire des données ;
• le fournisseur et hébergeur du service (logiciel SaaS, plateforme PaaS ou infrastructures IaaS)
Les fournisseurs de services cloud restent ainsi des cibles privilégiées pour les hackers, puisque ces derniers peuvent impacter en une seule attaque les dizaines d’entreprises et d’organisations dont ils hébergent les données. La pression est alors maximum pour ces prestataires, fournisseurs et hébergeurs de service, dans le but de leur faire payer la rançon demandée.
Notre cas pratique : attaque par ransomware sur données Saas
L’équipe de Databack a été récemment sollicitée pour répondre à une attaque par ransomware portée dans un environnement cloud. Notre client, basé en Asie du Sud-Est, nous avait contacté par l’intermédiaire du CERT qui l’avait accompagné lors de cet incident.
Utilisateur d’un service SaaS (Software as a Service) hébergé chez Amazon Web Services (AWS), notre client avait vu l’ensemble de ses données de production chiffrées. L’attaque par chiffrement avait également touché ses sauvegardes Arcservce Backup, un logiciel de sauvegarde.
En raison de sa situation géographique, l’ensemble de notre intervention a dû se faire à distance. Afin de faciliter et d’accélérer le processus, notre client a dû uploader l’ensemble de ses données de production et ses sauvegardes, soit environ 4 To de données, sur un espace sécurisé que nous lui avions mis à disposition.
L’analyse de l’ensemble des fichiers de sauvegarde Arcserve Backup nous a permis de reconstruire la totalité de l’arborescence et d’extraire l’ensemble des fichiers. Un test d’intégrité nous a indiqué que 85% d’entre eux étaient valides. Moins de 3 jours après le début de notre analyse, le client récupérait ainsi les premiers fichiers nécessaires à sa reprise d’activité.
Sécurité du cloud et prestataires spécialisés
Le scénario de cette attaque par ransomware sur données cloud nous a également permis de confirmer qu’une entreprise ayant déjà identifié ses prestataires gagne un temps précieux. CERT, laboratoire de récupération de données, cyberassureur… une approche coordonnée de ces différents acteurs réduit considérablement les délais de réponse à incident et augmente significativement les possibilités de récupération de données sans avoir à payer de rançon.
Si le cloud computing offre des atouts considérables en termes de stockage, d’accessibilité et de traitement des données, les organisations doivent cependant rester vigilantes face aux risques informatiques. Les organisations professionnelles doivent non seulement rester vigilantes face à la menace croissante des cyberattaques, mais également face à leurs propres pratiques et failles de sécurité.
Pour les entreprises et les administrations qui concentrent données et applications dans le cloud, il devient impératif de recourir aux pratiques de sécurité du cloud. En adoptant une approche proactive en matière de cybersécurité, en combinant des technologies avancées et en adoptant les bonnes pratiques informatiques, les organisations peuvent renforcer leur posture de sécurité dans le cloud et protéger efficacement leurs données.
Si votre organisation, entreprise, administration ou collectivité, utilise ou songe à utiliser le cloud computing, vous pouvez contacter l’équipe de Databack afin d’anticiper les situations de crise, assurer une reprise de votre activité ou simplement vous informer sur les attaques par ransomware.
4 mars 2024