Infinidat Blog

Conformité au RGPD : ne pas omettre le risque de perte de données lié aux attaques de ransomware

Avec l’application officielle du Règlement général de protection des données (RGPD)) fixée à fin mai 2018, les discussions quant aux risques de compromission de données vont bon train. C’est un scénario à haut risque pour toute entreprise détentrice de données privées, qui requiert donc toute notre attention (voir mon précédent article de blog à ce sujet).

 

L’intérêt porté aux compromissions de données néglige toutefois une autre préconisation majeure du RGPD, à certains égards diamétralement opposée, celle qui concerne la perte de données. Quelle est donc la différence ? Une compromission de données intervient quand une tierce partie accède à des données privées auxquelles seule l’entreprise est censée accéder. La perte de données intervient quand l’entreprise elle-même n’a plus accès aux données privées de ses clients. Ces dernières années, la cause la plus courante de perte de données revient aux attaques de ransomware, les plus connues étant WannaCry, Petya (puis « NotPetya ») et CryptoLock. En 2017, les attaques de ransomware étaient les attaques de malware les plus courantes dépassant la barre des 70% dans certains secteurs (ex. santé).

Compte tenu des défis qui se profilent à l’horizon, votre entreprise a-t-elle développé une stratégie robuste contre les attaques de ransomware ?

 

Défi n°1 – Détecter une attaque de ransomware

Les attaques de ransomware modernes demeurent indétectées longtemps, le temps de chiffrer autant de données que possible. Une fois qu’un seuil critique est atteint, l’utilisateur se voit bloquer l’accès et il reçoit une demande de rançon en crypto monnaie. Ce type de stratégie est très efficace mais c’est aussi le talon d’Achille de ce vecteur d’attaque : comme les changements s’accumulent avec le temps, ils peuvent être détectés par un mécanisme de suivi des changements. Ce type de mécanisme est livré par défaut avec toute solution de stockage moderne : c’est ce que l’on appelle les instantanés ou snapshots !

Ces instantanés, qui ne consomment généralement qu’un pourcentage minimal de la taille d’un volume de données, vont commencer à grossir par leur consommation de capacité. Si la baie de stockage assure une surveillance de la consommation de capacité ou prévoit le déclenchement d’alarmes, l’entreprise peut facilement détecter cette augmentation de capacité et réagir bien avant que les criminels bloquent l’accès des utilisateurs.

 

Défi n°2- Rapidité de réponse en cas d’attaque de ransomware

Si l’attaque de ransomware perpétrée en silence a permis de chiffrer 100 téraoctets (To) de données, par exemple, les sauvegardes réalisées cette semaine-là sont également compromises et ne peuvent servir à restaurer les données. Les administrateurs sont donc forcés de restaurer les 100 To sur le réseau à partir d’une cible de sauvegarde, ce qui prendra des heures sans aucune garantie que la restauration est exempte de fichiers corrompus.

Toutefois, la taille de l’instantané permet de savoir immédiatement s’il contient des données chiffrées.

Donc une entreprise qui utilise des instantanés et y a accès peut tester les données qu’ils contiennent et ne restaurer immédiatement que l’instantané qui convient. Ainsi, les délais de restauration sont réduits de plusieurs jours à quelques minutes.

 

Défi n°3 – Prévenir l’explosion de la capacité de stockage

Un risque que l’on néglige souvent dans le contexte d’une attaque de ransomware concerne la capacité supplémentaire consommée lors de la phase de silence. En effet, la capacité moyenne des baies de stockage peut être portée de 80% à 100%, avec à la clé le plantage des applications.

Une plus grande baie de stockage offre davantage d’espace disponible pour donner le temps aux administrateurs d’identifier l’attaque de ransomware et d’y répondre, mais une baie plus grande suppose aussi plus de consolidation et donc l’exposition à un risque majoré. L’architecture à double contrôleur que proposent actuellement nombre de fournisseurs de solutions de stockage n’est pas suffisamment fiable pour absorber de tels volumes de données.

 

 

L’ingrédient secret d’InfiniBox pour combattre les attaques de ransomware

Quand des consommateurs se partagent et mutualisent la capacité physique de solutions InfiniBox, ceux-ci peuvent séparer leurs applications critiques les unes des autres dans des pools distincts. Grâce aux pools de capacité InfiniBox, les clients sont assurés que l’explosion de capacité à un endroit, provoquée par la corruption d’un ransomware, ne risquera pas de faire planter les applications des autres pools.

Cela s’apparente à la segmentation du réseau des clients pour limiter le risque que les cybercriminels passent d’hôtes en hôtes.

D’un autre côté, la nécessité de tampons de capacité plus importants pour identifier les attaques de ransomware et y répondre sans faire exploser la capacité de stockage est parfaitement alignée avec la conception haute capacité d’InfiniBox, faisant d’InfiniBox le choix idéal pour tout environnement IT, potentielle victime de ransomware.

Voici les autres avantages offerts par les pools de capacité pour se protéger des attaques de ransomware :

  • Garanties de capacité : séparation de la capacité pré-allouée (garantie) de la capacité partagée non allouée vouée à être consommée à la demande.
  • Alertes : surveillance en temps réel de la capacité pour alerter les administrateurs d’une menace.
  • Réponse automatique : quand un pool est plein, le système répond selon la politique de croissance établie pour ce pool spécifique. Ces règles peuvent :
    • empêcher le pool de grossir automatiquement – s’applique généralement aux applis jugées non critiques
    • empêcher le pool de grossir au-delà de certaines limites - s’applique généralement aux seules applis plus importantes
    • autoriser le pool à grossir autant que nécessaire - s’applique aux applis stratégiques qui ne doivent en aucun cas planter même si leur croissance est très rapide

Une stratégie de protection contre les attaques de ransomware (et contre la perte de données en général) suppose une approche plurielle : avec des instantanés qui assurent à la fois la détection des attaques et la rapidité de restauration, des pools de capacité qui établissent la séparation des applis stratégiques pour les préserver, ainsi qu’une gestion dynamique de la capacité qui évite la provision anticipée de capacité.

Télécharger le livre blanc: comprendre l'impact de la sécurité complète des données

À propos Eran Brown
Eran Brown is the EMEA CTO at INFINIDAT.
Over the last 14 years, Eran has architected data center solutions for all layers — application, virtualization, networking and most of all, storage. His prior roles include Senior Product Management, systems engineering and consulting roles, working with companies in multiple verticals (financials, oil & gas, telecom, software, and web) and helping them plan, design and deploy scalable infrastructure to support their business applications.