Les solutions de sécurité ne suffisent pas à prévenir les ransomware. Assurez-vous d’avoir une bonne stratégie de relève.

Si la notion de « ransomware » (rançongiciel en français) vous était inconnue jusqu’à maintenant,  l’attaque du 12 mai dernier du virus WannaCryptor qui a eu des répercussions mondiales dans toutes les sphères d’activités vous a certainement sensibilisé aux conséquences de ces attaques qui ne connaissent pas de frontières.

Les attaques informatiques par ransomware coûtent des millions de dollars par année aux entreprises et deviennent de plus en plus sophistiquées et difficiles à éviter. La particularité de ce type d’attaque est qu’elle se répand rapidement à travers les fichiers partagés, et ce parfois en quelques heures, comme l’attaque du 12 mai l’a démontré. Le ransomware s’infiltre généralement par le point le plus faible du réseau, généralement le compte courriel de l’utilisateur ou les sites de réseautage social.

Le ransomware verrouille l’ordinateur ou chiffre les fichiers, exigeant le paiement d’une « rançon » pour rendre aux utilisateurs l’accès à leurs données. Mais le paiement de la rançon ne garantit pas la récupération des données[1], sans compter que les entreprises qui cèdent au chantage des pirates deviennent des cibles de choix pour une prochaine fois…

Si vous êtes chanceux, votre entreprise a été épargnée par le virus et vous vous félicitez d’y avoir échappé. Dans ce cas, retenez la leçon : vous avez eu de la chance cette fois-ci, mais soyez assuré que ce type d’attaque se reproduira, et que votre entreprise pourrait fort bien en être victime la prochaine fois.

Les entreprises prévoyantes ont investi des sommes souvent considérables pour sécuriser leurs environnements informatiques et les données qui y transitent, données qui sont souvent critiques et dont la destruction peut mettre en péril la continuité des activités. Bien que les solutions de sécurité fassent partie de l’équation lorsqu’il s’agit de protéger vos actifs, elles ne sont qu’une partie de la stratégie pour contrer ces menaces.

Une solution complète pour vous prémunir contre les attaques virales doit impérativement inclure un plan de relève et des copies de sauvegarde accessibles et complètes afin de pouvoir restaurer votre environnement tel qu’il était avant l’attaque.

La mise en place d’un plan de relève vous procure l’assurance de pouvoir vous relever rapidement et de minimiser votre période d’inactivité, qui est souvent le maillon faible dans la gestion des attaques informatiques. En effet, plus vite vous reprendrez votre rythme de croisière, moins vos clients et fournisseurs auront à se tourner vers des alternatives qui pourraient, à terme, coûter très cher à votre entreprise et à sa réputation, allant même jusqu’à la mettre à risque.

Les entreprises soumises à des normes de conformité spécifiques à leur industrie sont en général sensibilisées et mieux outillées pour rapidement restaurer leur infrastructure en cas d’attaque. Pour savoir si votre entreprise a mis en place une stratégie de relève adéquate, posez-vous les questions suivantes :

Est-ce que vos copies de sauvegarde sont conservées hors site (loin de votre site principal)?

Êtes-vous en mesure de vous assurer que votre processus de sauvegarde fonctionne correctement?

Pouvez-vous vérifier que vos données peuvent être restaurées dans leur état d’origine?

À quelle vitesse êtes-vous en mesure de restaurer les données prises en otage?

Est-ce que vos données originales sont sauvegardées de manière inaltérable, vous assurant une récupération complète et intègre de vos données en cas d’attaque ransomware?

En répondant à ces questions, vous franchirez la première étape qui vous permettra de remédier aux lacunes de votre stratégie de relève en cas d’attaque informatique. Soyez prêts à faire face aux prochaines menaces pour protéger vos actifs! 

[1] Selon un récent sondage, des entreprises victimes de ransomware qui ont payé la rançon, seuls 71% ont pu récupéré leurs données.

Le plus grand défi de l’infonuagique : les lois sur la protection des données

Les technologies infonuagiques font maintenant partie intégrante des solutions utilisées par les entreprises : la promesse de la standardisation et de la simplification, sans égard aux frontières physiques ou géographiques, répond aux impératifs de flexibilité des entreprises, qui veulent un accès à leurs données partout, en tout temps, sur tous leurs appareils.

Cette explosion des données virtualisées oblige désormais les pays à légiférer afin d’assurer la protection des données de leurs citoyens, et contraint les fournisseurs cloud à mettre en place des pratiques respectant des règles de gouvernance de plus en plus strictes, obligeant les entreprises qui collectent, utilisent et stockent des données à les conserver dans le pays où elles ont été collectées.

Les entreprises se fient à l’expertise des fournisseurs de solutions et produits cloud mais la meilleure technologie ne les exempte pas de réfléchir et planifier, car ultimement, ils demeurent responsables de leurs données, peu importe où elles sont hébergées, et ont l’obligation de respecter les lois en vigueur des pays où elles exercent leurs activités.

Comment s’assurer de faire affaire à un fournisseur infonuagique qui se conforme à la législation du pays?

Il appartient aux entreprises de mettre en place des règles de gouvernance et des moyens de contrôle pour s’assurer de la conformité des solutions en place. Si la technologie est d’un précieux secours, il ne faut pas faire l’erreur de se laisser influencer par une solution spécifique. Autrement dit, faites vos devoirs!

Créez votre feuille de route – Où prévoyez-vous développer votre marché? En cas d’expansion, commencez à vous informer des lois en vigueur dans les pays ciblés pour connaitre les restrictions imposées par leur législation afin d’évaluer ce qu’il vous en coûtera pour vous y conformer.

Informez-vous sur votre fournisseur cloud – Où sont stockées vos données par le fournisseur? Respecte-t-il vos règles de gouvernance? Est-il en mesure de vous en fournir la preuve?

Évaluez l’importance stratégique de la conformité – Le respect des règles de gouvernance n’est pas le même pour tous. Quelle importance votre entreprise accorde-t-elle à la protection des données et combien de ressources êtes-vous prêts à y consacrer? Vous pouvez gérer la gouvernance de vos données vous-même ou la confier à un fournisseur externe.

Les intégrateurs et fournisseurs de centres de données canadiens sont la voie à suivre pour donner aux entreprises l’option de faire affaire à des partenaires qui comprennent les besoins de leurs parties prenantes, à proximité de l’endroit où elles font des affaires.

Voir à ce sujet l’article de Mike Ettling, président de SAP SuccessFactors : https://techcrunch.com/2015/12/26/the-clouds-biggest-threat-are-data-sovereignty-laws/

 

Vous pensez à l’infonuagique? Gardez les pieds sur terre!

L’adoption de l’infonuagique soulève nécessairement la question de la protection des données. De plus en plus, les pays se dotent de législations spécifiques qui visent à encadrer la gouvernance et la protection de données de leurs citoyens et de leurs agences gouvernementales auxquelles les entreprises qui opèrent sur leur territoire doivent se conformer.

L’utilisation de services infonuagiques ne dispense pas l’entreprise de ses responsabilités pour les problèmes touchant la confidentialité de ses données que son fournisseur cloud pourrait rencontrer.

Autrement dit, vous demeurez le propriétaire et êtes responsable de ce qui advient de vos données même si elles ne sont plus sous votre contrôle.

Sachant qu’il n’y a pas de transfert de responsabilité juridique entre vous et votre fournisseur infonuagique, une longue liste de questions s’ensuit : comment le fournisseur sépare t-il vos données de celles d’autres clients? Où sont-elles conservées (quelle juridiction)? Est-ce que le chiffrement est robuste? Comment s’effectue le transfert de données au fournisseur? Où sont conservées vos copies? Est-ce que le transfert est sécuritaire? Ce ne sont que quelques-unes des questions qui demandent réponse.

Une présence locale d’un fournisseur infonuagique ne signifie pas automatiquement que vos données sont conservées localement. Souvent, les copies sont expédiées en dehors du pays, dans une juridiction soumise à d’autres lois et parfois même qui contreviennent à la législation à laquelle votre entreprise doit se conformer.

En bref, l’infonuagique est bien moins une question de technologie que de conformité aux lois, ententes de niveaux de services et gestion contractuelle. Bien sûr, il y a aussi une forte composante technologique à considérer. ESI peut vous aider à évaluer et mettre en place une stratégie infonuagique avec une compréhension complète des enjeux, qui se résument à la question de la gestion des risques : ce qu’on peut conserver dans un cloud public, ce qu’il faut garder dans un cloud privé.