Comment les ransomwares peuvent gâcher le Noël des équipes informatiques

Si vous demandez à un administrateur système ce qui l'ennuie le plus dans son travail, il y a de fortes chances que vous obteniez, dans le désordre, des réponses comme "les utilisateurs", "les mises à jour défectueuses" ou "les appels le vendredi après-midi". Certains vous donneront également des réponses aléatoires comme "le travail après les heures de travail" ou "l'intrusion dans leurs systèmes".

Un incident lié à un ransomware sur vos serveurs de production remplit presque toutes les conditions. Les systèmes seront hors service, vos utilisateurs (ou clients) se plaindront, et vous devrez passer un temps fou à tout remettre en état de marche.

Imaginez maintenant que cela se produise en décembre et que les procédures de remise en état de fonctionnement prennent trois semaines. L'esprit de Noël fera cruellement défaut.

C'est précisément ce qu'a rapporté UKG il y a quelques jours. Un incident de ransomware a touché leurs systèmes Kronos Private Cloud, affectant tout, de la gestion du personnel aux soins de santé et aux solutions bancaires qu'ils fournissent. Le point positif semble être que les données des utilisateurs n'ont pas été touchées et restent en sécurité.

Cela se produit malheureusement de plus en plus fréquemment.

Extrait de leur annonce publique : "Bien que nous travaillions avec diligence, nos solutions Kronos Private Cloud sont actuellement indisponibles. Étant donné que le rétablissement de la disponibilité du système peut prendre jusqu'à plusieurs semaines, nous vous recommandons fortement d'évaluer et de mettre en œuvre des protocoles alternatifs de continuité des activités liés aux solutions UKG affectées".

Sans prendre en compte d'autres aspects, et d'un point de vue purement professionnel, nous tenons à exprimer notre sympathie aux équipes qui tentent de remettre les choses en état de sécurité et de fonctionnement. Nous savons que c'est un travail difficile et délicat, et qu'il faut du dévouement et de l'expertise pour garder son calme dans une telle situation.

Pour en revenir à l'attaque par ransomware, et sans connaître tous les détails de la situation, nous ne pouvons parler que du résultat connu publiquement, à savoir une longue période d'indisponibilité des systèmes touchés. À première vue, il peut sembler étrange qu'il faille autant de temps pour récupérer tous les systèmes, mais il peut y avoir plusieurs raisons à cela.

Tout d'abord, il faut un certain temps avant de comprendre pleinement la portée d'une attaque et de regagner la confiance nécessaire pour remettre les systèmes en production. Si l'on restaure les sauvegardes et que l'on se rend compte que l'attaque a eu lieu avant que les sauvegardes ne soient effectuées, cela signifie simplement que l'on sera à nouveau touché. Par ailleurs, tout effacer et redémarrer l'ensemble de l'infrastructure prend du temps et demande beaucoup de travail.

De plus, la restauration des sauvegardes est un processus long en soi. La quantité de données à déplacer d'un support de stockage vers les systèmes de production engorgera le stockage et le réseau, ce qui ralentira encore les choses. Et pour les solutions de sauvegarde qui promettent un temps d'arrêt zéro, ce qu'elles font, c'est présenter une vue des données sur le support de sauvegarde, ce qui signifie qu'être à nouveau frappé par un ransomware paralyserait les données de sauvegarde elles-mêmes, et c'est une proposition très dangereuse.

Tout se résume à regagner la confiance dans vos systèmes. Au-delà de la simple restauration des données ou de la remise en ligne des systèmes, vous devez procéder à un audit complet et, là encore, cela prend du temps. La dernière chose que vous souhaitez voir se produire dans une telle situation est de restaurer correctement les sauvegardes et, quelque temps plus tard, d'être à nouveau touché par une partie de l'infection que vous avez manquée lors de l'évaluation initiale ou de subir une réinfection parce que vous avez manqué la faille de sécurité qui a permis à l'attaquant d'accéder au système.

Avec les menaces de cybersécurité actuelles, la meilleure option est de ne pas être attaqué du tout en premier lieu. Bien sûr, le recul est de 20-20, et cela n'aidera pas l'équipe informatique de UKG à remettre ses systèmes en ligne plus rapidement, mais c'est un rappel brutal des risques pour tout le monde. Passer en revue les questions de base comme la mise en place de correctifs appropriés, idéalement avec un calendrier rapide (ou encore mieux, une solution de correctifs en direct), ne peut pas faire de mal. Veillez à ce que les anciens systèmes soient maintenus à jour (dans ce cas, les options de support de cycle de vie étendu sont utiles). Conservez plusieurs sauvegardes sur un support hors ligne pour éviter qu'elles ne soient corrompues par un ransomware pendant leur stockage. Enfin, procédez à un audit régulier de tous les éléments de votre infrastructure. Après tout, vous ne pouvez pas protéger ce dont vous ignorez l'existence.