Support technique
Documentation
Connexion
Nous contacter
Si vous demandez à un administrateur système ce qui l'ennuie le plus dans son travail, il y a de fortes chances que vous obteniez, sans ordre particulier, des réponses telles que "les utilisateurs", "les mises à jour défectueuses" ou "les appels le vendredi après-midi". Certains vous donneront également des réponses aléatoires comme "le travail après les heures de bureau" ou "la violation de leurs systèmes".
Un incident dû à un ransomware sur vos serveurs de production cochera presque toutes les cases. Les systèmes seront hors service, vos utilisateurs (ou clients) se plaindront et vous devrez passer un temps fou à tout remettre en état de marche. C'est particulièrement vrai dans le cas des ransomwares Linux, qui ciblent de plus en plus les environnements d'entreprise et peuvent gravement perturber les opérations.
Imaginez que cela se produise en décembre et que les procédures de remise en état de marche prennent trois semaines. L'esprit de Noël fera cruellement défaut.
C'est précisément ce qu'a rapporté UKG il y a quelques jours. Un incident de ransomware a touché leurs systèmes Kronos Private Cloud, affectant tout, de la gestion du personnel aux soins de santé et aux solutions bancaires qu'ils fournissent. Le point positif semble être que les données des utilisateurs n'ont pas été touchées et restent en sécurité.
Cette situation est malheureusement de plus en plus fréquente.
Extrait de leur annonce publique : "Bien que nous travaillions avec diligence, nos solutions Kronos Private Cloud sont actuellement indisponibles. Étant donné que le rétablissement de la disponibilité du système peut prendre jusqu'à plusieurs semaines, nous vous recommandons vivement d'évaluer et de mettre en œuvre d'autres protocoles de continuité des activités liés aux solutions UKG concernées".
Sans regarder d'autres aspects, et d'un point de vue purement professionnel, nous aimerions exprimer notre sympathie aux équipes qui tentent de remettre les choses en état et de les faire fonctionner à nouveau. Nous savons que c'est un travail difficile et délicat, et qu'il faut du dévouement et de l'expertise pour garder son calme dans une telle situation.
Pour en revenir à l'attaque du ransomware, et sans connaître tous les détails de la situation, nous ne pouvons parler que du résultat connu publiquement, à savoir une longue période d'indisponibilité pour les systèmes touchés. À première vue, il peut sembler étrange qu'il faille autant de temps pour récupérer tous les systèmes, mais il peut y avoir plusieurs raisons à cela.
Tout d'abord, il faut un certain temps avant de comprendre pleinement l'ampleur d'une attaque et de regagner la confiance nécessaire pour remettre les systèmes en production. Restaurer les sauvegardes et se rendre compte que l'attaque s'est produite avant que les sauvegardes n'aient été effectuées signifie simplement que vous serez à nouveau touché. Par ailleurs, le fait de tout effacer et de redémarrer l'ensemble de l'infrastructure prend du temps et demande beaucoup de travail.
En outre, la restauration des sauvegardes est un processus long en soi. La quantité de données à déplacer d'un support de stockage vers les systèmes de production engorgera le stockage et le réseau, ce qui ralentira encore les choses. Et pour les solutions de sauvegarde qui promettent un temps d'arrêt nul, ce qu'elles font, c'est présenter une vue des données sur le support de sauvegarde, ce qui signifie qu'être à nouveau touché par un ransomware paralyserait les données de sauvegarde elles-mêmes, et c'est une proposition très dangereuse.
Tout se résume à regagner la confiance dans vos systèmes. Au-delà de la simple restauration des données ou de la remise en ligne des systèmes, vous devez procéder à un audit complet, ce qui, une fois encore, prend du temps - la dernière chose que vous souhaitez dans une situation comme celle-ci, c'est de restaurer correctement les sauvegardes et, quelque temps plus tard, d'être à nouveau touché par une partie de l'infection qui vous a échappé lors de l'évaluation initiale ou de subir une réinfection parce que vous n'avez pas vu la faille de sécurité qui a permis à l'attaquant d'accéder au système en premier lieu.
Compte tenu des menaces actuelles en matière de cybersécurité, la meilleure solution consiste à ne pas être attaqué du tout. Bien sûr, le recul est de 20-20, et cela n'aidera pas l'équipe informatique de l'UKG à remettre ses systèmes en ligne plus rapidement, mais c'est un rappel brutal des risques pour tous les autres. Revenir sur les questions de base, comme la mise en place de correctifs appropriés, idéalement avec un calendrier rapide (ou mieux encore, une solution de correctifs en direct), ne peut pas faire de mal. S'assurer que les systèmes plus anciens sont maintenus à jour (dans ce cas, les options de support du cycle de vie étendu sont utiles). Conservez plusieurs sauvegardes sur un support hors ligne pour éviter qu'elles ne soient corrompues par un ransomware pendant qu'elles sont stockées. Enfin, procédez à des audits réguliers de tous les éléments de votre infrastructure. Après tout, vous ne pouvez pas protéger ce dont vous ignorez l'existence.
