On en parle dans tous les journaux. Vivalia, groupe hospitalier en province du Luxembourg, a été victime d’une cyberattaque de grande ampleur la nuit de vendredi à samedi. À l’heure où j’écris ces lignes, ce lundi 16 mai 2022, je n’ai pas encore beaucoup d’informations mais il semblerait qu’il s’agisse d’une attaque de type « ransomware » et/ou de vers qui se sont propagés dans le réseau. L’infrastructure est quasiment à l’arrêt : les examens, les consultations ainsi que certaines opérations sont reportées. C’est un coup dur humain mais aussi financier.
Dès lors, comment Secure IP peut-elle vous aider à vous protéger ? Comment éviter une paralysie de votre infrastructure réseau ?
Nos produits offrent une gamme de protection multicouches pour parer l’attaque mais aussi de quoi reprendre vos activités rapidement avec peu ou pas de pertes de données.
Le premier rempart est le pare-feu nouvelle génération. Il reconnait, par l’analyse de tous les flux entrants et sortants, les tentatives d’intrusion, les scanners de ports, les anomalies de protocole, les virus, les adresses IP frauduleuses, l’origine des requêtes, etc.
Quelques explications s’imposent :
- les scanners de ports parcourent Internet à la découverte de serveurs ou services exposés (VPN, base de données, RDP, etc.), si une faille existe, elle peut être exploitée.
- les tentatives d’intrusion sont détectées par un algorithme et une base de données de scénarios préexistants ; en cas de détection, la tentative est bloquée.
- les anomalies de protocole sont des paquets modifiés et spécifiques à une vulnérabilité qui peuvent entraîner l’arrêt du service visé (DoS) ou pire, une intrusion, le vol de données, ou l’exécution d’un malware.
- les virus et assimilés : le pare-feu passe au crible tout le trafic réseau et bloque les paquets qui contiennent la signature d’un malware. La protection est donc globale même s’il n’y a pas d’antivirus installé sur chaque appareil connecté au réseau. Utile pour les objets connectés qui ne peuvent pas bénéficier d’une telle protection (frigos, caméras, domotique, …)
- les pare-feu nouvelle génération disposent d’une base de données des adresses IP et site web liés à du phishing ou à des infections. Beaucoup de ransomware contactent un serveur distant appelé C&C ou C2 (Command & Control) depuis lequel ils reçoivent leurs instructions ; s’ils ne parviennent pas à le contacter (grâce à ce blocage), l’attaque n’aura pas lieu !
On a donc vu que le pare-feu permettait de sécuriser le réseau de manière générale. Il est basé sur la détection du trafic par rapport à des bases de données et une configuration établie par un spécialiste comme Secure IP. Malgré toutes ces protections, la probabilité d’une intrusion est faible mais pas nulle. Une autre protection reste donc nécessaire.
Notre produit Acronis Cyber Protect Cloud intervient à ce niveau. Il fournit en effet les services (et donc couches de protections) supplémentaires suivants intégrés au sein d’un seul logiciel:
- Antivirus et antimalware installé au niveau de la machine aussi bien un poste de travail qu’un serveur avec par défaut une autoprotection (le logiciel se protège lui-même des attaques pour conserver son intégrité) et un antiransomware.
- Surveillance et application des correctifs de sécurité.
- Sauvegarde de fichiers, dossiers, machines complètes (virtuelles également y compris les métadonnées), services Cloud (Google Workspace, Microsoft 365, OneDrive, sites Web, …). La restauration d’une machine complète peut également se faire sur une même machine (restauration baremetal) ou sur une autre machine dont le matériel est différent (Acronis Universal Restore).
- La restauration sécurisée (le backup est scanné dans le Cloud avant d’être restauré évitant ainsi la réinfection).
- Protection continue des données : au lieu de faire une sauvegarde à intervalles réguliers, les données sont sauvegardées en continu réduisant ainsi les pertes de données entre la dernière sauvegarde et la restauration.
- Rapports par e-mail et carte de protection des données (rapport visuel de ce qui est sécurisé dans une sauvegarde et ce qui ne l’est pas).
- Le meilleur pour la fin, le Disaster Recovery. Cette option permet d’exécuter la sauvegarde de vos serveurs et autres machines directement dans le datacenter d’Acronis. Un scénario est préétabli (nous nous occupons de cette tâche) et en cas d’attaque ou défaillance du serveur concerné il démarre seul dans le datacenter d’Acronis et des connexions VPN sont établies automatiquement. Vous recommencez à travailler après seulement quelques minutes ! Assurément une option qui aurait intéressé Vivalia !
Vous voyez donc que des cyberattaques se produisent de plus en plus mais que les outils pour y faire face évoluent en parallèle pour protéger vos activités. Il faut évidemment mettre tout cela en place en amont de l’attaque qui peut se produire n’importe quand. N’attendez donc pas, contactez-nous au plus vite !