Attaque de pirate informatique : voici comment les spécialistes sauvegardent des données précieuses

C’est probablement arrivé à presque tout le monde : le PC fume et plus rien ne fonctionne. Dans la plupart des cas, il est utile de « aplatir » l’ordinateur, puis de réinstaller le système d’exploitation et de transférer les données restantes à partir d’une sauvegarde. Cela ne prend généralement pas plus de quelques heures. Même après une attaque de virus, cette méthode reste la meilleure pour permettre aux utilisateurs privés de se remettre rapidement au travail. Si l’informatique des entreprises, des autorités ou des hôpitaux s’effondre, la situation est complètement différente. Il faut parfois des mois pour que tous les systèmes fonctionnent à nouveau correctement. Et de tels cas se produisent souvent : pendant la période de Noël, par exemple, les hôpitaux de Bielefeld et Herford ont été attaqués. Dans de tels cas, des spécialistes sont nécessaires.

Des experts aident après l’attaque d’un pirate informatique

Comme ça Entreprise de récupération numérique. L’entreprise basée à Schwelm (Rhénanie du Nord-Westphalie) est représentée dans six pays et peut non seulement sauvegarder des données, mais aussi faire fonctionner à nouveau des systèmes piratés. Mais que font exactement les spécialistes lorsque des entreprises, des autorités ou d’autres institutions les contactent ? « En cas de cyberattaque, notre objectif principal est de restaurer et de décrypter les données compromises », explique Christoph Demiriz, directeur général de Digital Recovery, dans une interview avec Meilleur du Moniteur. « Tout d’abord, nous isolons le système concerné pour créer un environnement sécurisé pour la récupération des données. À ce stade, notre priorité absolue est de préserver l’état immédiatement après l’attaque afin de garantir les meilleures chances de réussite de la récupération des données. La phase suivante est une analyse approfondie et implique l’application de logiciels médico-légaux professionnels et d’algorithmes et de techniques de décryptage propriétaires, que nous appelons TRACER Technologies. » C’est ainsi que les données sont progressivement restaurées et que les systèmes sont remis en service.

Erreurs commises par de nombreux administrateurs

Afin que les clients soient mieux préparés pour l’avenir et que la probabilité de nouveaux incidents soit réduite, Demiriz recommande de toujours tout réinstaller à partir de zéro et de supprimer uniquement le « contenu généré par l’utilisateur » (par exemple les documents Office, les bases de données, les photos) pour importer la récupération. Dans la plupart des cas, une cyberattaque se déroule sur plusieurs semaines, ce qui signifie que même les sauvegardes les plus anciennes sont déjà infectées, prévient l’expert informatique. Et c’est exactement là que de nombreux administrateurs ont commis une erreur cruciale, explique Christoph Demiriz : pour économiser des efforts, ils ont simplement utilisé une sauvegarde plus ancienne et non vérifiée. Conséquence : les attaquants exploitent à nouveau cette vulnérabilité, pénètrent à nouveau virtuellement dans l’entreprise et chiffrent une nouvelle fois tous les serveurs et données.

Village ou métropole

Mais pourquoi une entreprise piratée peut-elle mettre des semaines, voire des mois, à reprendre ses activités normales ? Christoph Demiriz l’explique à l’aide de l’exemple suivant : « Imaginez que votre ordinateur personnel soit comme un petit village dans lequel tout peut être rapidement reconstruit après le passage d’une tempête. Ils connaissent chaque rue et chaque maison et peuvent déterminer rapidement ce qui doit être réparé. Lorsque le PC d’un particulier tombe en panne, c’est souvent comme si on nettoyait simplement la rue principale du village et en débarrassant les quelques arbres tombés. Vous réinstallez le système d’exploitation et importez la dernière sauvegarde – et le village revit », explique Demiriz. « Une grande entreprise, en revanche, est comme une métropole avec d’innombrables rues, ponts et bâtiments. Par exemple, si une onde de tempête fait rage ici et qu’un système tombe en panne, le chaos est bien plus grand. Le défi est que non seulement il y a beaucoup plus à réparer, mais que les dégâts sont également plus complexes. Chaque rue (chemin de données) et chaque bâtiment (serveur ou base de données) a une fonction spécifique et est mis en réseau avec de nombreux autres. «Il faudra donc beaucoup plus de temps pour rendre la métropole à nouveau fonctionnelle, car il faut non seulement réparer les dégâts, mais aussi restaurer le réseau complexe d’infrastructures.»

Des mesures de précaution

Il existe également d’autres facteurs : il y a souvent un manque de travailleurs qualifiés et de ressources techniques pour effectuer toutes les réparations en même temps. Il peut arriver que le redémarrage prenne des semaines, voire des mois. Autre défi : les entreprises doivent non seulement réparer les dégâts causés par une attaque de pirate informatique, mais aussi prendre des mesures de précaution pour l’avenir. Cela inclut, par exemple, l’introduction de meilleurs logiciels de cybersécurité ou pare-feu, éventuellement l’élargissement de l’équipe de sécurité informatique ou même la modification, généralement plus stricte, des règles de travail. Ces étapes sont souvent nécessaires pour éviter que d’anciennes vulnérabilités ne se reproduisent. Mais cela signifie également que le processus de récupération prend beaucoup plus de temps et de ressources.

Ne pas céder!

De nombreux pirates informatiques ciblent non seulement les données, mais exigent également une rançon pour que l’entreprise puisse à nouveau accéder à ses données. Faut-il céder par nécessité et payer en premier ? « Une question centrale est la fiabilité et la loyauté des attaquants », souligne Demiriz. « Pouvez-vous être sûr que les cybercriminels fourniront réellement les codes de décryptage après avoir reçu la rançon et qu’ils fonctionneront ? Historiquement, il n’y a aucune garantie et il existe de nombreux cas où les données n’ont pas été restaurées malgré le paiement. En outre, la question de la durabilité se pose : le paiement de rançons n’encourage-t-il pas les attaquants à poursuivre leurs activités criminelles et éventuellement à formuler de nouvelles exigences ? De tels paiements peuvent conduire à un cycle de chantage sans fin », souligne l’expert. Céder est également problématique du point de vue de la sécurité et des affaires : le paiement de rançons pourrait envoyer un signal à d’autres attaquants potentiels que l’entreprise est prête à payer, ce qui pourrait en faire une cible attrayante. Au lieu de cela, les ressources financières qui seraient réunies pour payer la rançon pourraient être mieux investies dans l’amélioration de vos propres mesures de sécurité. Selon Christoph Demiriz, au lieu de paniquer, il est donc conseillé de s’adresser à des experts qui ont l’expérience de telles situations et peuvent recommander les meilleures étapes à suivre, et de ne pas faire de concessions risquées trop rapidement.