Secu
Résilience : 80% des entreprises n’ont pas de véritable PRA !
Par Marie Varandat, publié le 13 juin 2023
Le risque est là, les entreprises en sont d’autant plus conscientes que beaucoup acceptent de payer les cybercriminels pour récupérer l’accès à leur système d’information. Pour autant, la grande majorité n’a pas de stratégie efficace contre les attaques, tant du point de vue sauvegarde que du plan de reprise de l’activité.
Cyber-attaques, défaillances du réseau, incidents électriques, catastrophes naturelles, mise à jour qui se passe mal… De nombreux évènements peuvent affecter le bon fonctionnement d’un système informatique et toute perte, y compris temporaire, d’accès aux outils numériques impacte forcément la production, le chiffre d’affaires et l’image de marque d’une société. En 2013, le portail international consacré à la continuité des activités Continuity Central indiquait que « 93% des entreprises ayant perdu leurs données ou l’accès à celles-ci pendant 10 jours ou plus ont fait faillite dans l’année suivant la catastrophe ». Dix ans plus tard, difficile de dire si cette donnée est toujours d’actualité, mais une chose est sure : quel que soit la taille ou le secteur, on ne se remet pas impunément d’une perte d’accès au système d’information !
Près de la moitié des entreprises sont incapables de restaurer leurs données
Malgré le risque encouru, seulement 20% des entreprises disposent d’un plan de reprise après sinistre bien documenté, rigoureusement testé et à jour selon une étude réalisée par Dimensional Research pour Arcserve auprès de 1 121 décideurs informatiques dans le monde.
Résultat, près de la moitié des entreprises (41%) déclarent qu’elles ne peuvent pas restaurer toutes leurs données après un incident. Des chiffres d’autant plus inquiétants que 68% des sondés français avouent avoir subi une perte de données au cours des cinq dernières années.
PRA (Plan de reprise d’activité), PCA (plan de continuité d’activité), sauvegardes… les solutions existent depuis belle lurette. Elles ne supposent ni compétences rares ni outils bien compliqués (notamment depuis l’apparition des solutions de Disaster Recovery dans le Cloud). Pourtant 81% des entreprises font l’impasse, ne disposant pas de plan de résilience clairement défini.
À LIRE AUSSI :
De fait, la mise en œuvre d’un PRA ou PCA reste complexe. Elle suppose un audit et une identification des activités clefs pour assurer le bon fonctionnement de l’entreprise. Elle implique aussi des ressources humaines pour déployer le plan de reprise, le mettre à jour et le tester régulièrement. Elle impacte aussi les ressources informatiques, car, qui dit site de reprise d’activité, dit forcément redondance des ressources avec un site interne ou dans le cloud capable de prendre le relais à tout moment en cas d’incident. Bref le PRA est chronophage et coute cher et, comme en sécurité, les entreprises hésitent à investir dans une solution dont la rentabilité est difficile à démontrer tant qu’on n’a pas subi « de désastres »…
Aligner les équipes sauvegarde et cybersécurité sur les mêmes enjeux
Dans ce contexte, Arcserve recommande aux entreprises d’adopter la stratégie éprouvée de sauvegarde des données en 3-2-1-1. Celle-ci nécessite trois copies de sauvegarde des données sur deux supports différents, tels qu’un disque et une bande, dont 1 hors site pour la reprise après sinistre. « Le dernier 1 de l’équation concerne le stockage immuable – un élément clé pour une protection réussie contre les ransomwares puisque les données sont converties en un format d’écriture unique, lu plusieurs fois et ne pouvant pas être modifiées », précise l’éditeur.
Un conseil judicieux, mais qui là encore se frotte à la réalité des entreprises. D’après le rapport « Ransomware Trends » publié par Veeam en mai dernier, seulement 2% des entreprises estiment disposer d’une politique efficace avec des équipes « sauvegarde » et « cybersécurité » alignées sur la même stratégie. Mondiale, l’enquête a été menée auprès de 1200 entreprises victimes de ransomware en 2022.
Des stratégies incomplètes
Comme pour les PRA, les entreprises ont mis en place des embryons de solutions : 87% des dirigeants sondés par Veeam ont une stratégie de gestion des risques, mais seulement 35% estiment qu’elle est réellement efficace. Là encore, on ne peut que s’inquiéter de ces chiffres alarmants quand on sait que selon Veeam, une entreprise sur sept verra presque toutes ses données (> 80 %) affectées par une attaque par rançongiciel, ce qui révèle une lacune importante en matière de protection. L’éditeur précise également que les attaquants ciblent presque toujours les sauvegardes et qu’ils réussissent à empêcher les victimes de se rétablir dans 75 % des cas. D’où la nécessité d’avoir une stratégie éprouvée de sauvegarde des données, reposant notamment sur « l’immuabilité et l’isolation des dépôts de sauvegarde ».
« Il est essentiel que chaque organisation se concentre sur la rapidité avec laquelle elle peut se rétablir en rendant son organisation plus résiliente », souligne Danny Allan, directeur technique de Veeam. « Nous devons nous concentrer sur une préparation efficace au rançongiciel en nous focalisant sur l’essentiel, à savoir des mesures de sécurité solides et des tests des données d’origine comme des sauvegardes, en s’assurant de la survie des solutions de sauvegarde et en veillant à l’alignement entre les équipes de sauvegarde et de cybersécurité pour adopter une posture commune ».
Le recours aux assurances pour payer la rançon va de moins en moins être une option
À défaut de pouvoir restaurer, une majorité d’entreprises optent encore pour le paiement de la rançon afin de pouvoir récupérer leurs données. En 2022, 80% des entreprises interrogées dans le cadre du rapport ont choisi de payer pour mettre fin à l’attaque, chiffre en augmentation de 4% par rapport à 2021. Payer est rarement la bonne solution et le rapport le prouve : 21% des entreprises ayant opté pour cette alternative n’ont pas récupéré leurs données auprès des cybercriminels.
Au-delà de la non-récupération des données, payer la rançon va aussi couter de plus en plus cher aux entreprises pour la simple raison que les assurances vont de moins en moins couvrir le risque.
À LIRE AUSSI :
De fait, 77% des rançons ont été payées en 2022 grâce aux assurances contractées par les entreprises. Seulement, la moitié d’entre elles avaient une assurance cybersécurité et ce pourcentage risque encore de baisser, car les compagnies durcissent leur politique : 74 % des entreprises ayant une cyber assurance ont constaté une augmentation des primes, 43 % une augmentation des franchises et 10 % une réduction des avantages de la couverture. Par ailleurs, 21% des entreprises interrogées ont déclaré que les ransomwares ont été spécifiquement exclus de leurs polices…
Enfin dernier point intéressant, selon Veeam, 56% des entreprises ont pris le risque de réinfecter leur environnement de production lors de la restauration, car elles ont utilisé leurs sauvegardes sans prendre le temps vérifier que les données réintroduites étaient saines. Le rapport ne précise pas combien se sont ainsi auto-mutilées avec leurs propres sauvegardes…
Une chose est sûre, la cyber-résilience reste un long chemin et rares sont les entreprises qui en voient déjà le bout.
À LIRE AUSSI :
À LIRE AUSSI :