Nous vous invitions à lire deux retours d’expérience récents d’attaque par cryptovirus. Ils soulignent l’importance de la sécurisation des données (par mini-serveur, NAS, antivirus) et de la nécessité d’avoir une stratégie, en cas de défaillance d’un collègue, pour minimiser les risques. Une seconde d’inattention, un clic malencontreux et bim !
Nous le vivons au quotidien, ces attaques de ransomwares se sont fortement intensifiées ces deux dernières semaines. Que ce soient les petits amateurs qui s’amusent à tester leur compétences ou les voleurs en ligne professionnels qui organisent des campagnes ciblées systématiques, nos clients font l’objet d’attaques pour récupérer toutes les données possibles permettant de détourner de l’argent et qui surtout vont les bloquer contre paiement d’une rançon pour espérer être débloqués.
Parfaitement représentatifs de la réalité d’aujourd’hui, ces deux attaques très similaires dans la forme ont eu des conséquences radicalement différentes. Aucun n’a dû céder financièrement au chantage, mais le premier a perdu des données et la remise en route de son système a été longue et fastidieuse, tandis que le second s’en sort sans dommage et avec une intervention légère.
Notre Client B*** est équipé de 5 postes et 1 serveur, avec l’ensemble de ses données et sauvegardes chiffrées. C’est lui-même qui gère ses installations… et qui a laissé de grosses failles de sécurité. Le pirate a pu prendre le contrôle du serveur principal, puis récupérer les données, ayant accès aux bases, même chiffrées, via ce serveur.
Les vendeuses de B*** ont pu continuer à travailler sans serveur grâce au mode autonome disponible sur les postes de caisse, mais avec tous les inconvénients du fonctionnement en mode autonome : impossible de gérer les stocks (chaque poste a son propre stock),pas de remontée de statistiques, ni de back-office.
Pendant ce temps, les bases de données ont dû être reconstituées à grand-peine. Cette restauration a pris plusieurs heures sur plusieurs jours. Dans le détail, il a fallu passer par :
-la récupération des données effacées ou inaccessibles grâce à la base autonome mise en place sur les caisses ;
-la modélisation et la mise en place du serveur fraîchement réinstallé ;
-la réinstallation du serveur de base de données ;
-la restauration de la base autonome ;
-la reconfiguration du poste serveur ;
-la réinstallation des services ;
-et enfin la reconnexion de tous les postes.
Ce fut une intervention technique lourde, obligatoirement sur place. Au-delà des frais, l’impact a été réel sur les ventes et sur le moral des équipes et des clients, qui vivent mal ces perturbations.
Attaque similaire chez A***, cet autre client avec une installation apparemment similaire, mais en réalité bien différente. Il est équipé de :
-l’un de nos Mini-serveurs. Pré-installé en atelier par nos équipes, le serveur est livré virtualisé (le système dispose de plusieurs machines virtuelles sur une seule machine physique). Les exécutables sont installés sous Windows 10 PRO et sa base de données sous CentOS (Linux), pour davantage de performances et de sécurité face aux cryptovirus.
-2 postes de caisse, livré et installé par nos proGmag
-2 postes de bureau et 1 PC portable non fournis par nos soins
-1 poste au domicile pour connexion a distance non fourni par nos soins
-1 périphérique de stockage de la sauvegarde (un disque dur externe et antivirus qui n’était pas non plus géré par nos soins.
Le pirate informatique a pu accéder à un des deux PC de bureau existant insuffisamment sécurisé, puis il s’est servi de ce PC pour accéder à la machine virtuelle Windows du serveur. Sur le serveur, la machine virtuelle Windows a ensuite été chiffrée.
Malheureusement pour le pirate, dans notre solution, la base de données est installée sur, une machine Linux. De ce fait, bien protégée, celle-ci n’a pas été affectée. Les sauvegardes, chiffrées elles aussi, sont donc restées intactes également.
Au final, l’impact pour ce client a été très limité : à aucun moment il n’a été bloqué, il a pu continuer à encaisser normalement, et c’est bien là l’essentiel ! Les seules restrictions qui se sont imposées ont été que ses lecteurs partagés sous Windows soient désormais chiffrés eux aussi. Les techniciens de l’assistance proGmag ont pu rapidement réinstaller la partie serveur Windows virtualisé à distance (sans nécessiter d’organiser une intervention sur place).
Ces deux cas réels démontrent l’importance de votre politique de sécurité : du matériel à jour, une installation gérée, un NAS (Network Attached Storage) sécurisé, un logiciel antivirus installé dans sa dernière version.
Chez proGmag, nous savons à quel point la disponibilité des systèmes est critique. Nous proposons des solutions sécurisées, qui s’articulent autour d’un serveur virtualisé, de sauvegardes sécurisées et de logiciels antivirus.
Quand tous les composants sont coordonnés, le risque d’attaque est réduit.
Actuellement, nous travaillons à une solution qui vous permettra à l’avenir de disposer d’une sauvegarde en ligne.
Sans attendre, ces deux cas d’école illustrent à quel point il est important de sauvegarder, ses données, et que cela passe par une parfaite configuration de la sauvegarde. En effet, la sauvegarde ne sert à rien si elle n’est pas elle-même suffisamment sécurisée !
Pour aller plus loin, vous pouvez télécharger notre présentation du logiciel “SauveGuard” et de la configuration matérielle PROGMAG, que nous récapitulons ici :
– compatibilité avec Point De Vente pour la sauvegarde des données et des fichiers utiles au fonctionnement du logiciel
– indicateur de l’état des sauvegardes directement sur l’écran d’accueil de Point De Vente
– configuration des sauvegardes et support assurés par nos équipes en cas d’incident
Parmi les avantages du stockage des sauvegardes sur un NAS :
– simple et automatique : aucune intervention nécessaire une fois le NAS installé et configuré
– vos sauvegardes sont dupliquées sur les 2 disques durs du NAS (il n’y a plus de jonglage nécessaire entre 2 supports de stockage externe)
– le NAS fonctionne sous Linux, il est configuré pour apparaître comme un serveur distant ce qui limite par exemple les risques liés au cryptovirus
Notre solution standard contribue à la sécurisation des sauvegardes et donc de vos données d’activité. Elle favorise entre autres :
– un accès direct aux sauvegardes
– l’exploitabilité des sauvegardes
– une prise en charge efficace en cas d’incident (autonomie de nos équipes, possibilité d’appliquer de nos procédures standards de traitement.