Avec près de 300 millions d’utilisateurs et une croissance de plus de 50 % du nombre d’abonnés au cours des deux dernières années seulement, l’adoption de Microsoft 365 a été phénoménale. Malheureusement, Microsoft 365 n’est pas la seule chose qui a pris de l’ampleur. Selon Secureworks, les attaques par ransomware sont également en pleine expansion et représentent la principale cybermenace, et Cybersecurity Ventures s’attend à ce que les paiements atteignent la somme astronomique de 1 750 Md€ d’ici 2025.
Les données de Microsoft 365 sont-elles donc totalement protégées contre les ransomwares ? En bref, la réponse est NON. Il est tout d’abord important de comprendre que les utilisateurs de Microsoft 365 doivent suivre un modèle de responsabilité partagée pour gérer et protéger leurs propres données. Il vous appartient donc de protéger vos données contre les ransomwares en utilisant, entre autres techniques, la sauvegarde des données. Mais jetons d’abord un coup d’œil aux protections offertes par Microsoft 365.
Protections intégrées à Microsoft 365
Microsoft 365 possède certaines capacités intégrées de rétention et de contrôle de versions qui vous permettent de conserver les données après qu’elles aient été supprimées ou modifiées, mais ce ne sont pas des sauvegardes. Puisqu’un ransomware attaque et chiffre les données des fichiers, examinons les protections que vous offrent OneDrive et Sharepoint Online pour conserver les éléments supprimés pendant 93 jours par défaut. Néanmoins, seul OneDrive permet spécifiquement de récupérer des données jusqu’à un point dans le temps de 30 jours maximum. Cela peut paraître suffisant, mais un ransomware peut infecter votre système et se cacher pendant des semaines ou des mois avant de lancer une attaque. Plus important encore, le contrôle de versions fourni par OneDrive et Sharepoint ne permet pas de récupérer suite à une attaque par ransomware. En effet, la récupération doit se faire à partir d’un point précis dans le temps sur l’ensemble du jeu de données, et non sur des fichiers individuels, afin de garantir que les données ne sont pas infectées par un ransomware.
Vulnérabilités et ciblage des ransomwares
Même avec un système élémentaire de rétention et de gestion de versions, les cybercriminels peuvent cibler Microsoft 365 avec un ransomware de plusieurs façons. Regardons quelques exemples ci-après.
Infection
Vous vous souvenez de ces e-mails d’un riche prince vous promettant des millions de dollars si vous répondiez ? Eh bien les choses n’ont pas beaucoup changé aujourd’hui à l’ère des ransomwares. Comme en témoigne l’attaque par ransomware contre Merseyrail, le vecteur d’attaque le plus courant pour accéder à vos systèmes est l’e-mail, notamment les e-mails M365 d’Exchange Online. Cette technique est aussi connue sous le nom de compromission d’e-mail professionnel (BEC, business email compromise). Il s’agit notamment d’e-mails d’hameçonnage qui incitent l’utilisateur à saisir son nom d’utilisateur, son mot de passe ou d’autres informations personnelles, ou de pièces jointes/liens Web contenant des logiciels malveillants infectieux qui s’activent en cliquant dessus. Ainsi, même les fichiers OneDrive et Sharepoint risquent davantage d’être chiffrés. Vous devez toujours prévoir de protéger la sauvegarde de l’ensemble de votre suite M365, notamment les e-mails d’Exchange Online.
Chiffrement
Le chiffrement des données a également été la première et principale tactique d’une attaque par ransomware. Les cybercriminels chiffrent vos données, puis exigent une rançon en échange de la clé de chiffrement qui permet de les déchiffrer et de les libérer. Bien qu’aucune attaque de chiffrement à grande échelle visant directement Microsoft 365 n’ait été rendue publique, cela ne signifie pas que cela ne s’est pas produit ou que vous êtes en sécurité. Les données OneDrive et Sharepoint Online peuvent être chiffrées de plusieurs manières. Par exemple, les fichiers infectés sont synchronisés sur OneDrive ou Sharepoint à partir d’une machine utilisateur, ou directement à partir d’un serveur qui chiffre et synchronise les fichiers à grande échelle.
Vol et exfiltration
Plus récemment, les ransomwares ont non seulement chiffré des fichiers, mais aussi volé des informations sensibles et confidentielles, notamment des numéros de carte bancaire ou des données à caractère personnel (DCP). Les cybercriminels menacent alors de divulguer ces informations publiquement ou de les vendre sur le dark Web pour extorquer une rançon à leurs victimes. Ce type d’attaque, aussi connue sous le nom de double extorsion par ransomware, est probablement la plus grande menace pour vos données M365. M365 et d’autres applications SaaS offrent un accès en ligne facile et des contrôles de partage simples. Les cybercriminels peuvent donc facilement accéder aux données sans être détectés en utilisant des identifiants compromis, puis voler et exfiltrer des données sensibles.
Protection multicouche de M365 contre les ransomwares avec Cohesity
La suite de produits de gestion des données nouvelle génération de Cohesity et l’architecture complète de sécurité des données Threat Defense fournissent plusieurs couches de protection contre les ransomwares pour protéger l’ensemble de vos données, notamment M365. Elle est conçue pour vous permettre de récupérer les données de production qui ont été chiffrées, pour garantir que vos données de sauvegarde elles-mêmes ne peuvent pas être attaquées, et pour détecter les anomalies de comportement des utilisateurs ainsi que les menaces susceptibles de signaler une exfiltration de données.
Récupération rapide et flexible
Peu importe que vous vous remettiez d’une attaque par ransomware ou que vous retrouviez des fichiers archivés depuis des années (au-delà de la rétention standard fournie par M365), votre solution de sauvegarde doit pouvoir récupérer les données à tout moment et rapidement. Cohesity DataProtect fourni à la demande offre une sauvegarde complète pour les services M365, notamment Exchange Online, OneDrive, Sharepoint Online, Teams et Groups. Vous pouvez ainsi sauvegarder et conserver vos données pour répondre aux besoins de votre entreprise et aux exigences de conformité, tout en garantissant une récupération granulaire à grande échelle lorsque vous en avez besoin.
Sauvegardes inaltérables
Non seulement les cybercriminels s’en prennent à vos données de production, mais beaucoup essaient également de chiffrer ou de supprimer vos sauvegardes pour vous empêcher de récupérer vos données de production après une attaque. Grâce à Cohesity DataProtect fourni à la demande, vous êtes sûr que vos données de sauvegarde sont en sécurité. Les données de sauvegarde sont stockées sous forme inaltérable. Cela signifie qu’elles ne peuvent pas être altérées, modifiées ou supprimées pendant la période de rétention définie par l’utilisateur, et qu’elles sont donc protégées des ransomwares.
Détection d’anomalies chez les utilisateurs
Compte tenu de l’augmentation du nombre d’exfiltrations et de vols de données, nous comprenons que la sauvegarde et la récupération ne suffisent pas pour arrêter ou minimiser le rayon d’action des ransomwares. Nous concevons Cohesity DataGovern pour assurer la gouvernance des données et la détection des anomalies. Vous pouvez ainsi identifier vos données les plus sensibles grâce au machine learning et à l’analyse du comportement, et détecter les menaces potentielles à partir des comportements anormaux des utilisateurs susceptibles d’indiquer une attaque en cours, notamment la surexposition et le partage de données, ou l’accès et le téléchargement non autorisés de données sensibles. Les intégrations prévues avec les principaux outils d’orchestration, d’automatisation et de réponse aux incidents de sécurité informatique (security orchestration, automation and response, SOAR) permettront également de réagir et de corriger rapidement la situation.
Démarrez avec Cohesity
Cohesity vous permet de démarrer en toute simplicité. Inscrivez-vous dès aujourd’hui, essayez gratuitement DataProtect fourni à la demande pendant 30 jours, et commencez à sauvegarder vos données Microsoft 365 en quelques minutes. Vous pouvez également accéder à DataGovern de manière anticipée pour classer et protéger vos données sensibles sur Microsoft 365 en vous inscrivant à l’avant-première.