Comment protéger les sauvegardes des ransomwares ?

Spécialité(s)


Résumé

Le but de cet article est d’expliquer pourquoi il est important de protéger son système de sauvegardes des attaques par ransomware et quelles sont les meilleures méthodes et technologies à utiliser pour cela.


Body

Depuis plusieurs années les ransomwares sont une menace croissante pour les entreprises. Dans ses derniers rapports de 2021 et 2022, l’ENISA (European Union Agency for Cybersecurity) a placé les ransomwares comme la menace principale et a indiqué que les cybercriminels devenaient de plus en plus organisés et efficaces avec des techniques d’attaques qui évoluent en permanence. En effet, ceux-ci ne se limitent plus au chiffrement des données, mais ils sont également capables d’effectuer des exfiltrations de données et de les revendre sur le Dark Web, on parle même d’une triple extorsion quand ces données sont également revendues à des utilisateurs ou partenaires externes [1]. Sauvegarder ses données s’avère être primordial face à cette menace, à ce titre on peut donc se demander si les sauvegardes réalisées en entreprise sont assez robustes afin de répondre à ces nouvelles menaces et comment les renforcer ? Afin d’y répondre, nous verrons d’abord quels sont les risques suite à une attaque par ransomware, puis quelles sont les limitations des solutions de sauvegarde et enfin quelles sont les technologies à mettre en œuvre afin de s’en protéger.

1. Pourquoi les sauvegardes traditionnelles ne sont plus suffisantes face aux ransomwares ?

1.1 Quels sont les risques couverts par une sauvegarde ?

Traditionnellement, la sauvegarde informatique est considérée comme le dernier rempart de protection d’un SI en lui permettant d’améliorer sa résilience face à différents risques (humains, climatiques, technologiques, cybermenaces).

  • Le risque humain : souvent lié à une erreur d’un employé (suppression ou corruption de données) et en général localisé à un serveur ou un groupe de serveurs.
  • Le risque climatique : concerne en général un sinistre au niveau du centre de données (tempête, inondation) qui pourrait détruire les ressources informatiques et les données stockées.
  • Le risque technologique : peut être lié à une défaillance matérielle d’un élément technique du centre de données (serveur, disque dur, panne électrique, incendie).

Depuis ces dernières années, les cybermenaces sur les SI sont en forte hausse et les cybercriminels ont bien compris que les entreprises ont mis en place des mesures de sécurisation des SI pour contrer les attaques par ransomware sans pour autant appliquer ce niveau de sécurisation sur leurs systèmes de sauvegardes. Aussi, ces derniers se sont donc adaptés et ont mis au point des souches de code malveillants capables de cibler les systèmes principaux, mais aussi les sauvegardes. En effet, les données sauvegardées constituent également une cible à forte valeur en cas d’attaque, car en cas de prise de contrôle, les attaquants auront la possibilité d’infecter les données de sauvegardes voire de les voler. C’est pourquoi la sécurisation des infrastructures de sauvegardes devient désormais essentielle.

1.2 Comment fonctionne une attaque par ransomware ?

Une attaque par ransomware utilise un processus en plusieurs étapes : infection, détonation, gestation et destruction.

L'infection se produit lorsqu'un composant SI comme un serveur ou un poste de travail devient contaminé. Un antivirus/EDR avec sa base de signatures à jour pourra arrêter les infections, mais pas nécessairement toutes.

Parmi les vecteurs d'attaques les plus courants, on peut rencontrer :

  • L'utilisation d'un message malveillant et la propagation du ransomware en mode ver comme dans le cas de Wannacry.
  • L'exploitation de vulnérabilités logicielles ou une attaque force brute sur les serveurs RDP afin de permettre à un attaquant de s'infiltrer dans le SI et d'obtenir des privilèges administrateur. Une fois ce but atteint, il pourra passer à l'infection à l’aide du ransomware et exfiltrer les données.

La détonation a lieu lorsque le ransomware chiffre les données sur le système infecté. Selon le type d’attaque, le chiffrement peut se faire dès l’infection, mais il est également possible que l’attaquant décide d’attendre et laisse le ransomware dans une période de gestation avant l'explosion.

Les ransomwares dits dormants peuvent être alors sauvegardés au même titre que le reste des données et systèmes de l’organisation. Ainsi, à leur restauration, ils pourront de nouveau s’exécuter et replonger le SI dans une nouvelle crise.

La destruction est une autre étape possible du process d’attaque lorsque le ransomware détruit les fichiers comme dans le cas de LokiLocker [2]. Si une clé de déchiffrement valide n'est pas saisie dans le délai spécifié, des fichiers peuvent être supprimés de manière aléatoire et le prix de la rançon pour la clé de déchiffrement sera augmenté.

Ces étapes constituent brièvement les principales étapes d’exécution d’une attaque par ransomware, un dossier a été consacré dans MISC sur le sujet [3].

1.3 Quelles sont les conséquences d’une attaque par ransomware ?

Les cybercriminels ne se contentent plus de chiffrer les données. Lors d'attaques par ransomware récentes, comme en 2021 avec le cas de Colonial Pipeline [4], ils ont également volé des informations sensibles et menacé de les publier sur le Dark Web ou de les vendre à un tiers. Cette violation de données ajoute une nouvelle pression sur l’entreprise pour qu'elle paie la rançon rapidement.

Dans tous les cas, les entreprises touchées par les ransomwares auront de lourdes conséquences et des dépenses importantes en plus du paiement de cette rançon. Certains de ces coûts comprennent les audits de sécurité réalisés par des sociétés de conseil ainsi que leurs plans d’action, les amendes réglementaires pour les violations de données, la baisse de la productivité du personnel en raison des temps d'arrêt, la perte de clients et de partenaires et le paiement de primes d'assurance en matière de cybersécurité. La restauration de la réputation d'une entreprise est tout aussi coûteuse, en particulier lorsque des données sensibles sont perdues ou compromises.

2. Quelles sont les limitations des systèmes de sauvegarde face aux attaques par ransomwares ?

Comme nous l’avons vu dans la première partie, les systèmes de sauvegardes traditionnels doivent absolument être protégés des attaques par ransomware et toutes les solutions ne se valent pas : à la base prévues pour restaurer les données en cas de panne, elles peuvent être sensibles à différentes attaques.

2.1 Attaque sur les données sauvegardées

C’est la méthode d’attaque la plus ancienne, le ransomware s’en prend directement aux données stockées sur les infrastructures de stockage [5] qui utilisent principalement des systèmes en réseau de type NAS ou SAN ou même cloud, car ceux-ci ne sont pas forcément protégés des effacements de données.

L’exemple le plus marquant est celui de l’attaque du ransomware Conti [6] dont le groupe avait pour cela recruté des spécialistes des solutions de sauvegardes. D’un point de vue technique, les attaquants ont utilisé des outils comme Cobalt Strike (outil de pentest), ngrok (application permettant d’ouvrir des ports à distance et exfiltrer des données) et atera (agent de gestion distante) avec un processus en plusieurs étapes comme détaillé dans cet article [7] :

  1. Utilisation du phishing pour récupérer des identifiants et de cobalt strike pour infiltrer les systèmes.
  2. Utilisation de Atera et ngrok pour exfiltrer les données via un Rclone piégé.
  3. Verrouillage du système de sauvegarde et suppression des fichiers de sauvegardes.

2.2 Attaque sur les logiciels de sauvegardes

D’autres groupes de cybercriminels ne s’attaquent pas directement aux données de sauvegardes, mais utilisent les failles de sécurité des produits de sauvegardes afin de récupérer des informations sensibles ou exécuter des commandes à distance.

Récemment, FIN7 a utilisé une faille de sécurité du moteur Microsoft SQL server embarqué dans la solution Veeam [8]. L’attaque se base sur l’utilisation d’une backdoor qui permet d’exécuter des scripts Bash et PowerShell pour collecter des informations sur le système local voire des informations directement dans la base de données Veeam pour récupérer des mots de passe serveur.

Un autre cas d’exploitation récente des vulnérabilités est celui lié au produit Veritas Backup Exec par le groupe AvosLocker [9]. Dans ce cas, les attaquants ont utilisé une faille du protocole NDMP (un protocole de sauvegarde NAS) afin de pouvoir exécuter des commandes à distance.

2.3 Des limitations en termes de réactivité

Enfin, d’un point de vue fonctionnel les solutions de sauvegardes traditionnelles ne permettent pas toutes de réagir rapidement en cas d'attaque. En effet, toutes ne disposent pas de fonctionnalité de surveillance d'attaque ou de capacité de restauration rapide.

La principale raison à cela est liée à leur conception, car leur système de surveillance se concentre principalement sur la réussite des tâches de sauvegarde et ne détecte pas forcément une corruption de données. De même, ces solutions utilisent en général des espaces de stockage peu performants (disques SATA ou cartouche) principalement pour des raisons économiques et n’embarquent pas forcément une possibilité de restauration rapide de type snapshot, ce qui peut être préjudiciable s’il y a besoin de restaurer rapidement les composants vitaux d’un SI.

3. Quels sont les moyens de protection des systèmes de sauvegarde ?

3.1 Sécuriser l’infrastructure de sauvegarde

L’une des premières mesures de défense est de renforcer la sécurisation des accès aux composants de l’infrastructure de sauvegarde et notamment l’accès à l’Active Directory (AD). Cet article [10] évoque notamment l’exfiltration des informations AD par le logiciel Mimikatz afin de compromettre des données de sauvegardes gérées par Veeam.

En cas d’infection, il y a de fortes probabilités que l’Active Directory soit compromis. Pour empêcher l’attaquant d’atteindre les sauvegardes par ce biais, il faut donc séparer l’accès à l’infrastructure de sauvegarde de l’Active Directory et s’assurer que les comptes d’administration des sauvegardes ne seront pas touchés en cas d’attaques en installant les serveurs de sauvegardes hors du domaine.

La deuxième mesure de sécurisation est la mise en place d’une authentification multifacteurs. Le processus d'authentification exigera que chaque utilisateur dispose d'un ensemble unique de critères pour obtenir l'accès. L'activation de méthodes d'authentification multifactorielle (MFA) rend très improbable l'usurpation d'identité d'un compte utilisateur valide.

La troisième mesure est l’adoption d’une politique de moindre privilège afin de ne donner que les droits nécessaires aux utilisateurs sur l’infrastructure de sauvegarde. On limitera ainsi les utilisateurs à la consultation des configurations ou la restauration en fonction d’un groupe de machines. Pour les comptes administrateurs, on préféra les comptes nominatifs aux comptes génériques.

Les activités de tous les comptes intervenants sur l’infrastructure de sauvegarde doivent aussi être enregistrées dans des journaux inaltérables au même titre que celles des serveurs de production. Si une anomalie de connexion comme un nombre d’échecs de connexion élevés est relevée, le système devra être en mesure d’émettre une alerte.

D’un point de vue opérationnel, il est important de mettre régulièrement à jour les logiciels et firmwares utilisés sur l’infrastructure de sauvegarde afin de limiter les vulnérabilités.

Enfin, les attaques par ransomware se propageant souvent sur le même système d’exploitation, il peut être utile d’adopter un système d’exploitation différent pour l’infrastructure de sauvegarde. Sinon, a minima effectuer une sécurisation du catalogue de sauvegardes (base de données contenant les pointeurs vers les sauvegardes et les configurations), à l’aide d’une réplication ou d’une copie idéalement hors ligne afin de permettre une restauration rapide de l’infrastructure de sauvegarde en cas de compromission.

3.2 Sécuriser les données sauvegardées

S’il est important de sécuriser l’infrastructure et son accès, la sécurisation des données sauvegardées l’est encore plus.

3.2.1 Chiffrement des données / Protection des moyens de chiffrement

Le chiffrement est recommandé pour les données au repos et en transit afin d'empêcher la divulgation des données. Pour ce qui est des données en transit, il faut s’assurer que les données soient envoyées vers des environnements authentifiés idéalement en utilisant des protocoles de type TLS (Transport Layer Service) et des clés de chiffrements de 2048 bits ou plus.

Concernent les données au repos sur les espaces de stockage, l’utilisation du chiffrement ne protégera pas directement contre les ransomwares, mais une fois les données chiffrées cela constituera une défense supplémentaire, car elles ne seront pas lisibles sans la clé de chiffrement. Pour cela, on pourra utiliser un chiffrement avec cryptographie AES 256 bits ou FIPS 140-2 tout en portant une attention importante au lieu de stockage de cette clé et à la gestion de celle-ci. Un stockage dans un gestionnaire indépendant de la solution de sauvegarde apportera un meilleur niveau de protection et de gestion.

3.2.2 Immutabilité des données

Une sauvegarde est immuable si ses données une fois écrites sur le support restent fixes, inchangées ou supprimées. Pour cela, on pourra mettre en œuvre des mécanismes de verrou au niveau des espaces de stockage des sauvegardes en implémentant une fonction WORM (Write Once Read Many). Cette technologie a été pensée initialement pour répondre au stockage de données dans un cadre légal afin de verrouiller les espaces en écriture pendant une période de X jours en fonction de la régulation. Les logiciels de sauvegardes récents proposent également désormais cette fonctionnalité.

On peut distinguer 3 types de solutions WORM avec des niveaux de sécurisation différents :

  • Les solutions logicielles qui reposent sur une fonctionnalité gérant les configurations et les droits sur les données. Ce type de solution est facilement contournable par un attaquant qui disposerait de suffisamment de privilèges afin de supprimer les verrous.
  • Les solutions de type appliance qui embarquent la protection WORM au niveau du firmware, ce qui améliore la protection, car même des privilèges administrateur ne peuvent pas débloquer les verrous sur les espaces.
  • Les solutions matérielles comme les bandes magnétiques. Dans ce cas précis, la protection en réécriture s’active manuellement au niveau des supports à l’aide d’un taquet.

La technologie WORM est l'une des mesures les plus efficaces contre les attaques par ransomware, car cela permet de garantir une intégrité des données au moment du process de sauvegarde.

3.2.3 Utilisation des « Air gap »

Les « air gap » répondent à deux besoins fondamentaux en matière de sécurité en protégeant contre les intrusions dans un réseau et contre la destruction, l'accès ou la manipulation des données. Aussi, c’est également une technique qui peut être utilisée dans le cadre de la sécurisation des données de sauvegardes. Ils peuvent être basés sur un cloisonnement physique ou logique et doivent être dotés de capacités de stockage importantes afin de pouvoir stocker plusieurs versions de données sur des rétentions de plusieurs mois. Ainsi en cas d’attaque par un virus dormant ils permettront de pouvoir suffisamment remonter dans le temps et de disposer d’une version des données non infectée.

Dans le cas d’air gap physique, une coupure est réalisée entre les environnements de production et l’emplacement de stockage des sauvegardes pour les mettre hors ligne, ce qui empêche d’y accéder. L'utilisation de bandes magnétiques externalisées pour stocker les copies peut être rassurante et peu chère à première vue, mais n'est pas sans contraintes. En effet, l’usage de cartouches apporte aussi des défauts comme des délais de restauration allongés, ou un risque de perte du support (casse ou vol). Ainsi, pour raccourcir le processus de restauration, il peut être intéressant de mettre en place également une stratégie d’isolement des données sauvegardées dans un air gap logique.

L'air gap logique est basé sur des techniques d’isolation réseau à l’aide de firewall. Un lien physique est toujours maintenu entre les données de production et la zone de stockage protégée pour les sauvegardes, mais la liaison logique est par défaut déconnectée. La connexion entre les deux zones se fait à l’initiative de la solution de sauvegarde et des politiques définies. Celle-ci déclenche alors une réplication à intervalle court entre les deux zones. Comme les données ne sont pas déplacées physiquement, le processus est beaucoup plus facile à gérer et les sauvegardes peuvent être remises en ligne en quelques heures, ce qui réduit considérablement le temps de récupération (RTO). Néanmoins, du fait de leur caractère online, il y aura toujours un risque que des cybercriminels parviennent à compromettre le périmètre du réseau et prennent le contrôle de l’infrastructure de sauvegarde.

En fonction des besoins de rétention et des besoins en volumétrie, le coût des sauvegardes peut aussi rapidement devenir important. Rien n’exclut non plus d’avoir une approche mixte en utilisant des supports en ligne pour la protection des données vitales devant être restaurées rapidement et des supports hors ligne pour y stocker le reste des données et des copies de secours.

3.2.4 Évolution des stratégies de sauvegarde

Une recommandation courante parmi les experts en cybersécurité du CISA est de mettre en place une politique de sauvegarde utilisant au minimum la règle des 3-2-1 [11] :

  • Avoir au minimum 3 copies de ses données.
  • Deux (2) copies des données maintenues sur site, sur deux espaces de stockage différents. L’une sur un espace de stockage primaire et l’autre, sur un espace de sauvegarde secondaire.
  • Ensuite, créer une dernière (1) copie des données répliquées hors site, sur un espace de stockage disque, sur une librairie à bandes magnétiques ou sur le Cloud selon les RPO et RTO visés.

Les bandes magnétiques gardent un intérêt pour les copies hors site, car elles permettent de rendre les données de sauvegardes totalement hors ligne par rapport aux technologies disque qui eux restent vulnérables aux attaques.

Néanmoins de nouvelles recommandations vont dans le sens de stratégies du type 3-2-1-1-0 ou 4-3-2 afin d‘augmenter le niveau de protection.

La stratégie 3-2-1-1-0 stipule :

  • Conserver au moins (3) copies des données de l'entreprise.
  • Stocker les données sur au moins (2) types de supports de stockage différents.
  • Conserver (1) copie des sauvegardes dans un emplacement hors site.
  • Conserver (1) copie du support hors ligne ou en mode « air gap ».
  • Veiller à ce que toutes les solutions de récupération comportent (0) erreur.

Cette stratégie renforce la stratégie 3-2-1 avec l’utilisation d’un deuxième espace de stockage soit offline soit « air gap » avec immuabilité et la garantie que les sauvegardes soient stockées avec 0 erreur. Cela demande une surveillance quotidienne et une reprise sur incident.

Une stratégie 4-3-2 stipule :

  • Conserver (4) copies des données.
  • Stocker les données sur (3) sites différents.
  • Avoir (2) espaces de stockage hors site.

Ainsi la stratégie 4-3-2 renforce celle en 3-2-1 avec l’utilisation d’une copie de sauvegarde supplémentaire idéalement de manière immuable.

Enfin, il est aussi possible d’appliquer des mesures de protection supplémentaires au niveau des politiques de suppression des données sauvegardées, comme l’application d’une période de grâce avant la suppression réelle sur le support ou bien la conservation d’une copie (ou snapshot) sur la baie de stockage pendant un temps donné. Cela permet de s’accorder un délai d’un ou plusieurs jours avant la perte complète des données en cas de suppression.

3.3 Comment améliorer la réponse aux incidents ?

De manière plus opérationnelle, le processus de réponses aux incidents de sécurité doit également inclure une partie traitant des attaques sur les infrastructures de sauvegardes. La restauration des données après une attaque nécessitera l'utilisation de copies préservées non compromises ce qui nécessite d'avoir réfléchi à la meilleure manière de réagir.

3.3.1 Réagir rapidement aux explosions

Après la première sauvegarde complète, la quantité de données sauvegardées de manière incrémentielle est généralement très faible. Lorsqu'un ransomware explose, il chiffre les données, certains logiciels de sauvegarde qui scrutent les blocs modifiés des données considèrent alors les données chiffrées comme étant nouvelles. Une nouvelle sauvegarde complète sera alors déclenchée, impliquant une consommation de bande passante, un espace de stockage ainsi qu’une durée de sauvegarde plus longue. Cette sauvegarde incrémentale anormale peut servir de déclencheur au logiciel de sauvegarde pour émettre une alerte selon différents critères. L'administrateur peut positionner des règles de supervision, et même restaurer des données en cas de dépassement de seuils anormaux.

Cette approche a pour inconvénient de réagir à une détonation, sans l'empêcher. De plus, elle suppose que l'infection par le ransomware n'a pas encore eu lieu sur les supports de sauvegardes et récupère les données à partir de la sauvegarde la plus récente, corrigeant ainsi l'explosion du ransomware. Cette supposition peut être dangereuse, car rien ne dit que le système de sauvegarde n'est pas infecté depuis plusieurs semaines, ce qui permettra à la détonation de se reproduire. Détecter puis réagir aux explosions de ransomwares est donc une réponse inefficace.

3.3.2 Détecter les infections

Au lieu d'avoir une approche réactive, une solution de sauvegarde moderne doit plutôt être en mesure de détecter les infections de ransomware dans le flux de sauvegarde et avant que la donnée soit stockée. Le marché des solutions de sauvegardes dispose de produits ayant des fonctionnalités de détection de ransomware intelligente avec centralisation des alertes dans un outil de SIEM afin qu’elles soient tracées par les équipes sécurité.

  • Commvault propose une fonctionnalité de pot de miel (honeypot) afin de surveiller l’activité de certains systèmes de fichiers, en cas de comportement anormal une alerte est remontée à l’administrateur.
  • Cohesity et Rubrik ont mis en place des algorithmes d’apprentissage automatique de type Machine Learning afin de détecter les activités sur les données (anomalies, chiffrements, suppressions, modification).

Idéalement, cette solution devra être en mesure d'isoler les fichiers infectés avec une zone de quarantaine et notifiera les administrateurs leur laissant la latitude de pouvoir récupérer ou non les fichiers suspects.

3.3.3 Restaurer les données avec confiance

Dernière recommandation et non des moindres, les sauvegardes n’ont d’intérêt que si l’on peut récupérer leur contenu et reprendre les activités du SI après un sinistre. Dans le cadre d’un plan de reprise, les actions à mettre en place seront donc de lister les composants vitaux du SI à inclure dans cette opération puis définir une fréquence de test en mixant à la fois des tests de restauration complète ou isolée.

En complément, il pourra être utile d’ajouter un outillage de scan antivirus au process de restauration avant la recopie des données sur la production. Certaines solutions du marché incluent déjà cette possibilité en post-traitement et stoppent la restauration si une compromission est détectée.

Conclusion

Comme développé dans cet article, les ransomwares et les cybercriminels constituent des menaces sérieuses pour les données des entreprises. De nouvelles vulnérabilités sont continuellement découvertes et de nouvelles variantes de malware se développent avec l’apparition récente de versions dormantes. Les sauvegardes sont donc un élément essentiel du plan de protection des données de chaque entreprise et l’on a vu qu’il ne suffit pas d'avoir une infrastructure de sauvegarde en place et il est désormais obligatoire que celle-ci soit sécurisée avec plusieurs lignes de défense :

  • Une première ligne de défense utilisant les principales recommandations en matière de sécurisation d’une infrastructure informatique (sécurisation des accès, gestion des identités et mettre à jour régulièrement les systèmes afin de limiter les failles).
  • Une deuxième ligne de défense afin de protéger les données de sauvegardes et leur stockage sur des supports et lieux différents avec des rétentions de plusieurs mois afin de conserver des versions non altérées par des virus dormants.
  • Une dernière ligne plus opérationnelle qui améliore la réactivité des process en cas d'infection en utilisant des outils d'alertes intelligents sans oublier de faire des tests de restaurations réguliers.

Pour terminer, si vous doutez encore de l'intérêt d'une telle sécurisation, cet article [12] relate le retour d'expérience de l’entreprise Manutan qui a été victime en 2021 du ransomware DoppelPaymer à la suite d’une attaque phishing ayant déployé un bot en interne. L'entreprise a été paralysée durant plusieurs semaines et a dû reconstruire son SI de zéro en repensant la sécurité de ses choix technologiques. Concernant la solution de sauvegarde, l’entreprise a décidé de s’appuyer notamment sur une unique solution de sauvegarde utilisant un stockage immutable lui permettant de reconstruire de manière fiable son SI.

Remerciements

Les membres du groupe IAAS pour leur relecture.

Pierre Jay pour m’avoir proposé d’écrire cet article et ses remarques.

Références

[1] https://www.bleepingcomputer.com/news/security/revil-ransomware-creates-ebay-like-auction-site-for-stolen-data/

[2] https://www.lemondeinformatique.fr/actualites/lire-wiping-et-obfuscation-le-ransomware-lokilocker-etoffe-ses-armes-86157.html

[3] « Ransomwares : État de la menace », MISC n°107, janvier-février 2020 :
https://connect.ed-diamond.com/MISC/misc-107

[4] https://fr.wikipedia.org/wiki/Cyberattaque_de_Colonial_Pipeline

[5] https://www.lemagit.fr/actualites/252496405/Ransomware-quand-les-attaquants-detruisent-les-sauvegardes

[6] https://blockyforveeam.com/veeam-backups-targeted-by-the-conti-ransomware-group/

[7] https://www.lemondeinformatique.fr/actualites/lire-le-ransomware-conti-veut-la-peau-des-sauvegardes-veeam-84354.html

[8] https://www.lemondeinformatique.fr/actualites/lire-le-groupe-d-attaquants-fin7-cible-les-serveurs-de-sauvegarde-veeam-90329.html

[9] https://www.at-bay.com/articles/avoslocker-adds-veritas-vulnerabilities-to-access-arsenal/

[10] https://www.lemondeinformatique.fr/actualites/lire-ransomware-les-pirates-arment-les-sauvegardes-cloud-contre-les-utilisateurs-78318.html

[11] https://www.cisa.gov/uscert/sites/default/files/publications/data_backup_options.pdf

[12] https://www.lemagit.fr/etude/Recit-comment-Manutan-sest-sorti-de-la-cyberattaque-du-21-fevrier



Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous