Protection optimale contre les cyberattaques

«En cas d’attaque, les experts sécurité de Swisscom interviendront aussitôt.»

Une attaque par logiciel de rançon (ou d'extorsion) peut, dans le pire des cas, paralyser une entreprise. La Banque cantonale de Saint-Gall SGKB a réussi à être habilement prévoyante.

Texte: Anton Neuenschwander, Images: Michael Meier, 31 mai 2018

Le modèle commercial de l’industrie du rançonnement a changé. Dans le passé, on faisait à une entreprise une offre qu’elle ne pouvait souvent pas refuser: ne pas divulguer certaines informations sensibles si le montant demandé était payé. Aujourd’hui, les entreprises paient une rançon pour leurs propres données. L’arme la plus puissante des maîtres-chanteurs est le ransomware: ce logiciel malveillant s’infiltre dans les serveurs de fichiers et verrouille ceux-ci par cryptage. Il faut payer pour les débloquer. Ou pas.

À la recherche d’un système de défense intelligent

Guido Kölliker est Chief Information Security Officer de la SGKB et par conséquent responsable de la sécurité de l’information au sein de cette institution financière leader en Suisse orientale. Début 2017, il a analysé les cyberrisques auxquels la banque est exposée. «Il nous a bien fallu constater que nous ne disposions pas de contre-mesures appropriées pour les attaques par ransomware», se souvient-il. «Ce n’était vraiment pas un sentiment agréable. Les dégâts causés par une telle attaque peuvent se chiffrer en millions.» Kölliker a demandé conseil aux experts de Swisscom, car les serveurs de fichiers de la SGKB sont exploités par Swisscom. «Ce que nous exigions d’un système de protection efficace contre les logiciels de rançon était clair: tout d’abord, l’identification ultra-rapide de l’attaque. Et deuxièmement, la réaction immédiate par des contre-mesures.» Donat Kaeser, chef de produit Storage, Backup & Archives Services chez Swisscom, nomme un troisième critère important: «Un concept efficace de sauvegarde et de restauration est également indispensable. Nous recommandons de sauvegarder les données cinq fois par jour à l’aide de la technologie du «snapshot». En cas d’infection - qui ne peut jamais être complètement exclue - il faut commencer immédiatement les restaurations. L’inconvénient est qu’après un incident, les données sont restaurées dans l’état dans lequel elles se trouvaient avant l’attaque. Cependant, plusieurs heures se sont souvent écoulées dans l’intervalle. Pendant ce temps, les plus de 1000 employés de la SGKB ont fourni une grande quantité de travail qui se trouve dans leurs fichiers. Ce travail serait perdu si tous les fichiers étaient réinitialisés sans distinction. La solution est apportée par ‘Differential Restore’, qui n’écrase que les fichiers infectés.»

Donat Kaeser (à gauche) et Guido Kölliker veulent avoir une longueur d’avance sur les cybercriminels.

Les «bonnes» modifications sont conservées

La SGKB a opté pour l’option de service Ransomware Protection. Cet écran radar intelligent détecte les attaques de ransomware en se basant sur plus de 1700 modèles et déclenche immédiatement les mesures défensives définies. Guido Kölliker se montre enthousiaste à propos d’un point fort de la solution: «‘Differential Restore’ identifie les fichiers qui ont été épargnés par l’attaque. Ils contiennent de ‘bonnes’ modifications qui sont conservées. Les fichiers infectés par des virus – c’est-à-dire avec de ‘mauvaises’ modifications – sont écrasés par une version intacte plus ancienne.» Grâce à Ransomware Protection, Guido Kölliker peut dormir plus tranquillement aujourd’hui. «Nous savons que nous sommes protégés de façon optimale. En cas d’attaque, les experts sécurité de Swisscom interviendront aussitôt en bloquant certains profils d’utilisateurs, par exemple. Nous serons immédiatement informés de ce qui s’est passé exactement et de ce que la banque doit encore faire.»

«Nous savons que nous sommes protégés de façon optimale.»

Guido Kölliker, Chief Information Security Officer de la SGKB

Avoir une longueur d’avance au jeu du chat et de la souris

La SGKB est proactive en matière de sécurité et leader dans son secteur afin de garantir la protection la plus large possible pour elle-même et ses clients, déclare Guido Kölliker. «Cela fait des années déjà que la banque s’est concentrée sur son cœur de métier en s’appuyant sur des partenaires externes compétents en matière de sécurité», explique-t-il. «C’est pourquoi nous envisageons d’utiliser d’autres services de sécurité gérés de Swisscom en plus de Ransomware Protection. Des services de détection des menaces et d’intervention tels que Security Analytics, Security Operation Center (SOC) et Computer Security Incident Response Team (CSIRT) sont à l’étude.» Donat Kaeser pense que cette procédure a du sens, parce que: «Ne nous faisons pas d’illusions: nous avons créé, grâce à Ransomware Protection, les conditions-cadres pour une protection optimale et une restauration rapide au niveau du File Service. Mais le jeu du chat et de la souris avec les cybercriminels continue. Nous perfectionnons constamment nos solutions pour que nos clients soient armés contre de futures menaces.»

Leader en matière de Cybersécurité: la Banque cantonale de Saint-Gall.

Banque cantonale de Saint-Gall SGKB

Un Saint-Gallois sur deux et une Sainte-Galloise sur deux entretiennent une relation d’affaires avec la SGKB. En tant que banque universelle régionale, la SGKB conseille les particuliers et les entreprises depuis près de 150 ans. Le siège de la banque est situé dans la capitale du canton, auquel s’ajoutent 38 succursales.

Enterprise File Services – Option Ransomware Protection

Basé sur les technologies NetApp et Cleondris.
Détection et alerte pour les événements détectés (Ransomware Patterns).
Blocage automatique des clients/hôtes
Déclenchement automatique d’«emergency snapshots» (points de remise à zéro) pour les attaques identifiées.
Differential Restore pour une restauration rapide du service en cas de contamination. Cette fonctionnalité unique répare les données défectueuses et laisse les «bonnes» modifications.
Intégration possible dans le Security Portfolio «Threat Detection & Response» (Event & Incident Management)