Bonnes pratiques pour atténuer les attaques de rançongiciels à l'aide de Google Cloud

Un code créé par un tiers pour infiltrer vos systèmes afin de pirater, chiffrer et voler les données est appelé rançongiciel. Pour protéger les ressources et les données de votre entreprise contre les attaques par rançongiciels, vous devez mettre en place des contrôles multicouches dans vos environnements sur site et cloud. Ce document décrit quelques bonnes pratiques pour aider votre entreprise à identifier, prévenir, détecter, et répondre aux attaques de rançongiciels.

Ce document fait partie d'une série destinée aux architectes et administrateurs de sécurité. Il explique comment Google Cloud peut aider votre organisation à atténuer les effets des attaques des rançongiciels.

La série se compose des parties suivantes :

• Atténuer les attaques de rançongiciels à l'aide de Google Cloud
• Bonnes pratiques pour atténuer les attaques de rançongiciels à l'aide de Google Cloud (ce document)

Identifier vos risques et vos éléments

Pour déterminer l'exposition de votre organisation aux attaques de rançongiciels, vous devez accroître votre compréhension des risques pour vos systèmes, vos collaborateurs, vos ressources, vos données et vos fonctionnalités. Pour vous aider, Google Cloud propose les fonctionnalités suivantes :

• Gestion des éléments avec l'inventaire des éléments cloud
• Programmes de gestion des risques
• Classification des données
• Gestion des risques liés à la chaîne d'approvisionnement

Gérer vos éléments avec l'inventaire des éléments cloud

Pour aider à atténuer les attaques de rançongiciels, vous devez connaître les éléments de votre organisation, leur état et leur but, dans Google Cloud et dans vos environnements sur site ou d'autres environnements cloud. Pour les éléments statiques, conservez une référence de la dernière bonne configuration connue dans un emplacement distinct.

Utilisez l'inventaire des éléments cloud pour obtenir un historique de cinq semaines de vos ressources dans Google Cloud. Configurez des flux de surveillance afin de recevoir des notifications lorsque des modifications particulières sont apportées aux ressources ou en cas d'écarts par rapport aux règles. Pour suivre les modifications afin de pouvoir surveiller les attaques qui progressent sur une période plus longue, exportez le flux. Pour créer l'exportation, vous pouvez utiliser des outils tels que Terraform. Pour ce type d'analyse, vous pouvez exporter l'inventaire vers une table BigQuery ou un bucket Cloud Storage.

Évaluer et gérer les risques

Utilisez un framework d'évaluation des risques existant pour cataloguer vos risques et déterminer la capacité de votre organisation à détecter et à contrer une attaque de rançongiciel. Ces évaluations vérifient différents facteurs, par exemple si vous disposez ou non de contrôles de protection contre les logiciels malveillants, de contrôles d'accès correctement configurés, d'une protection des bases de données et de sauvegardes.

Par exemple, la Cloud Security Alliance (CSA) fournit la Cloud Controls Matrix (CCM) pour aider les organisations dans leurs évaluations des risques liés au cloud. Pour obtenir des informations CCM spécifiques à Google Cloud, consultez la section Nouveau benchmark CIS pour Google Cloud Computing Platform.

Pour identifier les écarts potentiels entre les applications et prendre des mesures pour y remédier, vous pouvez utiliser des modèles de menace, comme la modélisation des menaces d'application de l'OWASP. Pour découvrir comment atténuer les risques faisant partie du Top 10 de l'OWASP avec Google Cloud, consultez la page Top 10 des options d'atténuation de l'OWASP sur Google Cloud.

Après avoir catalogué vos risques, déterminez comment y répondre et si vous souhaitez accepter, éviter, transférer ou atténuer les risques. Le programme de protection contre les risques fournit un accès à Risk Manager et à la cyberassurance. Utilisez Risk Manager pour analyser vos charges de travail sur Google Cloud et implémenter les recommandations de sécurité qui permettent de réduire les risques liés aux rançongiciels.

Configurer la protection des données sensibles

La protection des données sensibles vous permet d'inspecter les données de votre organisation Google Cloud et les données provenant de sources externes. Configurez la protection des données sensibles pour classer et protéger vos données confidentielles à l'aide de techniques d'anonymisation. La classification de vos données vous permet de concentrer vos efforts de surveillance et de détection sur les données les plus importantes pour votre organisation.

Combinez la protection des données sensibles avec d'autres produits, tels que Security Command Center ou une solution SIEM tierce, pour garantir une surveillance et des alertes appropriées en cas de modification inattendue de vos données.

Gérer les risques pour votre chaîne d'approvisionnement

Les failles dans la chaîne d'approvisionnement sont un vecteur d'attaque clé pour les attaques par rançongiciels. La difficulté de ce vecteur d'attaque est que la plupart des entreprises doivent suivre de nombreux fournisseurs, chacune avec sa propre liste de fournisseurs.

Si vous créez et déployez des applications, utilisez des frameworks tels que les Niveaux de chaîne d'approvisionnement pour les architectes logiciels (SLSA). Ces frameworks vous aident à définir les exigences et les bonnes pratiques que votre entreprise peut utiliser pour protéger votre code source et ses processus de compilation. Avec les SLSA, vous pouvez appliquer quatre niveaux de sécurité afin d'améliorer la sécurité du logiciel que vous créez.

Si vous utilisez des packages Open Source dans vos applications, envisagez d'utiliser des tableaux de données de sécurité pour générer automatiquement le score de sécurité d'un package Open Source particulier. Les tableaux de données de sécurité sont une méthode économique et facile à utiliser permettant d'obtenir une évaluation avant que vos développeurs intègrent des packages Open Source à vos systèmes.

Pour en savoir plus sur les ressources que vous pouvez utiliser pour vérifier la sécurité de Google Cloud, consultez la page Évaluation des risques de sécurité des fournisseurs.

Contrôler l'accès à vos ressources et données

Lorsque votre organisation déplace des charges de travail en dehors de votre réseau sur site, vous devez gérer l'accès à ces charges de travail dans tous les environnements qui hébergent vos ressources et vos données. Google Cloud prend en charge différents contrôles qui vous aident à configurer l'accès approprié. Les sections suivantes en présentent quelques-uns.

Configurer la sécurité "zéro confiance" avec BeyondCorp Enterprise

Lorsque vous déplacez vos charges de travail de votre environnement sur site vers le cloud, votre modèle de confiance change. Une sécurité "zéro confiance" signifie que personne n'est approuvé implicitement, qu'il se trouve à l'intérieur ou à l'extérieur du réseau de votre organisation.

Contrairement à un VPN, la sécurité "zéro confiance" déplace les contrôles d'accès du périmètre réseau vers les utilisateurs et leurs appareils. La sécurité "zéro confiance" signifie que l'identité de l'utilisateur et le contexte sont pris en compte lors de l'authentification. Ce contrôle de sécurité constitue une tactique de prévention importante contre les attaques de rançongiciels qui ne réussissent qu'après que les pirates informatiques ont pénétré dans votre réseau.

Utilisez BeyondCorp Enterprise pour configurer la sécurité "zéro confiance" dans Google Cloud. BeyondCorp Enterprise fournit une prévention des menaces et une protection des données, ainsi que des contrôles d'accès. Pour savoir comment le configurer, consultez la page Premiers pas avec BeyondCorp Enterprise.

Si vos charges de travail sont situées à la fois sur site et dans Google Cloud, configurez Identity-Aware Proxy (IAP). IAP vous permet d'étendre la sécurité "zéro confiance" à vos applications dans les deux emplacements. Il fournit une authentification et une autorisation aux utilisateurs qui accèdent à vos applications et à vos ressources à l'aide de stratégies de contrôle des accès.

Configurer le moindre privilège

Le principe du moindre privilège garantit que les utilisateurs et les services disposent uniquement de l'accès dont ils ont besoin pour effectuer leurs tâches spécifiques. Le principe du moindre privilège ralentit la capacité du rançongiciel à se propager dans l'ensemble de l'organisation, car un pirate informatique ne peut pas facilement augmenter ses privilèges.

Pour répondre aux besoins spécifiques de votre organisation, utilisez des stratégies, des rôles et des autorisations précis dans Identity and Access Management (IAM). En outre, analysez régulièrement vos autorisations à l'aide de l'outil de recommandation de rôle et de Policy Analyzer. L'outil de recommandation de rôle utilise le machine learning afin d'analyser vos paramètres et fournir des recommandations pour vous assurer que vos paramètres de rôle respectent le principe du moindre privilège. Policy Analyzer vous permet d'identifier les comptes qui ont accès à vos ressources cloud.

Pour plus d'informations sur le principe du moindre privilège, consultez la section Utiliser IAM en toute sécurité.

Configurer l'authentification multifacteur avec des clés de sécurité Titan

L'authentification multifacteur (MFA) garantit que les utilisateurs doivent fournir un mot de passe et un facteur biométrique ou un facteur possessif (comme un jeton) avant d'accéder à une ressource. Étant donné que les mots de passe peuvent être relativement faciles à découvrir ou à voler, l'authentification multifacteur permet d'empêcher les pirates informatiques de pouvoir prendre le contrôle de comptes.

Envisagez d'utiliser des clés de sécurité Titan pour l'authentification multifacteur afin d'éviter les piratages de compte et les attaques par hameçonnage. Les clés de sécurité Titan sont inviolables et peuvent être utilisées avec tout service compatible avec les normes de l'Alliance FIDO (Fast IDentity Online).

Activez l'authentification multifacteur pour vos applications, les administrateurs Google Cloud, les connexions SSH à vos VM (à l'aide d'OS Login), et pour toute personne ayant besoin d'un accès privilégié aux informations sensibles.

Utilisez Cloud Identity pour configurer l'authentification multifacteur pour vos ressources. Pour plus d'informations, consultez la section Appliquer la MFA de manière uniforme aux ressources de l'entreprise.

Protéger vos comptes de service

Les comptes de service sont des identités privilégiées qui permettent d'accéder à vos ressources Google Cloud. Les pirates informatiques les considèrent donc comme importants. Pour découvrir les bonnes pratiques relatives à la protection des comptes de service, consultez la section Bonnes pratiques d'utilisation des comptes de service.

Protéger vos données critiques

Les principaux objectifs d'une attaque de rançongiciel sont généralement les suivants :

• Rendre vos données critiques inaccessibles jusqu'à ce que vous payiez la rançon.
• Exfiltrer vos données.

Pour protéger vos données critiques contre les attaques, combinez divers contrôles de sécurité pour contrôler l'accès aux données, en fonction de leur sensibilité. Les sections suivantes décrivent certaines bonnes pratiques que vous pouvez utiliser pour protéger vos données et limiter efficacement les attaques de rançongiciels.

Configurer la redondance des données

Google Cloud dispose d'une infrastructure d'envergure mondiale conçue pour offrir résilience, évolutivité et haute disponibilité. La résilience cloud permet à Google Cloud de récupérer et de s'adapter à divers événements. Pour plus d'informations, consultez le guide de fiabilité de l'infrastructure Google Cloud.

En plus des fonctionnalités de résilience par défaut dans Google Cloud, configurez la redondance (N+2) dans l'option de stockage cloud que vous utilisez pour stocker vos données. La redondance permet d'atténuer les effets d'une attaque de rançongiciel, car elle supprime un point de défaillance unique et fournit des sauvegardes de vos systèmes principaux en cas de piratage.

Si vous utilisez Cloud Storage, vous pouvez activer la gestion des versions des objets ou la fonctionnalité de verrou de bucket. La fonctionnalité de verrou de bucket vous permet de configurer une règle de conservation des données pour vos buckets Cloud Storage.

Pour en savoir plus sur la redondance des données dans Google Cloud, consultez les sections suivantes :

• Redondance entre les régions avec des buckets Cloud Storage
• Copier des ensembles de données BigQuery dans plusieurs régions

Sauvegarder vos bases de données et vos magasins de fichiers

Les sauvegardes vous permettent de conserver des copies de vos données à des fins de reprise après sinistre pour pouvoir créer un environnement répliqué. Stockez les sauvegardes au format dont vous avez besoin, et dans un format source brut si possible. Pour éviter de compromettre vos données de sauvegarde, stockez ces copies dans des zones distinctes isolées de votre zone de production. De plus, sauvegardez les binaires et les fichiers exécutables séparément de vos données.

Lorsque vous planifiez un environnement répliqué, assurez-vous d'appliquer les mêmes contrôles de sécurité (ou mieux) dans votre environnement en miroir. Déterminez le temps nécessaire pour recréer votre environnement et pour recréer les comptes administrateur dont vous avez besoin.

Pour obtenir des exemples de sauvegardes dans Google Cloud, consultez les sections suivantes :

• Sauvegardes dans Cloud SQL pour SQL Server

• Sauvegardes dans Filestore

En plus de ces options de sauvegarde, vous pouvez utiliser le service de sauvegarde et de reprise après sinistre pour sauvegarder vos données sur site dans Google Cloud. La sauvegarde et la reprise après sinistre vous permettent de configurer un environnement de reprise après sinistre dans Google Cloud pour vos VM et vos bases de données. Pour plus d'informations, consultez la section sur les solutions de sauvegarde et de reprise après sinistre.

Protéger et sauvegarder vos clés de chiffrement des données

Pour empêcher les pirates informatiques d'accéder à vos clés de chiffrement de données, effectuez une rotation de vos clés régulièrement et surveillez les activités liées à ces clés. Mettez en œuvre une stratégie de sauvegarde de clés qui prenne en compte l'emplacement des clés et si celles-ci sont gérées par Google (logiciels ou HSM), ou si vous les fournissez à Google. Si vous fournissez vos propres clés, configurez les sauvegardes et la rotation des clés à l'aide des contrôles de votre système de gestion des clés externe.

Pour en savoir plus, consultez la page Gérer des clés de chiffrement avec Cloud Key Management Service.

Protéger votre réseau et votre infrastructure

Pour protéger votre réseau, vous devez vous assurer que les pirates informatiques ne peuvent pas le balayer facilement en vue d'accéder à vos données sensibles. Les sections suivantes décrivent certains éléments à prendre en compte lors de la planification et du déploiement de votre réseau.

Automatiser le provisionnement de l'infrastructure

L'automatisation est un contrôle important contre les attaques par rançongiciels, car elle fournit à votre équipe d'exploitation un état correct connu, un rollback rapide et des fonctionnalités de dépannage. L'automatisation nécessite divers outils tels que Terraform, Jenkins, Cloud Build et autres.

Déployez un environnement Google Cloud sécurisé à l'aide du plan de base de l'entreprise. Si nécessaire, développez le plan de sécurité de base avec des plans supplémentaires ou concevez votre propre automatisation.

Pour en savoir plus sur l'automatisation, consultez la page Utiliser un pipeline CI/CD pour les workflows de traitement des données. Pour obtenir plus de conseils de sécurité, consultez le Centre des bonnes pratiques de sécurité dans Google Cloud.

Segmenter votre réseau

Les segments et les périmètres réseau permettent de ralentir la progression d'un pirate informatique dans votre environnement.

Pour segmenter les services et les données, et pour sécuriser votre périmètre, Google Cloud propose les outils suivants :

• Pour diriger et protéger le flux de trafic, utilisez Cloud Load Balancing avec des règles de pare-feu.
• Pour configurer des périmètres au sein de votre organisation afin de segmenter les ressources et les données, utilisez VPC Service Controls.
• Pour configurer des connexions avec vos autres charges de travail, que ce soit sur site ou dans d'autres environnements cloud, utilisez Cloud VPN ou Cloud Interconnect.
• Pour restreindre l'accès aux adresses IP et aux ports, configurez des règles d'administration telles que "Limiter l'accès des adresses IP publiques sur les instances Cloud SQL" et "Désactiver l'accès au port série des VM".
• Pour renforcer la sécurité des VM de votre réseau, configurez des règles d'administration telles que "VM protégée".

Personnalisez les contrôles de sécurité du réseau en fonction des risques pour les différentes ressources et données.

Protéger vos charges de travail

Google Cloud inclut des services qui vous permettent de créer, déployer et gérer du code. Utilisez ces services pour éviter les écarts et détecter rapidement les problèmes, tels que les erreurs de configuration et les failles. Pour protéger vos charges de travail, créez un processus de déploiement contrôlé qui empêche les pirates informatiques d'obtenir un accès initial via des failles non corrigées et des erreurs de configuration. Les sections suivantes décrivent quelques-unes des bonnes pratiques que vous pouvez mettre en œuvre pour protéger vos charges de travail.

Par exemple, pour déployer des charges de travail dans GKE Enterprise, procédez comme suit :

• Configurer des builds et des déploiements de confiance.
• Isoler les applications dans un cluster.
• Isoler les pods sur un nœud.

Pour plus d'informations sur la sécurité de GKE Enterprise, consultez la page Renforcer la sécurité d'un cluster.

Utiliser un cycle de développement logiciel sécurisé

Lors du développement de votre cycle de développement logiciel (SDLC, software development lifecycle), utilisez les bonnes pratiques du secteur telles que DevSecOps. Le programme de recherche DevOps Research and Assessment (DORA) décrit de nombreuses fonctionnalités techniques, de processus, de mesure et culturelles de DevSecOps. DevSecOps peut contribuer à atténuer les attaques de rançongiciels, car il garantit que la sécurité est prise en compte à chaque étape du cycle de développement et permet à votre organisation de déployer rapidement des correctifs.

Pour en savoir plus sur l'utilisation d'un SDLC avec Google Kubernetes Engine (GKE), consultez la section Présentation de Software Delivery Shield.

Utiliser un pipeline sécurisé d'intégration continue et de livraison continue

L'intégration continue et la livraison continue (CI/CD) fournissent un mécanisme permettant de mettre rapidement vos dernières fonctionnalités à la disposition de vos clients. Pour empêcher les attaques par rançongiciels contre votre pipeline, vous devez effectuer une analyse de code appropriée et surveiller votre pipeline afin de détecter d'éventuelles attaques malveillantes.

Pour protéger votre pipeline CI/CD sur Google Cloud, utilisez des contrôles d'accès, la séparation des tâches et la vérification cryptographique du code au fur et à mesure que le code progresse dans le pipeline CI/CD. Utilisez Cloud Build pour suivre vos étapes de compilation et Artifact Registry pour effectuer une analyse des failles sur vos images de conteneurs. Utilisez l'autorisation binaire pour vérifier que vos images respectent vos normes.

Lorsque vous créez votre pipeline, assurez-vous de disposer de sauvegardes pour les fichiers binaires et les fichiers exécutables de votre application. Sauvegardez-les séparément de vos données confidentielles.

Protéger vos applications déployées

Les pirates informatiques peuvent tenter d'accéder à votre réseau en détectant les failles de couche 7 au sein de vos applications déployées. Pour atténuer les effets de ces attaques, effectuez des activités de modélisation des menaces afin de trouver les menaces potentielles. Après avoir réduit la surface d'exposition aux attaques, configurez Google Cloud Armor, qui est un pare-feu d'application Web (WAF) utilisant le filtrage de couche 7 et les règles de sécurité.

Les règles WAF vous aident à protéger vos applications contre de nombreux problèmes répertoriés dans le Top 10 de l'OWASP. Pour en savoir plus, consultez la section Top 10 des options d'atténuation de l'OWASP sur Google Cloud.

Pour en savoir plus sur le déploiement de Google Cloud Armor avec un équilibreur de charge d'application externe global pour protéger vos applications dans plusieurs régions, consultez Présentation de Google Cloud Armor : défense à grande échelle pour les services Internet. Pour en savoir plus sur l'utilisation de Google Cloud Armor avec des applications exécutées en dehors de Google Cloud, consultez la section Intégrer Google Cloud Armor à d'autres produits Google.

Corriger rapidement les failles

Les vulnérabilités logicielles Open Source sont un vecteur d'attaque clé pour les rançongiciels. Pour atténuer les effets potentiels d'un rançongiciel, vous devez être en mesure de déployer rapidement des correctifs sur votre parc.

Selon le modèle de responsabilité partagée, vous êtes responsable des failles logicielles dans vos applications, et Google est responsable de la gestion de la sécurité de l'infrastructure sous-jacente.

Pour afficher les failles associées aux systèmes d'exploitation exécutés par vos VM et gérer le processus de déploiement des correctifs, utilisez OS Patch Management dans Compute Engine. Pour GKE et GKE Enterprise, Google applique automatiquement des correctifs pour les failles, même si vous disposez d'un certain contrôle sur les intervalles de maintenance de GKE.

Si vous utilisez Cloud Build, automatisez les compilations chaque fois qu'un développeur effectue un commit de modification dans le dépôt source du code. Assurez-vous que votre fichier de configuration de compilation inclut des contrôles de validation appropriés, tels que l'analyse des failles et les vérifications de l'intégrité.

Pour en savoir plus sur l'application de correctifs sur Cloud SQL, consultez la section Maintenance sur des instances Cloud SQL.

Détecter les attaques

Votre capacité à détecter les attaques dépend de vos capacités de détection, de votre système de surveillance et d'alertes, ainsi que des activités qui préparent les équipes chargées des opérations à identifier les attaques lorsqu'elles se produisent. Cette section décrit quelques-unes des bonnes pratiques à adopter pour détecter les attaques.

Configurer la surveillance et les alertes

Activez Security Command Center pour obtenir une visibilité centralisée des problèmes et des risques liés à la sécurité dans votre environnement Google Cloud. Personnalisez le tableau de bord pour vous assurer que les événements les plus importants pour votre organisation sont les plus visibles.

Utilisez Cloud Logging pour gérer et analyser les journaux de vos services dans Google Cloud. Pour une analyse supplémentaire, vous pouvez choisir d'intégrer les opérations de sécurité Google ou d'exporter les journaux vers la solution SIEM de votre organisation.

En outre, utilisez Cloud Monitoring pour mesurer les performances de votre service et de vos ressources, et configurer des alertes. Par exemple, vous pouvez surveiller les modifications soudaines du nombre de VM en cours d'exécution dans votre environnement, qui peuvent indiquer la présence de logiciels malveillants dans votre environnement.

Vous pouvez rendre toutes ces informations disponibles dans votre centre d'opérations de sécurité de manière centralisée.

Créer des fonctionnalités de détection

Créez des fonctionnalités de détection dans Google Cloud qui correspondent à vos risques et vos besoins de charge de travail. Ces fonctionnalités vous fournissent davantage d'informations sur les menaces avancées et vous aident à mieux surveiller vos exigences de conformité.

Si vous disposez du niveau Premium de Security Command Center, utilisez Event Threat Detection et Google SecOps. Event Threat Detection recherche vos attaques de sécurité potentielles dans vos journaux et enregistre ses résultats dans Security Command Center. Event Threat Detection vous permet de surveiller à la fois Google Cloud et Google Workspace. Il recherche les logiciels malveillants en fonction de domaines incorrects connus et d'adresses IP malveillantes connues. Pour en savoir plus, consultez la section Utiliser Event Threat Detection.

Utilisez Google SecOps pour stocker et analyser vos données de sécurité au même endroit. Google SecOps vous aide à améliorer le processus de gestion des menaces dans Google Cloud en ajoutant des capacités d'enquête dans Security Command Center Premium. Vous pouvez utiliser Google SecOps pour créer des règles de détection, configurer la mise en correspondance d'indicateurs de compromission et effectuer des activités de recherche des menaces. Google SecOps offre les fonctionnalités suivantes:

• Lorsque vous mappez les journaux, Google SecOps les enrichit et les relie entre eux sous forme de chronologie, afin que vous puissiez voir toute la portée d'une attaque.
• Google SecOps réévalue en permanence les activités de journalisation en fonction des informations sur les menaces recueillies par l'équipe Google Cloud Threat Intelligence pour Google Security Operations. Lorsque les informations changent, Google SecOps les réapplique automatiquement à toutes les activités historiques.
• Vous pouvez créer vos propres règles YARA pour améliorer vos capacités de détection des menaces.

Vous pouvez éventuellement avoir recours à un partenaire Google Cloud pour étendre davantage vos fonctionnalités de détection.

Se préparer à une attaque de rançongiciel

Pour vous préparer à une attaque par rançongiciel, terminez les plans de continuité d'activité et de reprise après sinistre, créez un playbook de réponse aux incidents liés aux rançongiciels et effectuez des simulations.

Pour votre playbook de réponse aux incidents, tenez compte des fonctionnalités disponibles pour chaque service. Par exemple, si vous utilisez GKE avec l'autorisation binaire, vous pouvez ajouter des processus bris de glace.

Assurez-vous que votre guide de gestion des incidents vous aide à contenir rapidement les ressources et les comptes infectés, et à accéder à des sources secondaires et à des sauvegardes saines. Si vous utilisez un service de sauvegarde tel que la sauvegarde et la reprise après sinistre, appliquez régulièrement vos procédures de restauration depuis Google Cloud vers votre environnement sur site.

Créez un programme de cyber-résilience et une stratégie de sauvegarde qui vous préparent à restaurer les systèmes ou les éléments principaux affectés par un incident de rançongiciel. La cyber-résilience est essentielle pour prendre en charge les chronologies de récupération et atténuer les effets d'une attaque afin que vous puissiez reprendre vos activités.

En fonction du champ d'application d'une attaque et des réglementations qui s'appliquent à votre organisation, vous devrez peut-être signaler l'attaque aux autorités appropriées. Assurez-vous que vos coordonnées sont correctement enregistrées dans votre playbook de gestion des incidents.

Gestion et récupération en cas d'attaque

En cas d'attaque, vous devez suivre votre plan de gestion des incidents. Votre gestion s'organise probablement en quatre phases, à savoir :

• Identification de l'incident
• Coordination et enquête sur l'incident
• Résolution de l'incident
• Clôture de l'incident

Les bonnes pratiques liées à la gestion des incidents sont décrites plus en détail dans les sections suivantes.

Pour en savoir plus sur la manière dont Google gère les incidents, consultez la section Processus de gestion des incidents liés aux données.

Activer votre plan de gestion des d'incidents

Lorsque vous détectez une attaque de rançongiciel, activez votre plan. Après avoir vérifié que l'incident n'est pas un faux positif et qu'il affecte vos services Google Cloud, ouvrez une demande d'assistance Google P1. L'assistance Google répond comme indiqué dans les instructions relatives aux services d'assistance technique de Google Cloud.

Si votre organisation dispose d'un responsable de compte technique (TAM) Google ou d'un autre représentant Google, contactez-le également.

Coordonner votre enquête sur les incidents

Une fois votre plan activé, rassemblez l'équipe de votre organisation qui doit être impliquée dans vos processus de coordination et de résolution des incidents. Assurez-vous que ces outils et processus sont en place pour enquêter sur l'incident et le résoudre.

Continuez à surveiller votre demande d'assistance Google et restez en contact avec votre représentant Google. Répondez aux éventuelles demandes d'informations supplémentaires. Prenez des notes détaillées sur vos activités.

Résoudre l'incident

Une fois l'enquête terminée, suivez votre plan de gestion des incidents pour supprimer le rançongiciel et restaurer votre environnement dans un état sain. Selon la gravité de l'attaque et les contrôles de sécurité que vous avez activés, votre plan peut inclure des activités telles que :

• Mettre en quarantaine les systèmes infectés.
• Effectuer une restauration à partir de sauvegardes saines.
• Restaurer votre infrastructure à un état sain précédemment connu à l'aide de votre pipeline CI/CD.
• Vérifier que la faille a été supprimée.
• Appliquer des correctifs à tous les systèmes susceptibles d'être vulnérables à une attaque similaire.
• Implémenter les contrôles dont vous avez besoin pour éviter une attaque similaire.

Tout au long de la phase de résolution, continuez à surveiller votre demande d'assistance Google. L'assistance Google prend les mesures appropriées dans Google Cloud pour contenir, éradiquer et (si possible) récupérer votre environnement.

Continuez à prendre des notes détaillées sur vos activités.

Fermer l'incident

Vous pouvez fermer l'incident une fois que votre environnement est restauré à son état sain et que vous avez vérifié que le rançongiciel a été éradiqué de votre environnement.

Informez l'assistance Google lorsque votre incident est résolu et que votre environnement est restauré. Si une rétrospective conjointe est planifiée, participez-y avec votre représentant Google.

Assurez-vous de retenir toutes les leçons tirées de l'incident, et mettez en place les contrôles nécessaires pour éviter toute attaque similaire. Selon la nature de l'attaque, vous pouvez envisager les actions suivantes :

• Rédiger des règles de détection et des alertes déclenchées automatiquement en cas de nouvelle attaque.
• Mettre à jour votre playbook de gestion des incidents pour inclure les enseignements tirés de cet incident.
• Améliorer votre stratégie de sécurité en fonction de vos résultats rétrospectifs.

Étapes suivantes

• Découvrez le processus de gestion des incidents chez Google.
• Ajoutez le tableau de bord d'état de Google Cloud aux favoris pour afficher l'état de Google Cloud.
• Améliorez votre plan de gestion des incidents avec le manuel SRE de Google - Gestion des incidents.
• Consultez le framework d'architecture pour connaître les bonnes pratiques relatives à Google Cloud.

• Planifier les processus de reprise après sinistre.

• Aider à sécuriser les chaînes d'approvisionnement logicielles sur GKE.

• Découvrez comment Google identifie et protège contre les plus grandes attaques DDoS.