12 considérations importantes pour la restauration d’Active Directory après une attaque par rançongiciel

The image shows the consequence of not having an Active Directory Recovery Plan

Les cyberattaques contre les organisations ont explosé ces dernières années, et la menace d’une attaque par logiciel rançonneur d’Active Directory est devenue de plus en plus réelle et imminente. La plupart des entreprises ont mis en place des plans détaillés pour les aider à se rétablir en cas de cyberattaque ou d’autre catastrophe, mais les subtilités et les complexités de la restauration d’Active Directory sont souvent négligées.

Active Directory est la clé de la gestion et de la sécurisation des accès et des services liés à l’identification dans les organisations. Active Directory doit fonctionner en permanence, car s’il est en panne, rien d’autre ne fonctionne pleinement. Il est donc essentiel de le rétablir rapidement et proprement.

Restauration d’Active Directory après une attaque de logiciel rançonneur

Voici 12 points importants à prendre en compte lors de la planification de la restauration d’Active Directory :

1. Sauvegardes altérées de AD. Les acteurs malveillants altèrent de plus en plus les sauvegardes avant le lancement d’une attaque par un logiciel rançonneur, afin d’augmenter les chances de paiement de la rançon. Il est essentiel que les sauvegardes soient protégées de manière adéquate pour maintenir leur intégrité. L’un des moyens d’y parvenir est d’utiliser un stockage immuable. Ainsi, lorsque vous sauvegardez AD, il est stocké dans un état WORM (Write Once, Read Many ou en protection sans écriture). Lorsqu’elles sont dans un état WORM, les données de sauvegarde ne peuvent pas être modifiées ou supprimées pendant la période définie dans la politique, ce qui permet de protéger les sauvegardes.

2. Test de reprise après sinistre d’Active Directory. L’objectif d’un test de reprise est de vérifier que la restauration à partir de la sauvegarde fonctionne et que le processus de restauration AD est précis. Il permet également de renforcer les connaissances et les compétences. Si les tests de restauration ne sont pas planifiés régulièrement, il y a un risque accru que la restauration ne fonctionne pas et que sa vitesse soit entravée par des personnes qui ne sont pas familiarisées avec le processus. Les changements d’environnement sont souvent synonymes de changements de configuration ou de processus, qui doivent être testés et documentés.

3. Active Directory est multimaître. Contrairement à certains autres services qui nécessitent une restauration sur un seul serveur, Active Directory est multimaître, ce qui signifie que plusieurs serveurs contiennent la même base de données et que les mises à jour sont répliquées entre eux. Tous les membres répondent aux demandes de données des clients, et le fait que les contrôleurs de domaine soient d’accord sur la version des données est vital pour la santé du service. Le fait d’essayer de restaurer un contrôleur de domaine ne rétablit pas automatiquement le service pour les autres contrôleurs de domaine également. Pour réussir, il faut un effort coordonné entre tous les contrôleurs de domaine de la forêt. Il existe également des rôles uniques de forêt et de domaine (fonctionnement flexible à maître unique) qui doivent être soigneusement pris en compte dans le cadre de la restauration. Il est nécessaire de bien comprendre à l’avance comment la restauration doit être exécutée et le processus à suivre.

4. Réinfection du contrôleur de domaine AD. La restauration d’Active Directory doit être effectuée de manière à empêcher les logiciels rançonneurs ou les programmes malveillants furtifs d’être restaurés sur le système d’exploitation du contrôleur de domaine. Il existe des outils et des processus pour l’empêcher. Si vous sauvegardez et restaurez le contrôleur de domaine dans son intégralité, il y a de fortes chances que vous finissiez par restaurer le problème.

5. Taille de la sauvegarde. Plus le fichier de sauvegarde est petit, moins le temps de restauration est long. La sauvegarde d’Active Directory, uniquement, donnera lieu à des sauvegardes nettement plus petites qu’une sauvegarde de l’état du système ou qu’une sauvegarde bare metal. Chaque minute compte dans une restauration de forêt Active Directory, alors ne sauvegardez et ne restaurez que ce qui est nécessaire. Utilisez un outil de sauvegarde qui permet de sauvegarder et de restaurer uniquement Active Directory ; la restauration sera ainsi plus rapide.

6. Matériel indépendant. Le fait de ne plus dépendre du matériel source du contrôleur de domaine signifie que la restauration peut se faire n’importe où, ce qui apporte plus de flexibilité au processus de restauration. Cela signifie que vous n’avez pas besoin de restaurer Active Directory sur le même matériel ou au même endroit que celui où la sauvegarde a été effectuée. Utilisez une solution de sauvegarde qui le permet.

7. L’objectif de point de restauration (RPO) et l’objectif de temps de restauration (RTO). Si les objectifs de point de restauration (RPO) et de temps de restauration (RTO) ne sont pas convenus à l’avance par l’entreprise, il est probable que les attentes de l’entreprise ne seront pas satisfaites lors d’une restauration. Il est important de se mettre d’accord sur le RPO et le RTO et d’élaborer une solution de sauvegarde ou de restauration qui répond à ces exigences. L’accord sur le RPO et le RTO avec l’entreprise peut également faciliter le financement de la bonne solution.

8. Disponibilité des ressources techniques AD. La restauration d’Active Directory à la suite d’une attaque par logiciel rançonneur nécessite une équipe de ressources ayant le bon niveau d’expérience et d’expertise technique. Ces ressources doivent être facilement disponibles, quel que soit le moment où l’incident se produit, et elles doivent être familiarisées avec le processus de restauration et connaître clairement les rôles et responsabilités, ainsi que les principaux points de contact au sein de votre organisation. Idéalement, vos ressources devraient avoir une expérience de terrain dans la restauration d’Active Directory après une attaque par logiciel rançonneur. Nos experts d’Active Directory sont là pour vous aider.

9. Contrôle d’intégrité de la sauvegarde de l’Active Directory. Si les sauvegardes ne sont pas surveillées ou si leur intégrité n’est pas vérifiée, il y a un risque que la sauvegarde ne soit pas utilisable lorsqu’elle est nécessaire. Les sauvegardes ont, parfois, des problèmes de corruption ou des tâches qui ne s’exécutent pas au moment prévu. Il est important de détecter et de résoudre rapidement ces types de problèmes afin d’augmenter les chances de disposer de bonnes sauvegardes.

10 .Application de niveau 0. Active Directory est classé comme une application de niveau 0, ce qui signifie que lorsqu’il est en panne, l’accès aux applications et aux systèmes essentiels est directement affecté. Active Directory et le processus de restauration doivent bénéficier du niveau d’investissement et de l’attention nécessaires pour garantir la fiabilité de la solution de sauvegarde et de restauration.

11. Flux de travail d’automatisation et de restauration d’Active Directory. Automatisez votre restauration et contribuez à réduire la complexité et le temps nécessaire à la restauration d’Active Directory. Cela apportera les avantages de la cohérence et de la prévisibilité au processus de restauration. Combinez-le à un flux de travail de restauration d’Active Directory défini et approuvé avant qu’une attaque de logiciel rançonneur ne se produise. Cette méthode permettra de s’assurer que chacun comprenne clairement son rôle, ce qui doit être fait et qui doit être impliqué. Cette méthode contribuera également à réduire les problèmes lorsque des personnes doivent passer le relais à d’autres membres de l’équipe, par exemple à la fin d’une période de travail.

12. Environnement isolé. Le fait de disposer d’un environnement isolé préétabli à partir duquel récupérer Active Directory permet de procéder à la restauration de manière contrôlée et plus rapide. La restauration peut être effectuée rapidement sur un emplacement central afin de garantir que les utilisateurs soient de nouveau opérationnels rapidement. L’Active Directory récupéré est d’abord restauré dans cet environnement avant d’être évalué et partagé avec les autres membres de l’organisation.

Planification de la restauration d’Active Directory

S’il y a un point essentiel à retenir de cet article, c’est qu’Active Directory doit être traité différemment lors de la planification et de la mise en œuvre de votre solution de sauvegarde et de reprise après sinistre. Pour réussir, il faut un effort coordonné entre tous les contrôleurs de domaine de la forêt, et les tests cruciaux doivent être faits. Disposer d’un plan de reprise après sinistre AD solide pourrait vous éviter de perdre des millions de dollars en dommages pour votre entreprise. Si vous souhaitez discuter du contenu de cet article ou en savoir plus sur la solution de restauration d’Active Directory d’Itergy, n’hésitez pas à nous contacter.

À propos d’Itergy

Itergy surveille, gère et restaure Active Directory dans 65 pays, 24h/24 et 7j/7 pour le compte de ses clients depuis plus de 20 ans. Certains de nos services Active Directory et services gérés AD incluent des bilans de santé, des conseils stratégiques, des migrations, des consolidations, des fusions et acquisitions et des cessions, ainsi que la reprise après sinistre d’Active Directory.

Nous faisons d’Active Directory l’application agile, sécurisée et mature qu’elle était censée être, celle dont votre entreprise a besoin pour réussir dans toutes ses opérations commerciales.




    Contactez un expert