Selon le rapport sur les tendances de la protection des données en 2023, 85 % des 4 200 entreprises interrogées ont subi au moins une attaque par ransomware en 2022. Plus surprenant encore: 39 % des données de production d’une entreprise ont été chiffrées ou détruites pendant l’attaque et les victimes n’ont pu récupérer en moyenne que la moitié (55 %) de ce qui avait été affecté. Alors que les cybermenaces ne montrent aucun signe de ralentissement, il n’est pas surprenant que la plupart des entreprises aient adopté des technologies inaltérables et Air-gap (c.-à-d. de stockage permettant de survivre) pour s’assurer que leurs efforts de restauration des données ne sont pas entravés par les ransomwares. Cet article a pour objet de discuter des différences entre les technologies de sauvegarde inaltérable et de sauvegarde entièrement isolée, et de la manière dont les entreprises peuvent tirer parti de ces solutions dans leur stratégie de cyber-résilience.
Vue d’ensemble des stratégies de cyber-résilience
Étape 1 – Assurer la survie des cibles de sauvegarde
Pendant des décennies, le stockage entièrement isolé pour les sauvegardes a été l’option la plus fiable dont les entreprises pouvaient tirer parti pour protéger leurs actifs stratégiques contre la plupart des menaces. La technologie WORM (écriture unique, lectures multiples) par l’intermédiaire de bandes magnétiques ou de disques durs rotatifs garantit que les données, après avoir été éjectées et déplacées hors site, peuvent être restaurées par les entreprises en cas d’incident. Depuis, le stockage de données résilient sur bande a évolué, car les entreprises ont adopté des architectures plus sécurisées et des approches de cloud hybride. L’inaltérabilité est devenue plus courante, car elle offre des fonctionnalités similaires à celles de la technologie WORM, avec moins de traitements nécessaires à la gestion des supports, mais n’est pas traditionnellement inaccessible sur le réseau. Au moment de concevoir des stratégies de cyber-résilience et de reprise après incident, les technologies Air-gap et inaltérable peuvent avoir leurs propres avantages et inconvénients. Cependant, vous pouvez utiliser les deux technologies conjointement pour disposer d’une copie résiliente ultra-sécurisée.
Tout d’abord, en cas de panne d’un site de production, il a toujours été recommandé de disposer d’une copie secondaire qui ne peut pas être affectée. La traditionnelle « règle du 3-2-1 » préconise d’avoir trois copies de vos données, dont une copie hors site, en utilisant au moins 2 types de supports. Dans la plupart des déploiements Veeam, vos données de production sont la [copie 1, type de support = disque], les données de sauvegarde stockées sur la cible locale sont la [copie 2, type de support = disque] et une troisième copie destinée à la reprise après incident hors site est la [copie 3, type de support = disque, cloud ou bande]. La plupart des entreprises ont adopté cette pratique et l’ont étendue au-delà de la règle du 3-2-1 à la règle du 3-2-1-1-0 pour incorporer l’inaltérabilité et les tests en raison des obligations et du risque toujours croissant de cybermenaces. Le « 1-0 » ajouté à la règle suggère qu’une copie doit être « hors ligne » (inaccessible via Air-gap ou inaltérable) et doit présenter 0 erreur (testée et validée). Ainsi, vous bénéficiez de la meilleure capacité de restauration des données après tout type d’incident.
Étape 2 – Réduire les possibilités d’accès
Maintenant, tout est une question d’accès et il faut rendre difficile pour les acteurs malveillants non seulement d’accéder aux systèmes, mais aussi de tenter de détruire les sauvegardes dont vous avez besoin pour la restauration. C’est pourquoi nous vous recommandons d’adopter une architecture cyber-résiliente.
Ici, tous les éléments de votre site de production font l’objet de contrôles d’accès appropriés. Cela permet de surveiller l’environnement de production pour repérer toute activité suspecte et de générer des rapports pour vous assurer que tous vos workloads sont protégés et que leur sauvegarde est inaltérable. Ensuite, définissez les rôles de compte utilisateur pour accéder à l’environnement de sauvegarde. Activer l’authentification à plusieurs facteurs (MFA) sur votre serveur de sauvegarde Veeam peut contribuer à sécuriser l’environnement et protéger les utilisateurs contre les compromissions. Ensuite, utilisez une
cible inaltérable comme premier support de sauvegarde pour permettre la restauration en cas de bugs, de cybermenaces ou de suppressions accidentelles de données. Plus important encore, testez souvent ces sauvegardes pour vérifier le contenu des données et l’absence de problèmes imprévus au moment de la restauration. Il peut s’agir de matériels conçus spécifiquement, de périphériques de déduplication ou de matériels intégrés à S3. Enfin, nous avons la troisième copie qui doit être hors site, chiffrée ET hors ligne ou entièrement isolée. Les catastrophes naturelles et l’accès physique non autorisé des utilisateurs ne sont pas la seule raison pour laquelle il est avantageux de conserver une copie cloisonnée hors ligne et hors site. L’intégrité des données, les litiges juridiques et les règles de conformité/rétention des données ne sont pas typiques des événements de perte de données, mais ils vous assurent de disposer d’une copie de données saines qui peut être utilisée pour tous vos besoins basés sur les données.
Qu’est-ce qu’une sauvegarde entièrement isolée ?
L’Air-gap est une manière d’isoler vos données stratégiques en séparant une copie physiquement (en retirant la bande du lecteur) ou en rendant celle-ci inaccessible depuis le réseau (par exemple, ports ou routages réseau désactivés). Les sauvegardes entièrement isolées présentent de nombreux avantages, et notamment:
Protection contre les ransomware et autres logiciels malveillants puisque ces sauvegardes ne sont pas accessibles depuis le serveur de sauvegarde ou ailleurs sur le réseau. Pour que des acteurs malveillants soient susceptibles de corrompre ces données, il faut qu’une personne soit physiquement présente et dispose des informations d’identification nécessaires pour supprimer les données. Si ces sauvegardes sont correctement éjectées/isolées et soigneusement entretenues (température contrôlée, saleté/poussière, humidité, etc.), les chances d’échec de la restauration sont faibles.
Prévention des accès non autorisés et des violations de données grâce au chiffrement. Lorsque l’on envisage toute sauvegarde, en particulier celles qui ont été entièrement isolées ou qui se trouvent hors site, il est encore plus important de chiffrer les périphériques ou les supports. Imaginez que votre contrôleur de domaine soit sauvegardé sans chiffrement, et que des acteurs malveillants restaurent votre sauvegarde sur son serveur. Ils peuvent désormais collecter tranquillement vos informations d’identification pour se préparer à une attaque contre vos systèmes de production. Le chiffrement des sauvegardes (en particulier hors site) est une étape cruciale pour protéger les données sensibles de l’entreprise contre l’accès par des utilisateurs non autorisés.
Préservation de l’intégrité des données, ce qui garantit que les contenus n’ont pas été modifiés sous une forme malveillante. La précision et la cohérence sont essentielles non seulement pour assurer la conformité réglementaire, mais aussi pour garantir une restauration fiable. Pour les entreprises du secteur de la santé, du gouvernement, du secteur financier, etc., la conservation de divers types de données à long terme peut s’étendre de plusieurs années à une durée indéterminée et nécessiter dans certains cas le maintien d’une chaîne de possession sécurisée. En fonction de la conformité réglementaire au niveau de l’État ou fédéral, ces exigences, si elles ne sont pas respectées, peuvent avoir un impact juridique et entraîner de lourdes amendes pour les entreprises incapables de produire les données exhaustives et exactes.
Sauvegardes inaltérables
Une sauvegarde inaltérable est une copie de données dotée de contrôles d’accès en fonction du rôle et d’autres types d’authentification, et qui ne peut être ni modifiée ni supprimée avant l’expiration d’un délai déterminé. Cependant, elle n’est pas « hors ligne » comme une sauvegarde entièrement isolée, car elle reste connectée et accessible depuis le réseau. De nombreux fournisseurs de technologie tirent parti de ce type d’inaltérabilité, que ce soit au niveau local ou dans le cloud, avec la fonctionnalité de verrouillage d’objets, les snapshots sécurisés et la cible renforcée de Veeam. Pour plus d’informations, consultez cet article de blog.
Sauvegardes entièrement isolées et sauvegardes inaltérables
Étant donné qu’une sauvegarde inaltérable répond à des objectifs de « survie » identiques à ceux d’une sauvegarde entièrement isolée, il existe à la fois des similitudes et des différences. Les deux offrent une résistance aux ransomware et une conformité des données, mais c’est là qu’ils commencent à différer:
Une sauvegarde entièrement isolée traditionnelle (bande, par exemple) peut entraîner un coût supplémentaire de gestion du support et la collaboration avec des fournisseurs pour stocker le support correctement. Ce constat s’applique également au stockage inaltérable et cela peut croître de façon exponentielle si les stratégies relatives aux données changent.
Les objectifs de temps de restauration (RTO) sont également variables en fonction du support de stockage utilisé. Par exemple, un client ayant testé la vitesse de restauration du cloud vers le site avait des contraintes réseau notables qui ralentissaient la restauration du même ensemble de données que celui qu’il avait précédemment restauré à partir d’une bande. Cela prenait des semaines par rapport aux quelques jours dont ils avaient l’habitude pour récupérer les données des bandes. L’augmentation des vitesses de téléchargement était une option, mais elle nécessitait une refonte de leur réseau actuel moyennant un coût supplémentaire. À l’inverse, une autre entreprise a pu effectuer des restaurations directement vers son fournisseur de cloud public et économiser l’équivalent de plusieurs semaines de temps d’arrêt après une cyberattaque ayant entraîné la perte d’accès à son infrastructure sur site à cause d’une enquête technique. Attendre la fin de l’enquête aurait coûté un mois de temps d’arrêt.
Dans les deux cas, les clients ont pu élaborer une stratégie de résilience des données adaptée à leurs besoins. Cependant, il ne s’agit pas d’une situation où l’on doit choisir l’une ou l’autre solution, et l’une ne doit pas remplacer l’autre. Très similaire à la façon dont les réplicas de machines virtuelles ne sont pas des sauvegardes et vice versa. Les deux technologies existent pour aider les entreprises à accélérer la restauration de leurs données. De plus, les exploiter simultanément ne fait qu’augmenter les chances de réussite de la restauration après une cyberattaque.
Protégez vos données avec Veeam
Selon le rapport sur les tendances des ransomwares en 2023, 82 % des 1 200 entreprises ayant subi précédemment des cyberattaques utilisent désormais des technologies cloud inaltérables, tandis que 64 % utilisent des disques inaltérables et que la bande est toujours d’actualité avec 14 % déclarant son utilisation dans leur stratégie de protection des données. Alors que les entreprises cherchent à adopter des stratégies de protection des données plus cyber-résilientes, Veeam continue à établir des partenariats étroits avec des fournisseurs de matériel et de cloud pour faciliter l’adoption de cibles de sauvegarde inaltérables, de solutions entièrement isolées ou, comme meilleure pratique, des deux. Avec la dernière version de la v12 qui inclut l’inaltérabilité avec Microsoft Azure, la sauvegarde directe vers S3 avec inaltérabilité et des améliorations concernant les bandes, une entreprise peut rapidement adopter l’ajout d’une couche défensive supplémentaire pour lutter contre les ransomware.
Constatez par vous-même en cliquant sur le lien ci-dessous ou découvrez comment devenir partenaire de Veeam.