Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

13/04/2021

Cloud Insights

Pourquoi les nouveaux enjeux Cloud et Cyber imposent d’auditer vos sauvegardes ?

La recrudescence des attaques cyber de type ransomware ou wiper, nous démontre que le rôle des sauvegardes va bien au-delà de ce pourquoi il a si souvent été pensé.

La sauvegarde, une assurance non-optionnelle

Le dispositif de sauvegarde au sein d’un système d’information a longtemps été conçu pour restaurer quelques données, un serveur ou une partie du système d’information. C’est également la solution de secours technique historique sur laquelle s’appuie les plans de reprise d’activité. Le récent incendie ayant touché les datacenters d’OVHCloud, ainsi – voire plus généralement – que la recrudescence des attaques cyber de type ransomware ou wiper, nous démontre que le rôle des sauvegardes va bien au-delà de ce pourquoi il a si souvent été pensé.

Au vu des menaces actuelles et à venir, et de la croissance des environnements cloud qui incitent à héberger des sauvegardes en ligne, les questions sont désormais les suivantes :

Suis-je en mesure de restaurer mon système d’information en cas :

De perte totale et instantanée de toute ou partie mon patrimoine IT ? De compromission technique d’actifs critiques ?

Répondre à ces questions nécessite de donner de la valeur – donc du temps et des moyens – à une infrastructure ne créant justement aucune valeur directe pour l’entreprise. C’est bien là toute la question, et tout l’enjeu. La sauvegarde, in fine et dans le but qu’on lui adresse, n’est autre qu’une assurance couvrant les préjudices et dommages envers le patrimoine informationnel de l’entreprise. C’est par ce prisme que les moyens qu’on lui confère doivent être décidés, en adéquation avec les analyses de risques et leurs priorités au sein des entreprises.

Mener un état des lieux sous l’angle du scénario du pire

La première étape de cette démarche, implique de réaliser un état des lieux de son dispositif de sauvegarde/restauration actuel.

Ce diagnostic ne doit pas être un énième audit qui contenterait les attentes de commissaires aux comptes ou du contrôle interne pour valider ou remédier quelques défaillances dans le processus de réalisation des sauvegardes sur un échantillon de périmètre.

Non, il s’agit bien là d’une question de survie pour les entreprises nécessitant de conduire un état des lieux sous l’angle de la prévention des attaques cyber ainsi que du scénario du pire.

Afin de conserver des repères sur la méthodologie à adopter et d’avoir une approche pragmatique, le référentiel cybersécurité NIST, appliqué au périmètre de sauvegarde/restauration, constitue un cadre de travail solide :

Les cinq fonctions du référentiel cybersécurité NIST appliquées à la sauvegarde

Identifier...

On ne peut protéger et sauvegarder que ce que l’on connait. La première étape consiste donc à revoir son organisation et sa gouvernance pour :

  • Valider l’identification des besoins métiers (RTO/RPO) et en décliner des politiques de sauvegardes cohérentes ;
  • Identifier les périmètres du SI à sauvegarder en fonction de leurs criticités ;
  • Définir les rôles et responsabilités de l’ensemble de la chaine de sauvegarde en mode nominal et en mode réponse à incident.

Protéger...

La sauvegarde est l’ultime recours pour remettre à flot les données d’une entreprise à la suite d’un incident majeur, mais elle est également un actif du SI et intégré à celui-ci. Ces deux caractéristiques imposent d’appliquer des protections spécifiques pour en assurer la résilience et l’intégrité.

En termes d’architecture, il est indispensable d’isoler et de protéger l’infrastructure de sauvegarde par une segmentation réseau. Dans le scénario du pire, le serveur de sauvegarde est le premier maillon de la chaine de reconstruction du SI, il doit donc bénéficier d’un PRA spécifique accompagné d’un plan de remise en service de l’infrastructure de sauvegarde. Pour garantir un haut niveau de résilience, valider la règle du 3-2-1 et du 3-2-1-1-0, recommandée par exemple par la société Veeam, s’avère également être une bonne pratique élémentaire.

La règle du 3-2-1 et du 3-2-1-1-0

La règle du 3-2-1 pour se préserver efficacement de l’indisponibilité des données

  • Disposer au moins de trois copies de vos données ;
  • Stocker ces copies sur deux supports différents ;
  • Conserver une copie de la sauvegarde hors site.

La règle du 3-2-1-1-0 pour atteindre l’Ultra-résilience

  • 1 copie des données doit être sur un support immuable (en mode objet) ;
  • 0 erreur lors du processus de vérification des données.

Source : Atelier Veeam IS DAY2018

Détecter...

L’infrastructure de sauvegarde doit être incluse dans un processus de contrôle up-and-running au même titre que les autres services du SI qui le nécessitent. Ainsi, l’ensemble de la chaine de sauvegarde doit être monitorée afin d’obtenir la visibilité nécessaire sur les capacités et performances ; les sauvegardes en échec doivent être traitées sans exception et le processus de sauvegarde doit être fiabilisé pour les réduire au maximum. Il convient également d’être en mesure de détecter les signes avant-coureurs d’une menace de type cryptolocker ou wiper. En effet, ce type d’attaque induit des comportements particuliers sur les serveurs, tel que l’augmentation de la charge CPU ou la montée en charge des performances des disques de stockage.

L’intégrité des données et l’exploitabilité des données sauvegardées doivent régulièrement être contrôlées avec les outils à disposition – comme rafraichir les bases de développement avec les données de production régulièrement pour valider la conformité des données par les développeurs – ou en investissant dans des technologies dédiées à cet effet, comme les fonctionnalités de restauration instantanée du marché sans impact sur la production.

La production de reportings adaptés aux interlocuteurs intervenants sur l’ensemble de la chaine – équipes de production, administrateurs, RSSI, DSI – est une composante essentielle dans l’objectif de disposer d’une vue exhaustive de l’état de santé du dispositif de sauvegarde de manière régulière.

Répondre...

En cas d’incident majeur et/ou d’attaque cyber, l’objectif est de pouvoir réagir dans des conditions préparées en amont. Cela signifie de pouvoir garantir les SLAs métiers et/ou clients (identifiés en étape 1) grâce à une architecture de sauvegarde dont les composants sont conçus pour supporter ces niveaux de services. Réagir rapidement et en adéquation avec les attentes nécessite de mettre en œuvre des mécanismes techniques d’automatisation et d’orchestration sur les actifs éligibles de la chaine de reprise.

Restaurer...

Ne pas connaitre sa capacité à restaurer peut entrainer des effets irréversibles dans une situation où celle-ci est la dernière solution pour reconstruire son SI.

Plusieurs bonnes pratiques sont à mettre en œuvre :

  1. Identifier des scénarios de restauration à réaliser (notamment le scénario du pire) ;
  2. Identifier et maitriser l’ensemble de vos outils de restauration, en fonction des scénarios certaines technologies seront plus efficaces que d’autres (Réplication, SnapShot, Librairie de sauvegarde…)
  3. Mettre en œuvre des tests de restauration sur chaque scénario préétabli ;
  4. Valider les RTO et RPO réels ;
  5. Réaliser des mises en situation réelles et des tests de restauration grandeur nature dans une optique de reconstruction du SI ;
  6. Vérifier régulièrement l’exploitabilité des sauvegardes et leur lisibilité.

Également, il convient d’explorer les capacités offertes par les outils actuels. Comprendre les niveaux de licences associés et les fonctionnalités couvertes par les technologies de sauvegarde/restauration est indispensable pour bénéficier de l’ensemble des options à votre disposition. Sur ce point, nous pouvons par exemple citer les mécanismes de restauration instantanée proposés par la société Rubrik dans son offre Cloud Data Management ; trop peu utilisées chez nos clients et offrant des leviers efficients pour tester les restaurations.

Le stockage immuable, désormais incontournable

Le stockage des sauvegardes nécessite une protection continue permettant de pouvoir les récupérer rapidement lorsque le stockage primaire est compromis. Les options de stockage immuable permettent de stocker les données afin de les protéger contre toute forme d’écriture ou altération. Nous avons listé ci-dessous différents types de médias, il convient de définir en amont votre besoin pour choisir celui qui correspondra à votre mode de fonctionnement.

Type de média
Caractéristiques
Avantages/Inconvénients
Bande LTO
Totalement hors ligne lorsqu’il n’y a pas d’accès en lecture ou en écriture
La bande reste idéale pour l’archivage ; c’est-à-dire stocker de grandes quantités de données à conserver de manière fiable pendant de longues périodes et au coût le plus avantageux.
VM répliquées
VMs éteintes donc figées, parfois dépendante d’un annuaire tiers si VMware est connecté à un AD de Management
Idéal pour une remise en route rapide de vos systèmes. Les outils de virtualisation proposent ce type d’options vers un site cible ou dans le cloud.
Snapshots du stockage primaire
Les Snapshots peuvent être utilisés pour récupérer de la donnée de façon massive. Parfois le contrôleur de disque est connecté à un annuaire de management.
Cette option permet de remonter un volume de disques et une quantité de données importante de façon extrêmement rapide. La rétention est en revanche faible car le stockage se fait directement sur la baie de disques.
Service de stockage Cloud
Non connecté directement avec l’infrastructure de backup, ce système de stockage utilise un système d’authentification spécifique.
Parfait pour une externalisation des données, rapide à mettre en œuvre et sans investissement matériel. Attention cependant au dimensionnement et à la récupération des données qui peut être lente et coûteuse si vous devez tout rapatrier.
Espace de sauvegarde Cloud immuable
Espace de stockage sur S3 AWS, Google Bucket ou Blob Azure
Parfait pour une externalisation des données avec la garantie que la donnée ne pourra pas être altérée. Attention également au dimensionnement et à la récupération des données qui peut être lente et coûteuse si vous devez tout rapatrier.

A retenir

Implémenter un plan de sauvegarde / restauration

  • Protéger les serveurs de sauvegarde et leurs composants
  • S’assurer de la résilience des données par la règle du 3-2-1 et aller plus loin avec le 3-2-1-1-0, avec un indispensable stockage objet immuable des sauvegardes
  • Connaitre les cartes que vous avez en main, maitriser les outils qui vous permettent de restaurer de la donnée.
  • Disposer de différents mécanismes de restauration
  • Chiffrer les données sauvegardées
  • Orchestrer et automatiser les restaurations
  • Vérifier l’exploitabilité des sauvegardes

Se préparer à restaurer

  • Maitriser les mécanismes et technologies
  • Formaliser les scénarios
  • Tester, tester, tester…tester.

Etre prêt à répondre en situation réelle

  • Disposer d’un plan de communication
  • Disposer d’une liste d’experts à contacter pour organiser la réponse à incident
  • Déclencher la chaine décisionnaire établie en amont
  • Etre prêt à restaurer de façon sécurisée et dans quel ordre
  • Etre à jour sur les options de restauration disponible

Udaya LEOST

Manager Digital Technology

Julien COURAUD

Expert cybersécurité

Voir les derniers Cybersecurity & Cloud Insights

13 novembre 2023
Version révisée (Edition 4) de la norme ISO/CEI 27005 : Almond vous propose un top 3 des changements normatifs et des précisions sur leurs implications directes dans les travaux des Risk Managers au sein des organisations.
19 octobre 2023
C’est ce que tente d’éclairer cet article en explorant les avantages d’une approche ISO 27001 pour structurer les réponses attendues par vos clients dans les questionnaires SSI qu’ils vous transmettent.
16 octobre 2023
L'authentification multi-facteurs, un sujet toujours d'actualité à ne pas négliger !
11 octobre 2023
Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.
5 octobre 2023
Did you ever imagine that you or your colleagues could be a serious threat to your company? Discover our study: Insider Threat !
29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
30 août 2023
Cette année, Almond est présent au Suisse IT Forum à Genève les 20 et 21 septembre prochain.
16 juin 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
12 juin 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 juin 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Laïus explicatif : L’ISO 27001 est une norme internationale, dont les entreprises peuvent se prévaloir en se faisant certifier par un organisme indépendant ; elle contient un ensemble d’exigences que chaque entreprise, quels que soient sa taille et son domaine d’activité, doit impérativement appliquer pour obtenir sa certification ; ses exigences constituent donc le référentiel des audits de certification. A ne pas confondre avec la norme ISO 27002 qui est constituée de recommandations, basées sur les bonnes pratiques internationales, permettant d’aider une entreprise à appliquer les exigences de la norme ISO 27001 (donc norme qui ne donne pas lieu à une certification).

Les exigences de la norme ISO 27001 portent sur les informations nécessaires à une entreprise, recueillies et/ou traitées, quel que soit son support, électronique, papier et oral.

Les trois critères de sécurité retenus par la norme ISO 27001 sont la confidentialité, l’intégrité et la disponibilité des informations. Tout événement, qu’il soit d’origine environnementale ou humaine, intentionnelle ou involontaire, impactant un de ces trois critères, relève de cette norme.

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Laïus explicatif : Une attaque DDoS ou « Distributed Denial of Service » est une attaque visant à rendre indisponible un site en le submergeant de requêtes provenant de multiples sources. Dans le cas où toutes les requêtes proviennent de la même source, on parle simplement d’attaque DoS (« Denial of Service »), ou « par déni de service ».

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Laïus explicatif : DORA ou Digital Operational Resilience Act est un règlement européen publié en 2022 et en vigueur depuis janvier 2023. Le règlement traite de la résilience opérationnelle numérique du secteur financier. Il est applicable aux entités financières comme les banques, assurances, entreprises d’investissement, les établissements de paiement, etc. mais également aux tiers prestataires de services informatiques. Les entreprises concernées ont deux ans pour se mettre en conformité. Ils devront donc l’être en 2025 !

Le pilier relatif à la gestion des risques liés aux prestataires tiers de services TIC apparait comme l’un des plus difficile à mettre en place et à maintenir dans le temps pour les entreprises concernées. En quelques mots, les entreprises devront considérer ces risques comme faisant partie intégrante du risque lié aux technologies de l’information et de la communication (TIC) et notamment le risque de concentration, au niveau de l’entreprise mais également au niveau de l’ensemble du secteur financier européen. En effet, les autorités devront analyser ce risque en analysant les registres tenus et communiqués par les entreprises concernées par DORA et qui recense notamment la liste des tiers prestataires de services TIC avec lesquelles les entités financières conclues des contrats.

Pour plus d’informations, consultez notre avis d’expert sur le sujet : https://almond.eu/cybersecurity-insights/explorons-dora/