On m’interroge souvent sur la signification de notre affirmation : « une sauvegarde sécurisée est votre dernière ligne de défense ». Ces dix dernières années, le secteur de la sécurité a pris conscience qu’une protection moderne contre les ransomwares exigeait une architecture de sécurité intégrée — des terminaux au cloud en passant par le réseau — pour détecter, corréler et remédier totalement les attaques. En cas d’attaque de ransomware, vous avez généralement le choix entre restaurer à partir d’une sauvegarde ou payer la rançon. La première option relève du défi, car déclarer qu’il suffit de restaurer depuis une sauvegarde simplifie le processus à l’extrême, conduisant de nombreuses entreprises à présumer de leur capacité à sauvegarder et à restaurer. Comme elles sont souvent fausses par nature, ces présomptions aboutissent à perdre des données ou à payer une rançon. Pour éviter ce scénario du pire, vous devez mettre en œuvre un plan consistant à vérifier, tester et sécuriser des sauvegardes pouvant être restaurées rapidement. Il est donc important de se rappeler, ainsi qu’à toutes les personnes avec lesquelles nous interagissons, que l’infrastructure de sauvegarde s’inscrit dans un plan de défense de cybersécurité global et peut représenter l’ultime possibilité de rétablir ou de maintenir l’activité.
Avec l’évolution des attaques telles que celles des ransomwares, des équipes qui n’étaient habituellement pas assimilées à la sécurité — comme celles chargées de la sauvegarde et de la reprise après incident — ont été catapultées au centre des opérations de réponse et de restauration. Le rapport sur les tendances de la protection des données en 2022 révèle que 88 % des répondants ont en grande partie ou totalement intégré la continuité de l’activité et la reprise après incident dans leur stratégie de cybersécurité. C’est une position étonnante sachant que les équipes chargées des sauvegardes se préoccupaient historiquement de quelques fichiers supprimés par les utilisateurs. Or, elles sont maintenant responsables de prouver qu’elles peuvent restaurer n’importe quelles données de l’entreprise en cas de cyberattaque.
Revenir à la normale et apporter la preuve qu’aucune donnée n’a été perdue après une attaque devrait signifier qu’il est inutile de payer une rançon. Malheureusement, le rapport sur la protection des données en 2022 montre que seules 36 % des entreprises ont été capables de restaurer plus de 80 % de leurs données après l’attaque d’un ransomware. Cette statistique est frustrante, car on peut logiquement en déduire qu’elles ont envisagé le paiement d’une rançon pour récupérer leurs données ou qu’elles ont franchi le pas.
Création d’une sauvegarde sécurisée pour revenir à la normale après une attaque de ransomware
Que faut-il donc mettre en place pour permettre la reprise des opérations, en toute confiance ? La réponse de Veeam consiste à associer les fonctionnalités de nos produits à des procédures fondées sur les meilleures pratiques pour vous assurer de détecter les workloads mis en ligne, de protéger les données d’une manière vérifiable et de restaurer à grande échelle, sans réintroduire de menace pour l’environnement.
Côté sauvegarde, il s’agit avant tout de protéger les données et de s’assurer que la tâche fonctionne comme prévu. Vous pouvez aussi compter sur les meilleures pratiques qui vous garantissent de toujours disposer d’une copie de vos données lorsqu’une catastrophe se produit. Pendant la reprise, il faut mettre l’accent sur la vitesse, ce qui nous amène à l’automatisation et à l’orchestration. Là encore, nous associons des produits et des processus. Enfin, il faut s’assurer que les données restaurées ne réintroduiront aucune menace dans l’environnement. Voyons maintenant quelques-unes des raisons qui rendent cette approche essentielle. Et pour vous permettre d’accéder à encore plus d’informations, j’ai aussi inclus des liens vers des articles de nos experts techniques.
Inaltérabilité éprouvée
L’approche de Veeam a toujours été orientée logiciel, ce qui signifie que nous n’imposons aucune configuration pour vous laisser la maîtrise des configurations de stockage. Cela signifie aussi que vous pouvez créer plusieurs couches de stockage inaltérable, à la fois dans le cloud et en local, en fonction de la conception de votre réseau. Cette flexibilité se traduit aussi par des coûts opérationnels réduits et une sécurité renforcée, puisque vous utilisez vos plateformes de stockage existantes. Je vous invite d’ailleurs à lire un article instructif sur les possibilités qu’offre la « double inaltérabilité ».
Vérification des sauvegardes
Comment fournir la preuve que votre sauvegarde a abouti ? Notre nouveau rapport d’étude sur les ransomwares montre que la plupart des entreprises s’appuient soit sur les journaux d’exécution des tâches, soit sur des scripts qu’elles créent elles-mêmes pour vérifier l’intégrité de la sauvegarde. Les journaux d’exécution ont ceci de problématique qu’ils montrent uniquement que la tâche s’est exécutée jusqu’au bout, sans prouver que les données peuvent être récupérées. Plus complètes, les procédures qui utilisent des scripts représentent quant à elles une charge de travail supplémentaire, sans compter les interventions manuelles — et peut-être pas si anodines — qui peuvent durer plus longtemps que prévu.
La vérification des sauvegardes est incluse dans la fonctionnalité SureBackup. Pour simplifier, cette technologie Veeam vous permet d’exécuter plusieurs tests sur vos sauvegardes pour confirmer que les données sont exemptes de logiciel malveillant avant de les restaurer. Selon vos besoins, la procédure peut être simple ou approfondie. Elle peut s’exécuter manuellement ou se programmer dans la préparation de votre reprise après incident. Pour en savoir plus sur SureBackup, cliquez ici.
Règle du 3-2-1-1-0
Lorsque je suis arrivé chez Veeam et que j’ai rencontré la fantastique équipe du support client, je leur ai demandé quelle serait la mesure qu’ils souhaiteraient voir appliquée chez les clients. Ils m’ont répondu : la règle du 3-2-1-1-0. Les logiciels malveillants modernes sont connus pour attaquer la couche de sauvegarde. Il faut donc mettre en place un processus pour assurer la résilience.
Selon la règle du 3-2-1-1-0, l’entreprise doit disposer de trois copies de ses données importantes, sur au moins deux types de support différents, l’une au moins de ces copies se trouvant hors site. Tandis que la menace des ransomwares évolue, nous recommandons au minimum une copie résiliente des données — soit entièrement isolée, soit hors ligne, soit inaltérable. Cette recommandation est impérative pour une défense efficace contre les ransomwares. Nous avons aussi ajouté un zéro à la règle pour signifier zéro erreur de sauvegarde. En effet, avec une vérification automatique des sauvegardes, vous avez l’assurance que vos données sont valides et qu’elles peuvent servir lors de la reprise. Comme il est impossible de restaurer des données qui n’ont pas été capturées correctement, suivre la règle du 3-2-1-1-0 peut faire toute la différence entre perdre et restaurer des données.
Restauration instantanée à grande échelle
Selon le rapport sur les tendances de la protection des données en 2022, le coût d’un arrêt d’activité est estimé à 1 388 € par minute, soit 83 235 € par heure. Si l’on y ajoute l’écart grandissant entre le contrat de niveau de service et la vitesse réelle de la reprise, rien d’étonnant à ce que tant d’entreprises payent des rançons.
En 2010, Veeam innovait en créant la restauration instantanée de VM (Instant VM Recovery), qui a été constamment peaufinée et étendue depuis. Différentes options de restauration sont proposées aujourd’hui pour optimiser vos processus de restauration et restaurer rapidement plusieurs machines simultanément. Il vous faut la granularité pour pouvoir restaurer un seul fichier, et nous l’offrons. Idem pour la restauration des objets applicatifs. Et si des volumes ou des serveurs entiers sont touchés par un ransomware, vous pouvez compter sur Veeam. En vous offrant les outils les mieux adaptés à vos besoins, nous déjouons le scénario des acteurs malveillants. Nous accélérons la reprise après l’attaque d’un ransomware en proposant l’option la plus économique pour que ce credo devienne réalité : ne payez pas la rançon.
Secure Restore (Restauration sécurisée)
Veeam a été le premier sur le marché à proposer une fonctionnalité de restauration sécurisée comme Secure Restore, capable d’analyser les données d’une machine avec votre logiciel antivirus avant de la restaurer dans l’environnement de production. Facile à activer, cette fonctionnalité permet d’actualiser votre antivirus ou anti-malware de prédilection, sans exclusion, et de vérifier dans un sandbox — isolé du réseau et de la production — que vous ne réintroduisez aucune menace dans votre datacenter avant de restaurer les données.
Voici deux sources d’information en anglais sur la création du processus et l’utilisation de la fonctionnalité :
Data Recovery (Restauration des données)
Orchestration de la DR (reprise après incident)
L’espoir n’étant pas une stratégie, il ne vous sera d’aucune aide en cas de sinistre. Et les ransomwares sont clairement une catastrophe. L’automatisation et l’orchestration sont devenues essentielles pour assurer la défense contre les incidents de cybersécurité et il en va de même pour la reprise d’activité. Pendant une attaque de ransomware, il n’y a pas pire que s’entendre dire : « Il me semble que ça devrait fonctionner comme ça… ». C’est pourquoi nous avons créé Veeam Disaster Recovery Orchestrator. Pour que la DR fonctionne, il vous faut un plan bien documenté qui vous aide à repousser les limites de l’état de préparation de la DR. De plus, pour qu’il soit valide, vous devez vous assurer qu’il fonctionne. S’appuyant sur le contrat de niveau de service, la solution de Veeam met à votre disposition des tests automatisés de reprise et un tableau de bord offrant une visibilité simplifiée de l’état de préparation de votre DR.
Conclusion
Désormais, la sauvegarde et la restauration ne sont plus des parties cloisonnées de l’infrastructure, censées simplement fonctionner. En effet, une reprise fiable et rapide fait partie intégrante du processus global de réponse en cas d’incident de cybersécurité. Il faut donc la planifier avec soin, tout comme le reste de l’architecture de sécurité. Au final, les données étant votre actif le plus précieux, vous devez les protéger à l’aide d’une solution de sauvegarde sécurisée. Celle-ci doit être non seulement suffisamment flexible pour permettre une inaltérabilité adaptée à vos besoins, mais aussi capable de vérifier les tâches de sauvegarde pour garantir que les données sont bien présentes et exemptes de logiciel malveillant au moment de leur restauration. C’est pour toutes ces raisons, et bien d’autres, que Veeam peut affirmer : une sauvegarde sécurisée est votre dernière ligne de défense.
Pour plus d’informations sur le renforcement de vos défenses contre les ransomwares, consultez la page : https://www.veeam.com/fr/ransomware-protection.html
