World Backup Day 2022 : l'avis des experts

Le 31 mars est la journée internationale de la sauvegarde des données, la World Backup Day. Tout le monde s'accorde sur son rôle Les responsables informatiques sont conscients - en fait. Mais la sauvegarde est encore un vaste domaine et une véritable sauvegarde ne se fait pas en appuyant simplement sur un bouton. Les infrastructures complexes exigent une stratégie de sauvegarde qui doit en outre tenir compte du fait que les sauvegardes constituent une cible importante pour les attaquants. Ce point de vue est partagé par les experts des fournisseurs de services de sécurité informatique Barracuda Networks, Bitdefender, ForeNova, FTAPI et NCC.

World Backup Day : un bon moment pour réfléchir à ce que doit faire une stratégie efficace de sauvegarde des données.

"Des événements tels que la Journée mondiale de la sauvegarde sont de bons moments pour réfléchir à ce qu'une stratégie efficace de sauvegarde des données doit faire. Beaucoup de choses ont changé au cours des dernières années ! De plus en plus de données sont hébergées dans le cloud, les ransomwares sont aujourd'hui l'une des plus grandes menaces pour les données. La sauvegarde sur site offre-t-elle tout ce dont les entreprises ont besoin ? Fiabilité et bon rapport qualité/prix ? Les données Office 365 sont-elles protégées dans le cloud ? La résilience est-elle prise en compte et les copies air-gap des données sont-elles sécurisées ? Une solution répondant aux exigences du RGPD est-elle en place ? À quelle fréquence les procédures de DR et de restauration sont-elles passées en revue ? Il y a beaucoup à considérer, mais c'est précisément ce qui est indispensable si les entreprises veulent s'assurer qu'elles ne paient pas une cyberattaque ou une perte totale de données par un arrêt complet de l'activité".

Charles Smith, ingénieur-conseil en solutions, protection des données, Barracuda Networks, EMEA

La convergence de la cybersécurité et de la protection des données est une priorité absolue en ces temps de conflit ukrainien.

"Le conflit actuel en Ukraine fait de l'ensemble de l'informatique une cible pour les cyberattaques. Juste avant l'invasion, HermeticWiper a déjà été utilisé pour attaquer les systèmes des autorités et des organisations ukrainiennes dans le but d'effacer des données. De telles attaques menacent également notre pays. Elles mettent en danger non seulement les informations, mais aussi les systèmes et les applications. Un effacement réussi des données et des configurations de ces systèmes ou applications devient alors un danger ultime pour la fonctionnalité des processus numériques - surtout si les responsables informatiques ne peuvent pas restaurer assez rapidement les systèmes, les applications et les données.

C'est pourquoi la protection des sauvegardes existantes, prônée depuis longtemps - la convergence de la cybersécurité et de la protection des données - est désormais une priorité absolue. Une solution EDR (Endpoint Detection and Response) peut protéger les serveurs de sauvegarde. Les services de détection et de réponse gérés (MDR) doivent redéfinir leurs critères d'analyse de sécurité en fonction des menaces. Ceux qui revoient maintenant leurs plans de sauvegarde et de récupération après sinistre devraient également tenir compte de la protection de ces sauvegardes contre les logiciels malveillants. En outre, il convient de vérifier à l'avance la rapidité avec laquelle les systèmes peuvent être remis en marche".

Jörg von der Heydt, directeur régional DACH, Bitdefender

Network Detection and Response protège également les sauvegardes.

"Effectuer des sauvegardes est une évidence, du moins dans les esprits. Tester les sauvegardes et voir si la restauration des systèmes et des informations est possible, et si les données sont également intègres, ne l'est malheureusement pas encore. Cela devrait pourtant être le cas. La règle 3-2-1 avec une sauvegarde hors ligne est également de plus en plus respectée et le fait que les sauvegardes relèvent également des compétences en matière de sécurité informatique se répand également.

Mais beaucoup de RSSI et d'administrateurs informatiques pensent ici surtout à la protection des points finaux, c'est-à-dire du serveur de sauvegarde et des médias. Mais cela ne suffit pas, car les pirates professionnels préparent de manière ciblée l'attaque contre les informations et les systèmes sécurisés - la dernière réassurance sur laquelle de nombreuses organisations comptent. Un événement lié à la sécurité qui survient dans le périmètre du réseau et qui, par exemple, crypte, bloque ou même supprime immédiatement des actifs et contre lequel un Endpoint Detection and Response ou un pare-feu ne protège pas, ne peut être immédiatement bloqué que par une défense au niveau du réseau. Grâce à un système de détection et de réponse réseau (NDR) qui reconnaît les modèles d'attaque suspects, il n'est souvent même pas nécessaire de restaurer les ressources numériques.

Un NDR tire d'autres ficelles en cas d'urgence : un playbook prédéfini du logiciel déclenche par exemple automatiquement un snapshot VMWare dès qu'un incident réseau suspect est signalé et sauvegarde l'état actuel du système et des informations avant une attaque éventuellement réussie. Surtout, NDR a apporté une aide précieuse dans l'analyse d'une attaque ayant déjà eu lieu et montre quand et comment une attaque a été lancée".

Paul Smit, directeur des services à la clientèle, ForeNova

N'ayez pas peur de la sauvegarde décentralisée des données - il vous suffit d'avoir des partenaires de confiance.

"Les sauvegardes de données commerciales ou de projets critiques doivent-elles vraiment toujours être effectuées sur site dans les propres systèmes ? De notre point de vue, non. Pour les solutions hébergées à la demande, les sauvegardes automatiques font partie de la norme. De nombreuses entreprises ont déjà reconnu cette nécessité, mais il existe encore des doutes sur la sécurité des solutions décentralisées et des sauvegardes de données. Pourtant, la nécessité est de plus en plus évidente : le nombre de cyber-attaques augmente, les attaques elles-mêmes sont de plus en plus sophistiquées - une sécurité à 100 % des systèmes et des informations propres à l'entreprise n'est pour ainsi dire plus possible.

Les sauvegardes stockées de manière décentralisée permettent d'accéder malgré tout aux données et aux systèmes de l'entreprise en cas de cyberattaque ou de panne massive du système. Il est important ici de trouver un partenaire de confiance, tant pour la solution que pour les centres de données utilisés. Les données doivent être exclusivement cryptées et transmises à des serveurs situés dans l'UE. Pour sécuriser le travail de projet quotidien, les sauvegardes automatiques des données correspondantes dans des espaces de données virtuels sont appropriées".

Ari Albertini, directeur des opérations, FTAPI Software GmbH

Une bonne stratégie de sauvegarde est importante - parce qu'après l'attaque, c'est avant l'attaque.

"L'importance de la sauvegarde est démontrée par les attaques de ransomware - la 'méthode de gain' préférée des cybercriminels. Lorsqu'il s'agit de données critiques pour l'entreprise ou d'informations confidentielles sur les clients - les 'joyaux de la couronne' - la pression d'agir augmente immédiatement pour les entreprises et les autorités.

Une fois cette situation critique survenue, les personnes concernées ont trois possibilités : décrypter les fichiers, payer la rançon ou récupérer les données. Mais les outils de décryptage adéquats ne sont pas toujours disponibles et souvent, toutes les informations ne sont pas à nouveau disponibles après le paiement de la rançon. Dans le pire des cas, d'autres étapes d'extorsion suivent sans garantie de récupérer tous les fichiers. Nous recommandons également de ne pas répondre aux demandes de rançon.

Il reste donc les sauvegardes comme 'dernière ligne de défense'. Pour couronner le tout, les criminels les ciblent aussi délibérément afin de causer le plus de dégâts possible. Les responsables informatiques des entreprises et des administrations devraient donc non seulement respecter les règles de sauvegarde bien connues (3-2-1), mais aussi exiger une authentification supplémentaire avant l'accès et créer des sauvegardes inaltérables - qu'ils stockeront hors ligne, hors du site ou du réseau principal.

Et comme après l'attaque, c'est avant l'attaque, les responsables informatiques doivent comprendre comment les pirates ont procédé. En effet, en cas de recours à une sauvegarde, l'infrastructure est utilisée avec la même vulnérabilité que celle qui a été exploitée lors de l'attaque. Outre un mécanisme de journalisation, ils devraient également mettre en œuvre des services tels que Managed Detection and Response afin de détecter d'éventuelles autres activités suspectes sur leur réseau".

Dr. Volker Baier, Principal Consultant Risk Management, Groupe NCC