Les traditionnels audits de cybersécurité ne s’intéressent pas à la sauvegarde. C’est un domaine complexe, tant par la variété des solutions de sauvegarde existantes que par les méthodes que les entreprises appliquent. L’audit de sécurité d’une solution de sauvegarde demande de la méthode et beaucoup d’expertise. À l’heure des nouvelles exigences de conformité et de résilience opérationnelle, c’est même un exercice tout à fait salutaire.
Quel âge a votre solution de sauvegarde ?
Ne rougissez pas si votre solution de sauvegarde affiche déjà dix ans au compteur, peut-être vingt ans, peut-être trente ans. Vous n’êtes pas les seuls.
Si les équipes sont solides (c’est-à-dire étoffées et régulièrement formées), elles maîtrisent le sujet et peuvent garantir que les sauvegardes et la solution qui les opère sont surveillées comme le lait sur le feu et protégées dans les règles de l’art permises par l’âge de la solution.
Il existe cependant plus de services informatiques en manque de personnel que de départements se plaignant d’être en surnombre. Comme l’actualité cyber de ces dernières années ne peut pas être ignorée, nécessairement, on s’interroge. Les sauvegardes sont devenues une cible privilégiée car elles demeurent l’ultime possibilité de restaurer les données d’un système d’information attaqué et compromis par des cyberpirates. Les vôtres sont-elles parfaitement sécurisées ? Voilà une question à laquelle on peut être en peine de répondre sans un regard extérieur professionnel. C’est l’objet de l’audit de la solution de sauvegarde.
Aucun éditeur n’est à l’abri de découvertes de vulnérabilités contenues dans leur logiciel, les plus grands et les plus généralistes comme les plus sectoriels. Mais dans le domaine de la sauvegarde, l’audit est d’autant plus utile qu’on ne migre pas facilement d’une solution à l’autre pour adopter de nouveaux mécanismes performants de sécurité. Bien au contraire.
On regrettera l’absence de compatibilité entre les solutions. Il est d’ailleurs abusif de parler de migration puisqu’il n’existe pas de vrai moyen de migration d’un historique de sauvegarde vers un autre. Une des possibilités est de restaurer et de sauvegarder à nouveau avec le nouvel outil. Outre le temps et la place que l’exercice demande, ce dernier ne conserve pas la datation, pourtant l’un des avantages d’une sauvegarde quand elle doit être restaurée. Stordata ne procède donc pas de la sorte et conseille plutôt à ces clients de garder à proximité l’ancienne solution afin d’exploiter les sauvegardes précédentes jusqu’à la fin de leur période de rétention.
Audit de sécurité de la sauvegarde : un périmètre large
En attendant d’opter pour plus de modernité, les équipes sécurité empilent souvent les couches de protection et se contraignent à maintenir la cohérence de l’ensemble, avec une administration de plus en plus lourde. Il y a tout lieu alors d’effectuer des contrôles réguliers de cette gestion. Cela dit, les entreprises modernisées ne sont pas toujours mieux sécurisées. Entre pratiques périlleuses, volumétries en croissance continue et paramétrages inadaptés, le risque est toujours plus élevé.
Les bonnes pratiques
Les bonnes pratiques sont souvent frappées au coin du bon sens, et les rappeler donne l’impression d’enfoncer quelques portes grandes ouvertes. Mais on ne peut pas toujours penser à tout.
Il ne s’agit pas, ici, de dresser la liste de toutes les pratiques à surveiller, aussi nous nous contenterons de rappeler, par exemple, que le compte administrateur dédié à la console du logiciel de sauvegarde ne doit pas être géré dans l’Active Directory de l’entreprise (ou tout équivalent AD), au risque de tracer un chemin balisé aux cyberpirates.
L’audit contrôlera également la fréquence et la couverture du plan de sauvegarde. Si sa définition appartient à l’entreprise, un œil averti saura toutefois repérer s’il manque quelque chose d’important. Les destinations des copies de sauvegardes, dont leur externalisation (ou leur absence), sont également vérifiées, au même titre que la politique de sécurité appliquée aux supports de sauvegarde (disques ou bandes).
On concentrera son attention sur la qualité, la granularité des journaux et la traçabilité des opérations, afin de reconstituer le déroulé d’une éventuelle attaque de la solution de sauvegarde. On tirera ainsi de profitables conclusions sur la portée et les conséquences du piratage, pour être mieux préparé en vue d’une prochaine tentative au même niveau.
À l’inverse, il faudra rapidement bannir certaines pratiques dangereuses, comme la réduction des durées de rétention pour une question de coût du stockage des sauvegardes. Dans un contexte de menaces s’installant à long terme dans le système d’information, parfois sur plusieurs semaines, il est prudent de garder des sauvegardes sur plusieurs mois, afin de pouvoir revenir à un état non infecté dans le temps.
Audit de la sécurité de l’exploitation
La sécurité by design ne se rencontre pas encore partout, quoi qu’on en dise. Les entreprises équipées de solutions modernes peuvent toutefois profiter aujourd’hui de mécanismes d’immuabilité (par exemple Google File System), de multiples couches de droit d’accès ou encore d’attribution de droits d’accès temporaires par le support de l’éditeur lui-même. Cela ne doit toutefois pas faire oublier un principe d’hygiène de sécurité élémentaire : les mises à jour du logiciel de sauvegarde et des OS sur lequel il tourne.
Les mises à jour sont d’autant plus cruciales qu’elles sont complexes quand les technologies s’empilent pour couvrir le besoin de sécurité et de diversité des applications, des données et des contextes. Stordata fait le point sur tous les besoins et peut proposer un accompagnement de type TAM pour assurer le suivi des incidents et des correctifs disponibles.
La sécurisation de la solution de sauvegarde concerne également le degré de disponibilité attendu, qui a pu évoluer. S’il est devenu élevé, l’audit peut conclure au besoin de clusteriser la sauvegarde, soit en la faisant tourner sur plusieurs serveurs simultanément soit en organisant la relève d’un serveur par un autre, sur différents sites dans certains cas.
Tests de restauration, accès et authentification, redondance et disponibilité, intégration au SI, mais aussi revues de sécurité et capacité d’identification et de traitement des risques, l’audit de sécurité d’une solution de sauvegarde peut couvrir de nombreux champs d’expertise.
Envisager les nouveaux mécanismes de sécurité
Nous le disions, l’adoption d’une nouvelle solution de sauvegarde ne se fait pas à la légère. Cela dit, la démarche est à la fois parfaitement réalisable avec un bon accompagnement et se veut certainement l’attitude la plus sérieuse au regard des nouvelles menaces.
Parmi les nouveaux mécanismes que nous conseillons, certains sont particulièrement pertinents, comme l’Air Gap, qui isole les données sauvegardées et coupe tout lien avec l’informatique de l’entreprise. Quelques solutions embarquent directement le mécanisme, d’autres s’appuient sur des appliances source et cible. À souligner, toutefois, que les entreprises dotées de solutions anciennes pratiquent l’Air Gap à leur manière, en stockant par exemple les sauvegardes sur bandes, lesquelles sont ensuite déposées sur un site externe sécurisé.
La bande ferait-elle son grand retour ? Très écologique, elle est aussi peu coûteuse. Sachez que certains hyperscalers exploitent les bandes pour le déchargement des données anciennes et peu utilisées (données froides) et que Quantum propose une solution de stockage de sauvegarde sur disque intégrant un mécanisme disk to tape externalisant automatiquement les sauvegardes sur une robotique.
Si, malgré toutes les mesures de protection, dont Air Gap, un hacker parvient à extraire des données, le chiffrement à la source permettra d’empêcher leur exploitation. Le transport des données chiffrées à l’intérieur du réseau et pendant leur externalisation est un élément indispensable de la cybersécurité. Il protège également le DPO, garant de la responsabilité de la confidentialité des données personnelles et les prestataires de stockage externe. Enfin, il élève évidemment le degré de confiance dans l’entreprise. Dans le cas de traitements de données très sensibles, on songera à vérifier la probité des équipes internes, mais cela reste une question RH qui n’entre pas dans les points de contrôle de l’audit.
Toute solution de sauvegarde connaît des écarts au fil du temps et de son utilisation. L’audit a pour mission de les identifier et d’une certaine façon, de remettre sur le bon chemin de la sécurité les pratiques et les technologies. Stordata propose pour cela une méthode éprouvée, dresse un état des lieux et un plan d’action si le besoin existe, ainsi qu’une démarche récurrente, si nécessaire.