Restaurer des données, certes, mais restaurer surtout des données qui ne sont pas elles-mêmes corrompues. Telle est la mise en garde de Rahmani Cherchari, Responsable Presales Commercial chez Dell EMC, dans le billet de blog « L’ultime recours contre les cyber-pirates : l’Isolated Recovery » qu’il a récemment publié. Selon lui, la restauration ne peut se limiter à une simple copie des données : « les cyber-pirates sont capables de compromettre une organisation en moins de 6 minutes, et la probabilité de découvrir la faille en quelques jours est inférieure à 25 %. Le temps qu’un logiciel malveillant soit détecté, la copie aura pu être réalisée à partir de données corrompues. Dès lors toute restauration sera inefficace », écrit-il.

Eviter les pertes financières causées par la destruction des données

« En plus des menaces traditionnelles comme le vol de données et les attaques de déni de service (DDoS), on voit émerger de nouvelles menaces de cyber-extorsion (Ransomware) et de cyber-destruction de données (…) qui conduisent à l’impossibilité d’accéder temporairement ou définitivement à des données critiques », Rahmani Cherchari évoque le risque pour l’entreprise de subir une perte financière considérable, voire de disparaître.

Pour éviter ces écueils, Rahmani Cherchari estime qu’il convient de déployer des techniques d’isolation des sauvegardes, comme la mise en quarantaine et la microsegmentation. « L’isolation repose sur une mesure de sécurité appelée ‘Air Gap’ qui isole un ordinateur ou un réseau pour l’empêcher d’établir une connexion externe. Aucune connexion ne peut se faire de manière automatique et le système utilisant l’air gap n’est connecté ni à Internet, ni à d’autres systèmes qui le sont », explique-t-il.

Isolated Recovery pour comparer les nouvelles copies à des copies sûres

Chez Dell EMC, ce principe est rendu possible grâce à L’Isolated Recovery, une solution dont l’objectif est de créer au moins une copie validée et protégée des données vitales, de sorte à pouvoir les reconstituer telles qu’elles étaient avant une attaque. En pratique, la solution Isolated Recovery maintient plusieurs copies de données dans un endroit isolé afin de comparer la toute dernière copie avec une copie dont on est sûr de l’intégrité. « Si le système détecte que la nouvelle copie est corrompue, une alerte est émise et un script d’urgence est déclenché pour invalider la réplication et isoler le système de copies », détaille Rahmani Cherchari.

Il précise néanmoins que déployer les équipements et les logiciels de l’Isolated Recovery ne suffit pas. « Cette solution doit surtout s’accompagner d’une vraie méthode pour identifier les données et les applications sensibles à protéger. C’est cette étape stratégique qui permettra de déterminer les procédures d’isolation et de restauration efficaces pour protéger une organisation », dit-il. Une stratégie qu’il faudra d’ailleurs challenger et rafraîchir régulièrement, car, insiste-t-il, la sécurité ne doit jamais être considérée comme acquise.

Généraliser un principe qui ne concernait que les entreprises de la finance

Il est à noter que le principe d’isoler les sauvegardes est un concept qui court depuis quelques années et qui, avant que les cyber-attaques ne s’aggravent à ce point, était surtout mis en œuvre dans les entreprises de la finance.

Aux USA, le FFIEC (Federal Financial Institution Examination Council) a conseillé d’adopter des solutions de sauvegardes avec Air Gap dès février 2015. Le conseil de l’Europe a quant à lui, adopté la directive NIS (Network Security and Information), qui prévoit des mesures, similaires, en mai 2016.