Par Laurent Benamou, DSI chez Stordata
Souvent, les traditionnels audits de cybersécurité ne s’intéressent pas à la sauvegarde. C’est un domaine complexe, tant par la variété des solutions de sauvegarde existantes que par les méthodes que les entreprises appliquent. L’audit de sécurité d’une solution de sauvegarde demande de la méthode et beaucoup d’expertise. À l’heure des nouvelles exigences de conformité et de résilience opérationnelle, c’est même un exercice tout à fait salutaire.
Les sauvegardes sont devenues une cible privilégiée car elles demeurent l’ultime possibilité de restaurer les données d’un système d’information attaqué et compromis par des cyberpirates. Mais sont-elles parfaitement sécurisées ? Voilà une question à laquelle on peut être en peine de répondre sans un regard extérieur professionnel. C’est l’objet de l’audit de la solution de sauvegarde. Aucun éditeur n’est à l’abri de découvertes de vulnérabilités contenues dans leur logiciel, les plus grands et les plus généralistes comme les plus sectoriels. Mais dans le domaine de la sauvegarde, l’audit est d’autant plus utile qu’on ne migre pas facilement d’une solution à l’autre pour adopter de nouveaux mécanismes performants de sécurité.
On regrettera l’absence de compatibilité entre les solutions. Il est d’ailleurs abusif de parler de migration puisqu’il n’existe pas de vrai moyen de migration d’un historique de sauvegarde vers un autre. Une des possibilités est de restaurer et de sauvegarder à nouveau avec le nouvel outil. Outre le temps et la place que l’exercice demande, ce dernier ne conserve pas la datation, pourtant l’un des avantages d’une sauvegarde quand elle doit être restaurée.
Audit de sécurité de la sauvegarde : un périmètre large
En attendant d’opter pour plus de modernité, les équipes sécurité empilent souvent les couches de protection et se contraignent à maintenir la cohérence de l’ensemble, avec une administration de plus en plus lourde. Il y a tout lieu alors d’effectuer des contrôles réguliers de cette gestion. Cela dit, les entreprises modernisées ne sont pas toujours mieux sécurisées. Entre pratiques périlleuses, volumétries en croissance continue et paramétrages inadaptés, le risque est toujours plus élevé.
Les bonnes pratiques
Les bonnes pratiques sont souvent frappées au coin du bon sens, et les rappeler donne l’impression d’enfoncer quelques portes grandes ouvertes. Mais on ne peut pas toujours penser à tout. Il ne s’agit pas, ici, de dresser la liste de toutes les pratiques à surveiller, aussi nous nous contenterons de rappeler, par exemple, que le compte administrateur dédié à la console du logiciel de sauvegarde ne doit pas être géré dans l’Active Directory de l’entreprise (ou tout équivalent AD), au risque de tracer un chemin balisé aux cyberpirates.
L’audit contrôlera également la fréquence et la couverture du plan de sauvegarde. Si sa définition appartient à l’entreprise, un œil averti saura toutefois repérer s’il manque quelque chose d’important. Les destinations des copies de sauvegardes, dont leur externalisation, sont également vérifiées, au même titre que la politique de sécurité appliquée aux supports de sauvegarde. La règle des 3,2,1 (3 copies de vos données, 2 supports différents, 1 copie sur un site géographique éloigné) reste de mise.
On concentrera son attention sur la qualité, la granularité des journaux et la traçabilité des opérations, l’alimentation éventuelle de votre SIEM ou d’un SOC avec les indicateurs pertinents, afin de reconstituer le déroulé d’une éventuelle attaque de la solution de sauvegarde. On tirera ainsi de profitables conclusions sur la portée et les conséquences du piratage, pour être mieux préparé en vue d’une prochaine tentative au même niveau.
À l’inverse, il faudra rapidement bannir certaines pratiques dangereuses, comme la réduction des durées de rétention pour une question de coût du stockage des sauvegardes. Dans un contexte de menaces s’installant à long terme dans le système d’information, parfois sur plusieurs semaines, il est prudent de garder des sauvegardes sur plusieurs mois, afin de pouvoir revenir à un état non infecté dans le temps.
Audit de la sécurité de l’exploitation
La sécurité by design ne se rencontre pas encore partout, quoi qu’on en dise. Les entreprises équipées de solutions modernes peuvent toutefois profiter aujourd’hui de mécanismes d’immuabilité, de multiples couches de droit d’accès ou encore d’attribution de droits d’accès temporaires par le support de l’éditeur lui-même. Cela ne doit toutefois pas faire oublier un principe d’hygiène de sécurité élémentaire : les mises à jour du logiciel de sauvegarde et des OS sur lequel il tourne.
Les mises à jour sont d’autant plus cruciales qu’elles sont complexes quand les technologies s’empilent pour couvrir le besoin de sécurité et de diversité des applications, des données et des contextes. Il faut faire le point sur tous les besoins et proposer un accompagnement de type TAM pour assurer le suivi des incidents et des correctifs disponibles.
La sécurisation de la solution de sauvegarde concerne également le degré de disponibilité attendu, qui a pu évoluer. S’il est devenu élevé, l’audit peut conclure au besoin de clustériser la sauvegarde, soit en la faisant tourner sur plusieurs serveurs simultanément soit en organisant la relève d’un serveur par un autre, sur différents sites dans certains cas. Tests de restauration, accès et authentification, redondance et disponibilité, intégration au SI, mais aussi revues de sécurité et capacité d’identification et de traitement des risques, l’audit de sécurité d’une solution de sauvegarde peut couvrir de nombreux champs d’expertise.
Envisager les nouveaux mécanismes de sécurité
Nous le disions, l’adoption d’une nouvelle solution de sauvegarde ne se fait pas à la légère. Cela dit, la démarche est à la fois parfaitement réalisable avec un bon accompagnement et se veut certainement l’attitude la plus sérieuse au regard des nouvelles menaces.
Parmi les nouveaux mécanismes existants, certains sont particulièrement pertinents, comme l’Air Gap, qui isole les données sauvegardées et coupe tout lien avec l’informatique de l’entreprise. Quelques solutions embarquent directement le mécanisme, d’autres s’appuient sur des appliances source et cible. À souligner, toutefois, que les entreprises dotées de solutions anciennes pratiquent l’Air Gap à leur manière, en stockant par exemple les sauvegardes sur bandes, lesquelles sont ensuite déposées sur un site externe sécurisé.
La bande ferait-elle son grand retour ? Très écologique, elle est aussi peu coûteuse. Certains hyperscalers exploitent les bandes pour le déchargement des données anciennes et peu utilisées (données froides) par exemple.
Si, malgré toutes les mesures de protection, dont Air Gap, un hacker parvient à extraire des données, le chiffrement à la source permettra d’empêcher leur exploitation. Le transport des données chiffrées à l’intérieur du réseau et pendant leur externalisation est un élément indispensable de la cybersécurité. Il rassure également le DPO, garant de la responsabilité de la confidentialité des données personnelles et protège les prestataires de stockage externe. Enfin, il élève évidemment le degré de confiance dans l’entreprise. Dans le cas de traitements de données très sensibles, on songera à vérifier la probité des équipes internes, mais cela reste une question RH qui n’entre pas dans les points de contrôle de l’audit.
Toute solution de sauvegarde connaît des écarts au fil du temps et de son utilisation. L’audit a pour mission de les identifier et d’une certaine façon, de remettre sur le bon chemin de la sécurité les pratiques et les technologies.