search

Mettre en place des sauvegardes sécurisées

circle-info

Toutes les informations et exemples présentés dans cet article ne sont que des recommandations de mise en œuvre visant à garantir des sauvegardes sécurisées, conformément aux politiques de Stoïk.

Il est important de noter que cet article et les guides cités ne sont pas juridiquement contraignants.

Toute entreprise est exposée à des conséquences graves en cas de cyberattaque, telles que la perte de données commerciales et la perte de disponibilité, impactant ainsi la continuité des activités. Lorsque de telles situations surviennent, la restauration du système d'information devient un enjeu majeur pour la reprise des activités. La réussite de cette restauration dépend principalement de la qualité et de la fréquence des sauvegardes effectuées sur le système d'information.

Mettre en place des sauvegardes sécurisées

Mettre en place des sauvegardes sécurisées

Mettre en place des sauvegardes sécurisées

Mettre en place des sauvegardes sécurisées

Mettre en place des sauvegardes sécurisées

hashtag
Quelles sont les conditions pour bénéficier de l'assurance cyber Stoïk ?

L'assurance cyber Stoïk impose des exigences strictes pour les politiques de sauvegarde lors du processus de souscription personnalisé, qui est défini par l'activité de l'entreprise, son chiffre d'affaires ou son exposition au risque. Nous exigeons qu'au moins une sauvegarde hebdomadaire soit

  • stockée hors ligne

  • ou sur un stockage immuable périphérique

⇒ avec une période minimale de rétention de deux semaines.

Si les sauvegardes ne peuvent pas être hors ligne ou immuables, une autre option—moins recommandée—est possible : "sauvegarde sécurisée". La sauvegarde reste physiquement connectée, mais doit répondre aux exigences suivantes :

  • Système de sauvegarde en dehors du domaine AD

  • Système de sauvegarde séparé du reste du réseau par un pare-feu

  • La suppression/modification des sauvegardes n'est possible que via une interface web sécurisée par MFA.

En d'autres termes, même avec un compte administrateur sur votre réseau, vous ne devriez pas pouvoir supprimer les sauvegardes. Lors d'incidents de ransomware, les attaquants compromettront très probablement les comptes administrateurs de domaine Active Directory et vos comptes d'administration cloud. C'est pourquoi il est essentiel que, même avec de telles permissions, les sauvegardes ne puissent pas être supprimées.

hashtag
Types de sauvegardes

Sauvegardes hors ligne

Disques durs externes, clés USB, NAS déconnectés du réseau, bandes magnétiques (LTO, DLT)

Niveau de sécurité le plus élevé contre un attaquant ayant compromis le SI, car les sauvegardes ne sont pas accessibles via le réseau.

Sauvegardes en ligne immuables (Cloud)

Services cloud avec fonctionnalités d'immuabilité (AWS S3 Object Lock, Azure Blob Storage avec verrouillage WORM)

Bien que les sauvegardes soient accessibles en ligne, les fonctionnalités d'immuabilité empêchent les modifications non autorisées et offrent une protection robuste.

Sauvegardes en ligne (On-Premise ou Centre de données)

Serveurs de sauvegarde distants avec accès réseau strictement contrôlé et limité

Moins sécurisées que les sauvegardes hors ligne, mais offrent une protection raisonnable contre les attaques si l'accès réseau est isolé de l'entreprise. Par ex. : VLAN spécifique, séparé de l'Active Directory, accès à l'environnement limité à un administrateur avec MFA)

✅ / ⛔

Sauvegardes en ligne non immuables (Cloud)

Services cloud tels que Dropbox, Google Drive, Microsoft OneDrive sans verrouillage WORM

Bien que faciles à utiliser, les sauvegardes sont accessibles en ligne et potentiellement vulnérables aux attaques.

Sauvegardes locales

Disques internes ou connectés, sauvegarde incrémentielle sur serveur local, miroir RAID

Solution la moins sécurisée contre un attaquant ayant compromis le SI, car les sauvegardes sont stockées localement et peuvent être facilement compromises.

Sécurisé* : Ce terme se réfère à la sécurisation des sauvegardes en cas d'attaque standard de ransomware visant à supprimer toutes les données de l'entreprise.

hashtag
Exemples de solutions de sauvegarde hors ligne

Bandes magnétiques (LTO, DLT)

Faire tourner entre au moins deux bandes afin qu'une bande soit toujours déconnectée du système d'information.

NAS déconnecté

Connecter périodiquement un NAS au réseau pour effectuer la sauvegarde, puis le déconnecter. Alterner entre plusieurs appareils NAS pour s'assurer que chaque appareil capture les dernières modifications. Lorsque les NAS ne sont pas utilisés pour les sauvegardes, déconnectez-les du réseau.

Disques durs externes ou clés USB

Connecter périodiquement le périphérique externe au serveur de sauvegarde pour effectuer la sauvegarde, puis le déconnecter. Alterner entre plusieurs périphériques pour s'assurer que chaque appareil capture les dernières modifications. Lorsque les périphériques ne sont pas utilisés pour les sauvegardes, déconnectez-les et stockez-les dans un endroit sécurisé.

hashtag
Exemples de sauvegarde immuable

hashtag
Exemples de solutions/services de sauvegarde immuable avec hébergement cloud

AWS

Verrou S3arrow-up-right ou Glacier

Guide Stoïk

Azure

Archive Storagearrow-up-right ou Blob de stockage arrow-up-rightimmuable

Guide Stoïk

Wasabi

Option sauvegardes immuablesarrow-up-right

Guide Stoïk

Acronis Cyber Protect Cloud

Mode Conformitéarrow-up-right

Version Cloud Storage >= 4.7.1 Version de l'agent >= 21.12 L'immuabilité n'est pas prise en charge avant ces versions.

Documentation Acronis 1arrow-up-right Documentation Acronis 2arrow-up-right

Inspeere Datis

Aucun prérequis

Site officielarrow-up-right

Scaleway

Scaleway storagearrow-up-right

Beemo

Beemo2cloudarrow-up-right: Sauvegarde locale + sauvegarde Cloud

Documentation officiellearrow-up-right

OVHCloud

OVHCloud Object Storagearrow-up-right

Fast LTA

Zero Loss Storagearrow-up-right

hashtag
Exemples de solutions/services de sauvegarde immuable avec hébergement local

Veeam Linux Hardened Repository

Version Veeam >= 11 L'immuabilité n'est pas prise en charge avant la version 11. Un durcissement de la sécurité doit être effectué autour du serveur de stockage (voir documentation).

Documentation Veeam Cloudarrow-up-right Guide Stoïk de durcissement du serveur de stockagearrow-up-right

Synology

DiskStation Manager (DSM)

>= 7.2

Utiliser un des modèles de NAS suivantsarrow-up-right

Documentation Synologyarrow-up-right

Dell

Dell Data Domains Immutable (avec un mode de conformité uniquement)

Documentation officiellearrow-up-right

hashtag
Exemple de sauvegardes non sécurisées en cas de compromission

Dropbox

Les fichiers supprimés sont envoyés à la corbeille où ils peuvent être restaurés, mais ces points de restauration peuvent également être supprimés.

Sharepoint

Onedrive

Google Drive

NAS immuable

L'immuabilité du NAS est fournie par une couche logicielle installée sur le système d'exploitation : la destruction des disques par le système ou du système lui‑même reste possible.

Centre de données externalisé avec connexion réseau permanente

Ce type d'externalisation est similaire à avoir un serveur de fichiers local : en cas d'attaque par ransomware, la destruction des données sera également réalisée au sein du centre de données via le lien réseau mis en place.

Stockage cloud non immuable

Si l'accès au compte administrateur du cloud est compromis, l'attaquant peut simplement supprimer le stockage et les sauvegardes.

SuivantSauvegardez vos données avec Wasabi

Mis à jour

Ce contenu vous a-t-il été utile ?