> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/fr/durcissez-votre-environnement/readme/cloud-backup-solutions.md).

# Solutions de sauvegarde cloud

Utilisez cette page pour choisir une approche de sauvegarde cloud qui fonctionne toujours après un ransomware.

Objectif : récupérabilité, conservation et protection contre la suppression des sauvegardes.

## Google Drive et OneDrive

Les environnements Google Drive et OneDrive ne disposent pas de fonctionnalités natives leur permettant de restaurer leurs données à la suite d’une attaque par ransomware ayant supprimé leurs versions précédentes. Il est donc nécessaire d’envisager certaines solutions afin de sauvegarder régulièrement leurs données et de les protéger.

Plusieurs solutions peuvent être envisagées pour atteindre cet objectif, chacune avec ses avantages et ses inconvénients.

#### Solution n°1 : disque dur

Cette solution consiste à sauvegarder manuellement les fichiers de l’environnement Google Drive ou OneDrive sur un disque dur externe. Idéalement, une sauvegarde d’un environnement OneDrive ou Google Drive devrait être effectuée sur au moins deux disques durs externes afin d’éviter toute perte de données en cas de défaillance de l’un des disques durs. Bien que cette solution soit la plus simple à mettre en œuvre, elle est aussi la plus contraignante.

#### Solution n°2 : NAS

Un NAS (Network Attached Storage) est un serveur de stockage physique sur le réseau. Cette solution consiste à installer une application de synchronisation sur le NAS — à savoir Google Drive Desktop pour un environnement Google Workspace et OneDrive pour un environnement O365 — afin de synchroniser régulièrement les lecteurs partagés (Google Drive) et les sites SharePoint (OneDrive), et d’effectuer des sauvegardes sur les disques du NAS. Il est également possible d’utiliser certains types de RAID pour améliorer la sécurité des disques ou la tolérance aux pannes sur le NAS.

#### Solution n°3 : espace de stockage AWS/Azure

Azure (Microsoft) et AWS (Amazon) proposent des espaces de stockage Cloud abordables pour conserver des sauvegardes. L’idée est de transférer régulièrement toutes les données des environnements Google Drive et OneDrive vers l’un de ces espaces de stockage, soit manuellement, soit automatiquement à l’aide d’un script et d’une machine abonnée à l’un de ces environnements. Plusieurs outils gratuits sont développés et fréquemment mis à jour à cette fin, à savoir rclone et duplicity, qui sont conçus pour permettre ce type de transfert.

#### Solution n°4 : solutions tierces

Certaines solutions tierces peuvent être envisagées si aucune des solutions précédentes n’est adaptée. Ces solutions rendent les sauvegardes très simples à utiliser, mais entraînent un coût financier important. Ce type de solution consiste à donner à un service tiers l’accès à votre environnement Google Drive et OneDrive afin qu’il puisse récupérer automatiquement les données de façon régulière. Ces solutions offrent également des fonctionnalités de restauration des données. Parmi les exemples, on peut citer Afi, Backupify, Spanning et SpinBackup.

#### Tableau récapitulatif

En analysant tous ces scénarios, il est possible de définir certains critères et de classer toutes ces solutions en conséquence, comme l’illustre le tableau suivant :

<figure><img src="/files/0f3c50458827fcb15e7fb2340a51c5a8b381f071" alt=""><figcaption></figcaption></figure>

## Azure

### Sauvegardes immuables Azure

Les sauvegardes Azure peuvent être de deux types, Backup Vault ou Recovery Services, selon vos modèles de données :

Il existe 2 méthodes pour garantir l’immutabilité de ces sauvegardes :

![datasources$ (1)](/files/4bfd2772405887290fa0c173472b8091134d8f7e)

{% stepper %}
{% step %}

### Vérifiez que la fonctionnalité Soft Delete est activée.

Par défaut, Soft Delete est activé sur les coffres Azure Recovery Services. Cette fonctionnalité protège les sauvegardes contre les suppressions accidentelles ou malveillantes pendant une période de 14 jours, sans coût supplémentaire. Si des sauvegardes sont supprimées et que Soft Delete n’est pas activé, ni vous ni Microsoft ne pouvez récupérer les données supprimées. Il est nécessaire de mettre en place la protection suivante afin d’éviter le scénario suivant :

1. Compromission du tenant Azure et des coffres-forts ;
2. Désactivation de Soft Delete ;
3. Suppression des sauvegardes ;
4. Restauration ;
5. Suppression définitive.
   {% endstep %}

{% step %}

### Utilisez l’autorisation multi-utilisateur (MUA) sur la fonctionnalité Soft Delete.

La MUA pour Azure Backup utilise une nouvelle ressource appelée Resource Guard pour garantir que les opérations critiques, telles que la désactivation de Soft Delete, l’arrêt et la suppression des sauvegardes, ou la réduction de la conservation des stratégies de sauvegarde, ne soient effectuées qu’avec une autorisation appropriée. Pour comprendre le processus, il est nécessaire de comprendre 2 rôles qui doivent être définis au sein de l’organisation Azure :

1. Administrateur de sauvegarde : propriétaire du coffre Recovery Services ou du Backup Vault qui effectue les opérations d’administration et de gestion sur ceux-ci ;
2. Administrateur de sécurité : propriétaire de Resource Guard, agissant comme le gardien des opérations critiques sur le coffre. L’administrateur de sécurité contrôle donc les autorisations dont l’administrateur de sauvegarde a besoin pour effectuer des opérations critiques sur le coffre.

Pour configurer la MUA, vous devez :

* Vérifier que Resource Guard et le coffre Azure Recovery Services se trouvent dans la même région Azure ;
* Vérifier que l’administrateur de sauvegarde ne dispose pas de droits de contributeur sur Resource Guard. Vous pouvez avoir Resource Guard dans un autre abonnement du même tenant ou dans un autre tenant ;
* Suivez la [procédure officielle Azure](https://learn.microsoft.com/en-us/azure/backup/multi-user-authorization?pivots=vaults-recovery-services-vault\&tabs=azure-portal).
  {% endstep %}
  {% endstepper %}

### Protection de vos opérations critiques Azure

La configuration de coffres immuables permet les protections suivantes :

* Recovery Services : protège les données contre la suppression ; empêche la modification ou la suppression de la stratégie de sauvegarde afin de réduire la durée de conservation des données.
* Backup Vaults : protège les données contre la suppression

{% stepper %}
{% step %}

### Connectez-vous à votre portail Azure et recherchez les coffres Recovery Services, les Backup Vaults ou le coffre que vous souhaitez protéger :

<figure><img src="/files/908149f0ada85ac42596ebdfbb8ef107dc97ab0f" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Cliquez sur l’onglet Properties pour activer le coffre immuable et verrouiller le coffre pendant la durée de la stratégie de sauvegarde

<figure><img src="/files/813ac4d5589eda42a6b9b7f9c78229eccfff858f" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/8affac9d1e56c06442d12240b540ec7a7bcb50d5" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Remarque : cette étape ne peut pas être annulée, utilisez-la avec précaution pour les données sensibles.
{% endhint %}
{% endstep %}

{% step %}

### Répétez cette opération pour les autres coffres requis pour la continuité d’activité.

{% endstep %}
{% endstepper %}

## AWS

### Solution dégradée (sans droits SCP)

Remarque : la première étape doit être répétée pour chaque bucket S3 contenant des données sensibles ou techniques pouvant être nécessaires pour la production.

{% stepper %}
{% step %}

### Créez une stratégie de bucket S3 qui empêche la suppression des versions du bucket S3.

1. Dans l’onglet [console Amazon S3](https://console.aws.amazon.com/s3/), ouvrez le bucket, puis **Autorisations**.

   <figure><img src="/files/18459722e2aed64f493493b903571f5551ffde7a" alt=""><figcaption></figcaption></figure>
2. Sous **Stratégie de bucket**, cliquez sur **Modifier**.
3. Remplacez la stratégie de bucket existante (le cas échéant) par le JSON ci-dessous.

```json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyVersionDeletion",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:DeleteObject*",
            "Resource": "arn:aws:s3:::my-bucket-name/*"
        }
    ]
}
```

{% hint style="info" %}
Remplacez `my-bucket-name` par le nom de votre bucket.
{% endhint %}
{% endstep %}

{% step %}

### Créez un mécanisme d’alerte pour détecter toute modification ou suppression de ce bucket.

1. Activez [AWS CloudTrail](https://console.aws.amazon.com/cloudtrail/) s’il n’est pas déjà activé.
2. Ouvrez la [console Amazon EventBridge](https://console.aws.amazon.com/events/) (CloudWatch Events), puis allez dans **Règles**.

   <figure><img src="/files/262043858ca7401b6538da49bd7a718d510861f5" alt=""><figcaption></figcaption></figure>
3. Cliquez sur **Créer une règle**. Sélectionnez **Appel d’API AWS via CloudTrail** comme type d’événement.

   <figure><img src="/files/d6f02c6d558934bbccceef706e80f273f69e6908" alt=""><figcaption></figcaption></figure>
4. Choisissez **Opérations spécifiques** et ajoutez :
   1. PutBucketPolicy
   2. DeleteBucketPolicy
   3. DeleteBucketLifecycle
   4. DeleteBucketPublicAccessBlock
   5. PutBucketPublicAccessBlock
   6. DeleteBucket comme opérations pour lesquelles nous souhaitons être avertis.
5. Utilisez le modèle d’événement ci-dessous :

```json
{
  "source": ["aws.s3"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["s3.amazonaws.com"],
    "eventName": ["DeleteBucket", "DeleteBucketLifecycle", "DeleteBucketPolicy", "PutBucketPolicy", "DeleteBucketPublicAccessBlock", "PutBucketPublicAccessBlock"],
    "requestParameters": {
      "bucketName": ["my-bucket-name"]
    }
  }
}
```

{% hint style="info" %}
Remplacez `my-bucket-name` avec le bucket que vous souhaitez protéger.
{% endhint %}
{% endstep %}
{% endstepper %}

6. Configurez la cible de l’alerte (par exemple, un sujet SNS pour les notifications, ou une fonction Lambda).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/fr/durcissez-votre-environnement/readme/cloud-backup-solutions.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
