Après le cryptage des données essentielles et critiques, suite à une intrusion réussie dans le SI d’une entreprise, le dernier rempart consiste à restaurer les données sauvegardées. Encore faut-il qu’elles soient utilisables et complètes. De plus, les attaquants les ciblent pour éviter la restauration.

A la hausse brutale des dommages créés par les rançongiciels  et leur variantes s’ajoute la destruction des sauvegardes par les pirates. L’étude de Veeam publiée fin aout 2022 et commentée sur IT SOCIAL indique que 30 % des attaquants ont compromis la plupart des cibles de sauvegarde des victimes, mais que 38 % n’ont pu atteindre que quelques cibles, 26 % n’ont pas réussi à atteindre les sauvegardes.

Pour parer à ses attaques, une sauvegarde et restauration réussies des données reste la seule possibilité de retrouver rapidement  les informations essentielles ou sensibles, codes et applications spécifiques, paramètres de configuration et systèmes, etc.  D’autant que le paiement d’une rançon ne garantit pas la récupération des données. Une étude de Venafi, prestataire de cybersécurité, indique que cette situation ne se produirait que dans 35 % des cas.

La sauvegarde via un prestataire de sauvegarde managée

L’inventaire de ressources dont  le volume et la diversité continue de croitre est indispensable mais réputé fastidieux. Les données sont réparties parmi de nombreux médias de stockage et serveurs. Il faut les identifier, hiérarchiser leur degré de criticité, leur volumétrie puis les classer. Le périmètre informationnel est de plus en plus complexe à gérer avec le legacy (ressources numérique héritées), environnements multicloud, bases de données, etc.

Une sauvegarde accélérée ne concerne que les blocs modifiés depuis la dernière sauvegarde avec optimisation des temps de sauvegarde des environnements physiques et virtuels. Ces sauvegardes doivent être chiffrées. Une matrice de compatibilité doit valider la bonne couverture d’un large éventail de systèmes d’exploitation.

Une bonne solution consiste à souscrire à un service managé de sauvegarde qui prend en charge les différentes étapes de l’inventaire jusqu’à la restauration des données en passant par la gouvernance. Il faut fixer, avec le prestataire, le RTO (Recovery Time Objective), à savoir la vitesse à laquelle les données doivent être restaurées et le RPO (Recovery Point Objective), à savoir la chronologie des fichiers à restaurer pour disposer d’une version exploitable des données. La clause de réversibilité des informations, en cas de rupture de contrat, doit être soigneusement négociée entre les deux parties pour éviter les mauvaises surprises.

Ne pas placer toutes les données  sur le cloud

La vitesse de restauration lors d’un PRA (plan de reprise d’activité) est essentielle pour certains types de données, métiers et autres. Pour accélérer la récupération, il est possible de les placer sur des périphériques de stockage tels que les NAS (Network Attached Storage) et dans les réseaux SAN (Storage Area Network) pour la mutualisation des ressources de stockage. Mais ces données doivent être cryptées et si possible, coupées du réseau de l’entreprise quand elles ne sont pas utilisées afin d’éviter leur compromission lors d’une cyberattaque. Certains types de données peuvent être sauvegardées par une méthode WORM (Write Once Read Many) qui permet de les écrire une seule fois et de les rendre accessibles en lecture seule.

Selon une étude du site MSP mentor, spécialiste des services manégés de sauvegarde et de la reprise d’activité après sinistre, ce marché va connaître une croissance annuelle située entre +15 % et +20 %.

Point important, le prestataire de services de service managé de sauvegarde doit être certifié ISO 27001 et disposer de ses propres infrastructures de stockage des données.