Au-delà des sauvegardes immuables : Les 8 pratiques critiques pour la protection des sauvegardes

Les contrôles de sauvegarde traditionnels donnent souvent un faux sentiment de sécurité, car ils ne détectent pas les menaces en constante évolution qui mettent les entreprises en danger. Alors que les méthodes conventionnelles se concentrent sur l'intégrité et la disponibilité de base, elles négligent des vulnérabilités critiques telles que :

• Menaces transmises par les fichiers, telles que les vulnérabilités basées sur les fichiers, les exploits du jour zéro ou les logiciels malveillants sophistiqués cachés dans les fichiers de sauvegarde, en particulier dans les archives, les bases de données et les images de machines.
• Un ransomware polymorphe qui contourne la détection basée sur les signatures
• Modifications subtiles mais malveillantes des fichiers causées par la dérive des fichiers ou des métadonnées
• La restauration des données infectées entraîne une réinfection immédiate, un échec de la récupération et un temps d'arrêt prolongé.
• Exigences réglementaires strictes (par exemple, GDPR, PCI DSS, SOX et Sheltered Harbor)

La réalité de la reprise n'est pas à la hauteur des attentes, ce qui révèle un écart important entre ce que les organisations pensent pouvoir réaliser et leurs performances réelles pendant les temps d'arrêt. Une étude récente montre que si plus de 60 % des personnes interrogées pensaient pouvoir reprendre leurs activités en moins d'une journée, seules 35 % d'entre elles y sont parvenues lorsqu'elles ont été confrontées à un événement réel.

Les stratégies globales suivantes constituent la base d'un écosystème de sauvegarde véritablement sécurisé, qui ne se contente pas de préserver vos données, mais garantit leur intégrité et leur disponibilité lorsque la restauration devient nécessaire. En mettant en œuvre ces huit pratiques essentielles, les entreprises peuvent transformer des référentiels de sauvegarde vulnérables en actifs résilients qui maintiennent la continuité des activités, même face à des adversaires déterminés.

La règle de sauvegarde 3-2-1-1-0 représente une évolution modernisée de l'approche traditionnelle 3-2-1, spécialement conçue pour renforcer la cyber-résilience et la sécurité dans le cadre de votre stratégie de reprise après sinistre :

• Trois copies des données : Conservez trois copies de vos données (une copie principale et deux copies de sauvegarde).
• Deux types de Media différents : Stockez vos sauvegardes sur deux types de supports distincts. Si, traditionnellement, il s'agissait de disques et de bandes, les approches modernes intègrent souvent le stockage en nuage ou les disques SSD.
• Une copie hors site : Conservez au moins une copie dans un autre endroit, ce qui est facilement réalisable avec les solutions de sauvegarde en nuage (dans une autre région ou avec un autre fournisseur de nuage).
• Une copie hors ligne, dans l'air ou immuable : Conservez une copie qui est soit complètement déconnectée des réseaux (hors ligne/à l'abri de l'air), soit non modifiable une fois écrite (immuable). Ce point est crucial pour la protection contre les ransomwares, car il offre une option de récupération propre que les attaquants ne peuvent pas compromettre.
• Zéro erreur : Vérifiez régulièrement vos sauvegardes pour vous assurer qu'elles ne contiennent pas d'erreurs et qu'elles sont utilisables en cas de besoin.

La mise en œuvre d'une analyse périodique représente une couche de défense critique au-delà de la vérification initiale des sauvegardes. Alors que les analyses ponctuelles fournissent un instantané de l'intégrité des sauvegardes, les analyses régulières programmées assurent une protection continue contre les menaces émergentes qui auraient pu être indétectables lorsque les sauvegardes ont été créées pour la première fois.

La détection des logiciels malveillants est un élément non négociable des tests de récupération périodiques. Sans une analyse robuste des logiciels malveillants intégrée à votre processus de vérification des sauvegardes, même la stratégie de sauvegarde la plus méticuleuse peut échouer lors de scénarios de récupération réels en réintroduisant les menaces mêmes dont les organisations tentent de se débarrasser.

Tous les fichiers doivent être analysés à la recherche de logiciels malveillants avant d'être autorisés à pénétrer dans votre réseau ou dans votre espace de stockage de sauvegarde. Pour obtenir les taux de détection les plus élevés et la fenêtre d'exposition la plus courte aux épidémies de logiciels malveillants, analysez les fichiers à l'aide de plusieurs moteurs anti-programmes malveillants (en utilisant une combinaison de signatures, de méthodes heuristiques et de méthodes de détection par apprentissage automatique) à l'aide d'une solution de multiscanning.

Les règles YARA permettent aux équipes de sécurité d'identifier les logiciels malveillants sophistiqués dans les référentiels de sauvegarde à l'aide de règles personnalisées basées sur des caractéristiques de fichiers spécifiques. En mettant en œuvre des chaînes définies avec précision et une logique conditionnelle, les entreprises peuvent détecter des menaces que les solutions basées sur les signatures risquent de manquer, y compris les attaques ciblées et émergentes.

Le cadre adaptable de YARA permet d'affiner en permanence les capacités de détection, créant ainsi une couche de défense dynamique qui améliore considérablement la précision des processus de vérification de sauvegarde.

La technologieSandbox permet aux entreprises de détecter et d'analyser les logiciels malveillants du jour zéro dans des environnements isolés et contrôlés avant qu'ils ne compromettent les opérations de récupération. En exploitant cette technologie avec des capacités d'analyse statique approfondie, l'intégration de renseignements avancés sur les menaces et des techniques d'émulation à grande vitesse, les équipes de sécurité peuvent identifier efficacement des variantes de logiciels malveillants sophistiqués ou des IOC (indicateurs de compromission) que l'analyse traditionnelle basée sur les signatures pourrait manquer.

Les fichiers tels que les fichiers Microsoft Office, PDF et images peuvent contenir des menaces intégrées dans des scripts et des macros cachés qui ne sont pas toujours détectés par les moteurs de lutte contre les logiciels malveillants. Pour éliminer les risques et s'assurer que les fichiers de sauvegarde ne contiennent pas de menaces cachées, la meilleure pratique consiste à supprimer tous les objets intégrés possibles à l'aide du CDR(désarmement et reconstruction du contenu).

L'analyse sélective des différentiels permet d'ignorer les fichiers de sauvegarde inchangés, ce qui garantit des contrôles de sécurité approfondis tout en assurant des délais de rétablissement très courts pour les flux de travail critiques.

Les entreprises qui protègent avec succès leur infrastructure de sauvegarde gagnent plus qu'une simple sécurité des données; elles obtiennent une véritable résilience commerciale, une conformité réglementaire et la certitude que les opérations de récupération réussiront lorsque le besoin s'en fera le plus sentir. L'investissement dans des sauvegardes correctement sécurisées est bien plus rentable que les ressources nécessaires à leur mise en œuvre, en particulier si on le compare aux coûts dévastateurs des attaques de ransomware, des violations de données ou des tentatives de récupération qui échouent.