Les effets d’une catastrophe – qu’elle soit naturelle, due à un logiciel de rançon ou à une défaillance matérielle – sont considérables pour les entreprises.
Un exemple est le temps d’arrêt, qui peut nuire à la confiance des clients et à la réputation de la marque, ainsi qu’à la perte de données. Selon les données d’une étude LogicMonitor de 2023, 96 % des décideurs et des responsables informatiques dans le monde ont connu au moins une période d’indisponibilité, dont beaucoup ont connu plusieurs instances en une seule année.
Alors, comment optimiser votre stratégie de sauvegarde et de reprise après sinistre pour gérer de tels incidents ? Nous avons rencontré Chris Groot et Stefan Voss de N-able lors de la conférence Empower Prague pour le savoir.
Quelles sont les vulnérabilités les plus courantes que vous voyez dans les entreprises en ce qui concerne leurs stratégies de sauvegarde et de reprise après sinistre ? Quelles sont les lacunes qu’ils ont tendance à avoir?
Cris : L’un des plus grands manques qu’ils ont est le manque de temps. Les catastrophes nécessitent de la technologie, mais il faut aussi des personnes et des processus pour y parvenir. La capacité de passer du temps à tester et à avoir des gens en place – parce qu’il y a une pénurie de main-d’œuvre et que les événements sont assez peu fréquents – je pense que c’est là que réside vraiment le défi.
J’ajouterais que la nature changeante du paysage des menaces – savoir à quoi ressemblera le prochain type de catastrophe – est différente de celle d’avant. Avant, c’étaient des serveurs Exchange, Active Directory, ce genre de choses. Maintenant, il exécute Azure AD, Microsoft 365. Ainsi, ce qui était la meilleure pratique il y a cinq ans a maintenant changé, et ils doivent être préparés pour pouvoir organiser la répétition générale. Cette expérience est dure et prend du temps. C’est un défi dans n’importe quel environnement.
Stéphane : La seule chose que j’ajouterais, c’est qu’il existe différents types de catastrophe : catastrophe naturelle, inondation, panne matérielle, corruption de fichiers. Mais le numéro un, à maintes reprises, est de savoir comment restaurer à partir d’une cyberattaque. Ransomware est le mot à la mode, mais il pourrait s’agir de toutes sortes de cyberattaques.
La différence entre toutes les autres catastrophes et la cyberattaque est vraiment le fait que vous allez être dans une réponse à un incident, donc vous allez travailler avec d’autres personnes. Vous avez peut-être un cabinet de conseil avec lequel vous travaillez, mais si vous ne savez même pas qui sont les gens, eh bien, comment allez-vous travailler ensemble quand les choses tournent mal ? Vous allez avoir un vrai problème. Réfléchissez à vos objectifs :
- À quelle vitesse voulez-vous récupérer ?
- À quel point avez-vous besoin que les points de restauration soient granulaires ?
- Où restaurez-vous quand quelque chose se passe ?
Vous n’allez probablement pas vouloir restaurer le ransomware en production très rapidement. Vous obtenez une récupération sur incident, mais une récupération sur incident de, quoi, malware ? Ce n’est certainement pas ce que vous voulez. Donc, vous aurez probablement besoin d’un bac à sable.
Une fois que vous avez cela en place, vous avez vraiment besoin de vous entraîner, de faire un vrai simulateur. Ensuite, vous serez dans un meilleur endroit, mais pour cela, vous avez besoin de temps.
Quels sont les avantages d’utiliser une solution basée sur le cloud dans le cadre de votre stratégie complète ?
Stéphane : C’est une plus grande agilité, un retour sur investissement plus rapide. Il y a un autre avantage lié à la sécurité. L’infrastructure de sauvegarde, comme votre serveur qui exécute le logiciel de sauvegarde, les copies de sauvegarde, pourrait être le stockage, se trouve sur le même réseau que le serveur que les pirates vont rechercher, alors vous devez supposer qu’ils Je vais aussi chercher les sauvegardes. Pourquoi? Si je peux retirer votre renfort, eh bien, vous allez me donner l’argent, il est plus probable que j’obtienne la rançon. Avoir l’infrastructure de sauvegarde dans le cloud présente l’avantage d’une surface d’attaque plus petite car elle est plus difficile à obtenir.
Si vous recherchez une solution de sauvegarde et de reprise après sinistre, quel genre de questions devriez-vous poser à votre fournisseur ?
Cris : Donc, tout d’abord, juste en termes de reprise après sinistre – est-ce sécurisé ? Et puis ce sont ces gains de temps. Vais-je répondre à mes besoins en termes de compétitivité dans mon espace et d’automatisation au maximum ?
Stéphane : Inquiétez-vous des quatre T :
- Puis-je lui faire confiance ?
- Puis-je le tester
- Cela me fera-t-il gagner du temps ? Combien?
- Puis-je le lier à mon environnement ?
Cris : Le deuxième élément de l’équation concerne vraiment le temps investi pour le soutenir. Va-t-il évoluer ? Est-ce multi-locataire ? Puis-je travailler dans ces environnements disparates que je dessers ? Fonctionne-t-il plus ou moins tout seul ou dois-je passer une heure ou deux heures par jour à le faire fonctionner correctement ? C’est la différence. Si vous regardez de nombreux éditeurs de logiciels différents et que vous comparez leur liste de fonctionnalités, ils ont tendance à se ressembler. Ce n’est pas une question de ce que vous faites en termes de nouvelles fonctionnalités, mais de la façon dont ces fonctionnalités fonctionnent réellement. Cela se rapporte ensuite à votre temps.
À quelle fréquence recommanderiez-vous à une entreprise de tester sa reprise après sinistre ?
Stéphane : Je ne pense pas qu’un exercice annuel de reprise après sinistre soit souvent suffisant. Vous devez penser à la nécessité d’obtenir un serveur quelque part. Lorsque la vraie chose se produit, vous ne voulez pas être en mode d’approvisionnement, de panique. Je penserais vraiment à configurer cet environnement, d’une manière ou d’une autre, à réfléchir aux objectifs, puis à tester ce runbook. Vous ne pouvez le faire que dans la nature. La table est agréable, rien contre la table, mais vous devez vraiment demander à quelqu’un de prendre quelque chose. Alors peut-être que vous faites la table ou quelque chose comme ça tous les six mois et un exercice de reprise après sinistre plus complet. Si vous le voulez vraiment, une fois par an, allez-y et faites vraiment des choses désagréables et voyez comment vous réagissez. Ce serait probablement l’idéal, car certaines choses que vous ne pouvez pas vraiment simuler ou remplacer par une table, vous devez vraiment entrer et simuler des exemples réels sans sacrifier la production.
Cris : Je vais juste essayer de résumer : il existe différents niveaux de test de récupération. Il y a la question de savoir si le serveur démarrera dans un environnement différent ? Cela signifie-t-il que toutes les données sont là, que tout va bien ? C’est le niveau un. Le niveau deux va plus loin, où vous testez votre personnel et les processus qui l’entourent, car bien sûr, le démarrage d’un serveur ne signifie pas que tout le monde peut s’y connecter et que l’activité peut réellement continuer. Le niveau deux ressemble plus à votre approche une fois tous les six mois. Je pense que c’est très pragmatique en termes de surveillance et je pense que c’est sain.
Pour conclure, qui va contacter vos compagnies d’assurance ou votre cyber-assurance ? Que vont-ils nous permettre de faire avant de faire notre prochain pas ? Mais je pense que ce que nous soulignons essentiellement, c’est à quel point la réponse est complexe à ce qui semble être une question assez simple sur la fréquence à laquelle vous devriez tester.
Que recherchent les assureurs dans une stratégie de reprise après sinistre ?
Stéphane : Donc, tout d’abord, le questionnaire passe généralement par tous les seaux. Ce sont presque toujours les mêmes. Cela va de la prévention, à la détection, à un moment donné, à la réponse aux incidents et tout le reste.
Les questions vont être très pointues pour savoir si vous avez un antivirus, si vous avez des appareils ou des serveurs que vous n’utilisez pas, utilisez-vous un antivirus par rapport à la détection et à la réponse des points finaux (EDR) ? Ensuite, il y aura de la prévention, et il y aura des trucs liés à l’utilisateur, comme, est-ce que tout le monde est un super utilisateur ? Ce ne sera pas ça, mais vous voyez l’idée. Appliquez-vous l’authentification multifacteur ? Tout ce qui concerne l’autorisation, les utilisateurs, les privilèges, sera un seau.
Ensuite, il y a le compartiment de reprise après sinistre, qui est intégré dans un élément plus large de type réponse aux incidents. Nous demanderons des choses comme :
- Avez-vous un plan de réponse aux incidents ?
- Est-ce un document ?
- Le plan de sécurité est-il coordonné avec le plan de secours ou de reprise après sinistre ?
- Ce runbook de reprise après sinistre est-il documenté ?
- A-t-il été testé ?
- Est ce bien?
- Les copies sont-elles hors site ? Ou sont-ils sur le même réseau ?
Cris : Je dirais qu’une exigence de base dans notre espace, qui est cohérente sur ces questionnaires, est la copie des données. À quelle fréquence est-il compensé ? C’est la principale question clé. C’est peut-être un peu daté, mais c’est toujours une question clé. Ce que je dirais, c’est que c’est un espace qui évolue très rapidement, parce que les paiements et les complexités et les attaquants font de nouvelles choses.
Ainsi, ce que nous pensions être la bonne question il y a un an devient maintenant une question plus complexe. Chaque mois, les assurances doivent payer cela maintenant, et encore une fois, soudainement, elles réalisent que le profil de risque n’est pas le même que nous le pensions, et nous avons besoin d’une meilleure gestion du risque. Les questionnaires deviennent de plus en plus sérieux au fur et à mesure. Donc, en ce qui concerne nos clients, la façon dont nous répondons aux exigences, en termes de ce que recherchent les cyber-assureurs, notre architecture et notre niveau d’approche de la sécurité, correspond vraiment très bien à ce qu’ils recherchent.
Stéphane : Si vous n’avez pas d’authentification multifactorielle, cela posera un problème, car toute personne qui récolte et trouve les bonnes informations d’identification peut prétendre être vous, et c’est alors un problème. Le patching est un gros seau. Parce que lorsqu’il y a des systèmes non corrigés, vous allez avoir des trucs de mouvement latéral. Ensuite, vérifiez si vous avez essayé la récupération une fois. Ce sont les gros seaux.
En savoir plus sur la sauvegarde et la reprise après sinistre
L’importance de la reprise après sinistre et de la sauvegarde dans votre stratégie de cybersécurité – Une solide solution de reprise après sinistre en tant que service (DRaaS) peut faire la différence entre le succès et l’échec lorsqu’il s’agit de protéger les données
Quatre conseils pour accroître l’adhésion de la direction à la reprise après sinistre – Dante Orsini, directeur de la stratégie chez iland dans le cadre de 11:11 Systems, propose quatre conseils pour accroître l’adhésion de la direction à la reprise après sinistre
Journée mondiale de la sauvegarde 2023 : comment les entreprises peuvent atténuer une catastrophe de données – Lors de la Journée mondiale de la sauvegarde, nous explorons comment les organisations peuvent optimiser leurs stratégies de sauvegarde et de restauration, pour se protéger correctement contre la perte de données