Coffre-fort

Sauvegarde, Remédiation, Intégrité, Malware

La sauvegarde aujourd’hui est un art à part entière qui mobilise des équipes entières et plusieurs dizaines voire centaines de copies pour essayer de garantir l’intégrité des données.

La présence de toutes ces versions de sauvegardes des données n’est pas un hasard mais véritablement une stratégie. Traverser les mesures de protections crées par le matériel installé et les logiciels utilisés n’est qu’une question de temps. Détecter ensuite l’attaque prend énormément de temps et de ressources.

La question n’est pas de savoir si l’on se fait attaquer mais quand. Toute cette stratégie de sauvegarde est alors uniquement une contremesure pour garantir un retour à la normal le plus rapide possible. Avoir plusieurs versions permet de comparer et alors d’identifier un nouveau point de départ d'où reprendre le travail rapidement.

Comme déjà présenté dans la page Cyber assurance, l’ANSI propose une méthodologie de remédiation en cas d’incident appelé I3R. Dans cette méthodologie, elle parle de restauration des sauvegardes en cas d’incident pour l’étape d’endiguement. Ici on essaye de supprimer purement et simplement toutes les copies des virus ou autres malwares qui se trouveraient dans les données. Être capable de supprimer toutes les copies veut dire que l’on connait avec certitude quand est arrivée l’attaque en analysant les données actuelles et en retraçant la plus vielle occurrence du logiciel.

Etapes simplifiées de remédiations

Détection de l’attaque

Etapes d’endiguement initiale pour identifier l’attaque et son origine :

1. Blocage des accès externes en déconnectant internet si possible.

2. Isolation des terminaisons dit infectés ou compromises.

3. Réalisation d’une sauvegarde d’urgence.

4. Segmentation du réseau pour définir un bastion d'où mener l’éradication et le retour à la normal.

Contre-mesures

Etapes d’éradication avec un bac à sable d’analyse et de détection.

1. Identifier la menace initiale et détermination d’une méthode automatique d’éradication.

2. Déterminer la sauvegarde saine pour entreprendre un retour à la normal et la reconstruction.

3. Mise en place des contre-mesures en modifiant les mots de passes, les configurations réseaux et nettoyages des postes infectés.

Reconstruction et retour à la normal

Une fois l’ensemble des étapes réalisées, on revient à la normal techniquement. Il ne reste plus qu’à s’assurer à l’avenir que l’attaque ne se reproduise plus et à remédier aux préjudices moraux et financiers.

Sauvegardes et coffre-fort

Pour être en mesure de déterminer si la sauvegarde la plus récente possible est saine, ce n’est pas une tâche facile. Elle requière une expertise sur de nombreux domaines et une capacité d’évaluation des risques par rapport aux types d’attaques que seuls les grands groupes peuvent se payer. C’est pourquoi la sélection de la sauvegarde se fait avec la date des premières traces d’attaques. Mais alors, on peut remonter très loin dans les sauvegardes et ainsi perdre énormément de données et de temps.

C’est pourquoi le coffre-fort virtuel est très important si l’on souhaite un retour à la normal le plus rapide possible. C’est un système qui va sauvegarder un premier stockage dans un second espace en vérifiant son intégrité.

L’intégrité des données est la cohérence et l’exactitude des fichiers informatiques. La garantie de l’intégrité est alors le fait de pouvoir assurer que vos données ne seront pas modifiées ou altérées par une personne extérieure. La garantie de l’intégrité est le plus haut niveau de protection possible.

Cette analyse est réalisée par un système appelé « bac à sable » qui va vérifier à l’aide d’une sélection d’antivirus toutes les données pour les copier du stockage d’origine vers le coffre-fort.

Fonctionnement de
CloudHarbor

Vos données sont enregistrées vers votre stockage souverain. Vous les utilisez tous les jours.

Plusieurs fois par jours, notre système de vérification va analyser vos données pour assurer leur intégrité. Une fois garantie, elles seront copié dans votre coffre fort virtuel.

Vos données sont systématiquement vérifiées, d’abord avec une combinaison d’antivirus performants pour identifier rapidement les menaces connues. Puis avec un système d’analyse morphologique pour détecter les attaques inconnues. Cette analyse permet également de générer un rapport de remédiation MITRE en cas d’attaques.

En partenariat avec Marsh, n°1 mondial dans le courtage d’assurance, CLOUD HARBOR est un service dédié aux entreprises pour assurer un haut niveau de protection.