La crise sanitaire a mis à rude épreuve les Plans de Continuité d’Activité des entreprises. Et alors que les entreprises ont fait massivement appel au télétravail pour se maintenir à flot, les attaques informatiques se sont multipliées, renforçant le rôle des sauvegardes en tant que dernier rempart.
Les décisions successives des gouvernements de confiner leurs populations ont poussé les entreprises à activer les plans de continuité souvent conçus pour parer à des événements bien plus limités comme un incendie, une grève des transports ou une crue décennale, mais rarement pour faire face à une pandémie mondiale de l’ampleur du Coronavirus. Les PCA tels qu’ils ont été mis en œuvre par les entreprises ont fait la part belle aux solutions Cloud, qu’il s’agisse d’applications collaboratives, mais aussi aux moyens de stockage et de sauvegarde « As-a-Service ».
Benoit Vraie, coauteur du guide sur les PCA pour l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise), souligne : « Dans les années 70, stocker de gros volumes de données à plusieurs centaines de km était une problématique ». « Aujourd’hui, avec l’avènement du Cloud, ces coûts ont fortement diminué et d’autres usages sont apparus, comme la voix sur IP. Aujourd’hui, un PCA se doit d’intégrer cette dimension numérique. Comme tout dispositif de gestion des risques, il doit être vivant, monitoré, testé chaque année et doit évoluer en intégrant les nouveaux outils. Souvent dans le Cloud, l’indisponibilité de ces nouveaux outils doit également être appréhendée et scénarisée. »
« La première chose qu’attaque un ransomware aujourd’hui, ce sont les sauvegardes. »
Gabriel Ferreira, Pure Storage France
Le télétravail, un facteur aggravant de risque ?
L’expert souligne néanmoins que ce recours au Cloud expose les entreprises à d’autres risques, notamment de cyberattaque. Les attaquants l’ont bien compris et ont multiplié les attaques pendant cette crise pour paralyser l’activité des entreprises et exiger une rançon. Dans ce cadre, la sauvegarde est devenue le dernier filet de sécurité, lorsque toutes les solutions de protection ont échoué et qu’il faut rebâtir le système d’information après une attaque. En cas de ransomware, après avoir éradiqué l’attaque elle-même, le PCA repose sur la fiabilité des sauvegardes qui vont permettre de reconstituer le système d’information dans l’état où il se trouvait avant le raid.
Une méthode de remédiation bien connue des attaquants dont le premier souci est de détruire ces sauvegardes ainsi que le souligne Gabriel Ferreira, directeur technique de Pure Storage France : « Les ransomwares attaquent désormais en priorité les sauvegardes afin de mettre à mal l’entreprise et la contraindre à payer la rançon. Quand un malware s’introduit dans les systèmes, celui-ci cartographie le système d’information afin de repérer les systèmes de sauvegarde et en chiffrer les contenus, il repère ensuite les serveurs Active Directory pour que l’équipe IT ait des difficultés à se connecter sur les systèmes puis le ransomware s’attaque aux postes de travail et aux serveurs en fin de chaîne. »
Ce risque est d’autant plus élevé lorsque les entreprises sont contraintes par les événements et doivent laisser des collaborateurs accéder au système d’information de l’entreprise via un VPN au moyen de postes domestiques peu sécurisés, explique Luc d’Urso, CEO de l’éditeur spécialisé en solutions de sauvegarde Atempo : « Le recours massif au télétravail est un facteur de risque à plusieurs niveaux. D’une part, les collaborateurs sont amenés à utiliser leur ordinateur personnel pour se connecter. Ce sont des machines parfois peu utilisées avec des logiciels qui ne sont pas à jour en termes de patch de sécurité. Un deuxième facteur, c’est le mode de connexion ; Les données peuvent être captées lors de l’échange. Le logiciel de sauvegarde doit chiffrer la donnée pour que celles-ci ne puissent être exploitées. Enfin, la solution de sauvegarde doit être suffisamment simple à utiliser pour que l’utilisateur puisse restaurer son poste de manière autonome. »
Vers une nécessaire rénovation des infrastructures de sauvegarde ?
Si la sauvegarde était souvent négligée par des entreprises davantage tournées vers la recherche de compétitivité et l’innovation, la crise sanitaire pourrait bien remettre les performances des infrastructures de sauvegarde en haut de la pile des problématiques à traiter par la DSI. Pure Storage milite ainsi pour des infrastructures de sauvegarde « Full-Flash » beaucoup plus performantes que les architectures à base de disques mécaniques ou de bandes magnétiques : « Les systèmes de sauvegarde en place privilégient souvent la phase de sauvegarde à la restauration elle-même. Les disques magnétiques sont très limités lorsqu’il s’agit de délivrer des accès concurrentiels et récupérer rapidement les données. » Les infrastructures full-flash trainent toujours l’image de solutions de stockage trop onéreuses pour les dédier aux sauvegardes. « Les mémoires flash ont fait des progrès considérables et en moins de 10 ans, le coût du Gigaoctet a été divisé par 40 ». réplique Gabriel Ferreira. « Pure Storage est actuellement l’un des seuls fournisseurs à mettre en avant la technologie QLC (Quad-Level Cell), des mémoires certes plus lentes que les anciennes générations de mémoire flash, mais très capacitives, bien adaptées à un usage massivement parallèle, peu énergivores et très durables. »
Quant à la crainte que ces équipements de stockage haute performance soit eux aussi attaqués par le ransomware, Luc d’Urso souligne observer un renouveau de la bande magnétique, un moyen plutôt « old school » mais qui permet de disposer de moyens de sauvegarde importants et inaccessibles des ransomwares. « La seule parade trouvée par bon nombre d’entreprises est de conserver leurs données hors du réseau. » Face à cette problématique de sécurité absolument critique dans le choix d’une solution de sauvegarde, Pure Store implémente la technique des snapshots “SafeMode”, une approche qui rend les données sauvegardées immuables et potentiellement inaccessibles aux ransomwares. Enfin, tout système de sauvegarde moderne doit pouvoir envoyer des copies de ses snapshots en dehors du système d’information, notamment dans le Cloud pour pallier toute déconvenue.
AVIS D’EXPERT
François Beaume,
VP de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise), en charge des risques numériques et directeur risques et assurances de Sonepar
« Les PCA ont aujourd’hui intégré un mode de fonctionnement très distribué qui s’appuie massivement sur le télétravail.»
« La plupart des entreprises, hormis dans certains secteurs d’activité (opérateur d’importance vitale, industrie lourde, etc.), ont de moins en moins de besoins de salles de secours disponibles sous 12 à 24h. Beaucoup d’entreprises peuvent en effet miser sur le Cloud et le télétravail pour maintenir un certain niveau d’activité, notamment comme aujourd’hui face au risque d’une pandémie. Celles-ci doivent être sensibilisées sur les risques liés au travail à distance.
Les PCA actuels ne seront pas totalement chamboulés suite à cette crise mais ils évolueront forcement pour tenir compte des retours d’expérience de cette crise. Pour une entreprise, l’analyse doit se faire pays par pays en fonction des modalités locales de sortie de crise, puis de manière plus globale pour faire évoluer le PCA. »
