Découvrez l'importance de la sécurité informatique
Les sauvegardes sont des données sensibles et confidentielles. Elles jouent un rôle majeur dans la pérennité d’une entreprise en cas de désastre ou d’attaque virale.
Les données des comptes rendus d’hygiène pour la production de Coffecao sont des données qui doivent être légalement conservées, et sont critiques pour le bon fonctionnement de l’entreprise. Et ce ne sont pas les seules, vous vous en doutez. Légalement, toute entreprise a obligation légale de conserver certaines données pendant plusieurs années.
Il va donc falloir, dans votre audit et vos recommandations, que vous preniez en compte la notion de sécurité des sauvegardes.
Je n’ai pas juste à mettre un mot de passe fort sur les serveurs ?
Alors ça serait déjà un bon début, oui, mais ce n’est pas du tout suffisant. Ne limitez pas votre vision de la sauvegarde uniquement à la donnée informatique en elle-même, mais prenez en compte tout “l’écosystème” de la donnée.
Voici par exemple quelques éléments à sécuriser :
Les accès physiques et distants :
aux serveurs et systèmes de stockage. Une salle serveur ouverte à tout le monde ne devrait pas exister ;
aux outils. Pas d’accès aux scripts de sauvegarde, ou de compte générique pour Veeam ;
aux fichiers de sauvegardes. Les données sauvegardées doivent rester intègres, et non accessibles sauf par l’outil de restauration.
Les droits des administrateurs et techniciens :
Seules les personnes intervenant directement sur les outils doivent y accéder. Donc pas de compte pour l’administrateur systèmes et réseaux s’il n’est pas voué à intervenir sur les sauvegardes.
Désactiver immédiatement les accès des collaborateurs quittant l’entreprise. N’attendez pas le lendemain. La procrastination est un des ennemis de la sécurité !
Les externalisations des sauvegardes. Vous n’aurez pas accès à la salle serveur d’AWS pour aller vérifier que tout est sécurisé, certes, mais vous aurez en charge de vérifier que les accès distants le sont correctement. Et s’assurer que le prestataire est fiable, bien entendu.
Comprenez l'intérêt du chiffrement
Vous ne le savez peut-être pas encore, mais en termes de sécurité informatique, il faut toujours avoir en tête que se contenter du minimum, c’est prendre le risque d’aller dans le mur. Donc mettre en place un mot de passe complexe au serveur de stockage des sauvegardes, c’est bien, mais ce n'est pas suffisant.
Les fichiers de sauvegarde de Coffecao contiennent l’intégralité de ses données critiques :
comptes administrateurs et utilisateurs ;
boîtes mail ;
logiciels métiers : comptabilité, facturation, savoir-faire de l’entreprise, production, réglages des machines de l’usine ;
partages de fichiers ;
etc.
Imaginez qu’une personne mal intentionnée vienne voler les sauvegardes ! Elle commence par restaurer les données sur un autre stockage, et tombe en cherchant un peu sur la recette de LA tablette de chocolat au caramel au beurre salé qui a fait toute votre renommée. Ce serait très problématique pour l’entreprise si la recette était volée.
Eh bien maintenant, imaginez que même si vol de données il y a, rien ne sera exploitable ! Est-ce que vous vous sentez rassuré ?
Ce cas de figure est tout à fait possible grâce au chiffrement des données de sauvegarde.
Comment et où je vais pouvoir appliquer un chiffrement ?
Vous allez pouvoir jouer sur 3 leviers :
Un chiffrement au niveau de la donnée de la sauvegarde (Data-at-rest encryption) : Par défaut, la donnée n’est pas chiffrée. Si vous mettez un chiffrement au niveau de la donnée, elle ne pourra pas être lue en cas de vol.
Un chiffrement au niveau du trafic réseau (Data In transit encryption) : Les données transférées (par exemple du serveur source au serveur de stockage de la sauvegarde) ne doivent pas passer en clair sur le réseau, pour éviter des risques en cas d’attaque de type MITM (Man In The Middle), où un attaquant serait en écoute sur le réseau et pourrait récupérer des parquets de données.
Un chiffrement au niveau du support stockage (Data Level Encryption) : Là encore, si jamais un attaquant arrive par un moyen ou un autre à accéder physiquement aux disques et à les voler, il se retrouvera devant un disque inutilisable, car chiffré au niveau de la partition. Ou au niveau de la bande dans le cas des LTO.
Et vous savez ce qui est bien ? C’est que ces 3 axes de chiffrement peuvent être combinés ! D’ailleurs, je vous conseille d'appliquer les 3 en même temps si possible.
Si vous utilisez une solution basée sur un script, vous devrez implémenter le chiffrement des données avant le transfert. Pour avoir un transfert sécurisé (chiffrage SSL ou TLS), là encore des outils existent ou le gèrent nativement, comme rsync.
Pour l’implémentation du chiffrement du support, il y a plusieurs possibilités. Les stockages comme les LTO possèdent un système de chiffrement intégré. Il y a aussi la possibilité de chiffrer directement la partition qui va accueillir les données, avec des outils internes aux serveurs de stockage.
Quelle que soit la méthode utilisée, vous devez sauvegarder aussi la clé de chiffrement, de préférence sur d’autres supports et d’autres outils que le reste.
Elle ne doit être accessible que par les personnes concernées. En effet, elle permet au possesseur d’accéder à vos sauvegardes et à leur contenu !
Pour finir, la clé est essentielle, mais il faut aussi connaître l’algorithme utilisé lors du chiffrement et l’appliquer lors du déchiffrement, ce qui complique encore plus la tâche d’un attaquant.
Distinguez le plan de continuité du plan de reprise d’activité
PCA : Plan de Continuité d’Activité
Pour présenter brièvement le PCA, nous pourrions dire qu’il va représenter l’ensemble des mesures visant à assurer le maintien des prestations de service ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise, puis la reprise planifiée des activités.
L’essentiel de ce qui est nécessaire pour la compréhension est là, mais nous allons voir pour creuser un peu tout de même.
Le PCA va s’appliquer en cas de sinistre ou d’incident majeur, et va avoir comme objectif un retour au plus vite à une situation normale ou dégradée, mais permettant à l’entreprise de ne pas subir de préjudices.
Vous vous doutez bien que cet objectif devra être le plus réduit possible.
Voici quelques leviers que vous pouvez regarder pour assurer votre PCA, et que vous pouvez aussi retrouver sur le guide du ministère de l’Économie :
Analysez votre architecture systèmes et réseaux, et regardez quelles sont les zones sensibles.
Assurez-vous que les équipements critiques sont bien redondés.
Bannissez les points de défaillance unique (single point of failure, ou SPOF).
Mettez en place le spanning tree sur votre réseau pour augmenter la tolérance à la panne.
Constituez, formez et préparez les différentes parties prenantes qui seront les acteurs de votre plan de continuité (équipe technique, direction, responsables applicatifs…).
Automatisez un maximum ce qui peut l’être !
PRA : Plan de Reprise d’Activité
Le plan de reprise d’activité va intervenir en cas d’arrêt total d’un ou plusieurs systèmes.
Voici quelques cas de figure de déclenchement du PRA :
L’arrêt total d’une salle serveur ou d’un site, lié à un problème électrique.
Une attaque externe, que ce soit par ransomware, hack ou autre.
C’est dans ces cas de figure que la sauvegarde va avoir toute son importance.
Une sauvegarde correctement préparée aura été testée régulièrement. Le temps de restauration est connu et sa fiabilité aussi.
Il sera possible de redéployer les données perdues ou vérolées sur un autre environnement qui pourra venir en place de celui posant un problème.
Tout comme pour le PCA, le plan de reprise d’activité va contenir des informations comme :
Le point de retour à l’objectif et l’objectif de délai de restauration (RPO et RTO), qui forment les objectifs de reprise.
L’inventaire des ressources critiques. Une société qui perd sa salle serveur avec à l’intérieur son routeur principal l’aura préalablement défini dans les ressources critiques.
La politique de sauvegarde, et le plan de sauvegarde associé.
Un éventuel site de reprise. Par exemple, en cas d’incendie d’un datacenter, avoir déjà identifié, voire réservé, les serveurs nécessaires au fonctionnement de l’entreprise dans un autre site est un atout considérable.
Le calendrier des tests de sauvegardes et de leur restauration.
La documentation des éléments critiques.
Cette liste n’est pas exhaustive et peut être complétée par d’autres éléments. Vous pouvez par exemple imaginer des calendriers de “répétitions générales” en cas d’attaque par ransomware.
Le PRA a aussi pour fonction d’ordonnancer la remise en fonction de l’infrastructure. Tous les systèmes ne doivent pas être restaurés et redémarrés en même temps, il faut donc avoir un chemin logique défini.
Les objectifs de reprise
Dans le monde de l’infrastructure informatique et de la sauvegarde, faire un plan, c'est se préparer à la panne (matérielle ou logicielle) et aux catastrophes : coupure électrique, feu en salle serveur, attaque informatique massive d’un site…
Le plan de reprise d’activité est composé, entre autres, des objectifs de reprise. Ces objectifs de reprise sont définis par les éléments suivants :
Le Recovery Point Objective (RPO) et le Recovery Time Objective (RTO)
Le point de retour à l’objectif (RPO). Il définit la quantité de données perdues avant de considérer qu’il y a un préjudice. En d’autres termes : quelle est la quantité de données que l’entreprise peut perdre ? Si on considère que plusieurs heures sont envisageables, il est cohérent de fixer les sauvegardes tous les jours. Mais si le RPO était d’une heure par exemple, il faudrait un lancement de sauvegarde toutes les heures.
Dans le cas de Coffecao, on peut considérer que le point de retour se situe à 24 h, les productions étant quotidiennes.
L’objectif de délai de restauration (RTO) va définir le délai maximum qu’il faudra à l’entreprise pour récupérer un système opérationnel, et détermine aussi combien de temps l’entreprise peut se permettre de ne plus être dans un état opérationnel avant qu’il y ait préjudice.
Dans le cas de Coffecao, il serait bien qu’il n’y ait pas de durée d’indisponibilité de plus de 3 jours. En effet, il s’agit d’une entreprise semi-industrielle, avec des produits périssables, mais qui peuvent être stockés tout de même sans trop de risques, et n’ayant pas de grosse contrainte de stock à fournir.
Passons à présent aux recommandations que les deux acteurs majeurs de la sécurité de l’information en France peuvent proposer.
Appliquez les recommandations de l’ANSSI et de la CNIL
Vous avez quasiment terminé votre audit chez Coffecao, félicitations.
Vous allez pouvoir passer à la rédaction de vos recommandations. Et quoi de mieux pour parler des recommandations en sécurité que de se baser sur l’organisme français spécialisé dans la sécurité des SI, j’ai nommé l’ANSSI.
L’ANSSI a pour mission, en plus de gérer la sécurité des SI des divers organismes de l'État, de conseiller et contribuer à la sécurité des entreprises et de la société en fournissant des guides à destination aussi bien des chefs d’entreprise que des administrateurs systèmes.
En matière de sauvegarde, l’ANSSI a aussi produit un guide sur la sauvegarde des systèmes d’information.
Dans ce document, vous pourrez trouver une liste de recommandations applicables chez Coffecao, et reprenant des éléments que vous avez pu voir précédemment, mais aussi d’autres comme :
Les flux de sauvegarde doivent être filtrés strictement au moyen d’un pare-feu interne.
Les flux de sauvegarde doivent transiter au sein d’un sous-réseau logique dédié.
L’ensemble des composants de l’infrastructure de sauvegarde doit être mis à jour de manière proactive (logiciel de sauvegarde, micrologiciels, etc.). Il est recommandé de suivre les CVE et les bulletins d’alertes fournis par l’éditeur de la solution.
L’ANSSI fournit aussi un document plus court et synthétique appelé “Les règles d’or de la sauvegarde”.
Vous pouvez partager ce document avec Gwenaelle, la technicienne informatique de Coffecao, pour qu’elle ait toujours en tête les bonnes pratiques à appliquer sur les sauvegardes de son SI.
Un autre acteur en matière de sécurité, et qui peut vous donner d’autres bonnes pratiques à mettre en place, est la CNIL (Commission nationale de l’informatique et des libertés).
Vous pourrez retrouver sur cette page un bon résumé de tout ce que vous avez pu lire jusqu'à présent.
À vous de jouer
Contexte
Votre DSI et vous arrivez sur la fin de la refonte de votre politique de sauvegarde.
Il vous reste un dernier point à ajouter pour la compléter et la fiabiliser : réfléchir à l’amélioration de la sécurité.
Fort heureusement, des ressources existent dans le domaine de la sécurité, dont 2 organismes de ressources clés en France : l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, et la CNIL, la Commission nationale de l’informatique et des libertés.
Consignes
En vous basant sur les éléments clés de l’ANSSI et/ou de la CNIL, proposez des bonnes pratiques de sécurité à intégrer à votre politique de sauvegarde.
En résumé
Pour protéger vos sauvegardes, vous devriez chiffrer :
le fichier de sauvegarde ;
le trafic réseau ;
le support de stockage.
Le RTO (Recovery Time Objective) et le RPO (Recovery Point Objective) forment les objectifs de reprise de l’activité.
Le plan de continuité d’activité (PCA) est là pour permettre le maintien de l’activité d’une entreprise en cas d’incident majeur.
Le plan de reprise d’activité (PRA) représente la stratégie pour permettre la reprise de l’activité le plus rapidement possible avec les pertes les plus réduites.
L’ANSSI et la CNIL fournissent des guidelines particulièrement intéressantes pour avoir une bonne base de sauvegardes sécurisées.
Vous connaissez désormais le rôle d’une politique de sauvegarde, comment elle est conçue et son rôle dans le plan de reprise d’activité. Je vous propose maintenant d’apprendre à mettre en œuvre votre stratégie de sauvegarde !
