Introduction
Dans le premier volet de cette série de 2 articles, nous avons expliqué pourquoi les sauvegardes sont devenues une cible pour les cyber-attaquants et donc de l’intérêt de les sécuriser.
Dans ce deuxième opus, nous allons nous intéresser à la notion de « rétention des sauvegardes » et donc de la durée pendant laquelle elles doivent être conservées. Mais avant d’aller plus loin une petite définition s’impose : qu’est ce que la duré de rétention d’une sauvegarde ?
En quelques mots, c’est la période de temps pendant laquelle vous allez devoir conserver et maintenir intègre les données de la sauvegarde
Pourquoi est-ce si important ? On vous explique …
Rétention des sauvegardes
Si un pirate est parvenu a chiffrer les données de votre système d’information, c’est que, d’une manière ou d’une autre, il est parvenu à « entrer » dans votre système informatique. Il est alors possible (et même fort probable) qu’entre le moment où le pirate a obtenu l’accès au système et le moment où l’attaque est menée, il se soit passé un certain temps … Ce temps peut être assez long : des jours, des semaines voire des mois.
Le jour de l’attaque, en tant que responsable informatique avertit, vous vous dites que vous allez tout restaurer depuis votre sauvegarde de la veille et le tour sera joué !!! Oui, mais si vous restaurez le système avec la sauvegarde de la veille du jour du chiffrement, il y a fort à parier que dans la restauration des systèmes que vous allez utiliser l’attaquant ait déjà effectué les modifications qui lui assurent l’accès à votre système d’information. Il lui sera alors très facile chiffrer, à nouveau, toutes vos données.
D’où l’importance de garder les sauvegardes …. un certain temps …. afin de pouvoir faire une restauration des systèmes à une date pour laquelle vous êtes sûr que l’attaquant n’a pas déjà fait des dégâts.
Quelle durée de rétention choisir ?
Se posent alors quelques questions :
- Quelle doit être la durée de rétention ?
- Comment savoir à quelle date a eu lieu le premier accès par le pirate ? En conséquence, quelle est la date de sauvegarde à partir de laquelle restaurer mon système ?
- Comment faire pour restaurer les données les plus récentes (juste avant le chiffrement) ?
Il n’est pas simple de répondre à ces questions de manière générale. Il faudra toute l’expertise de votre service informatique ou d’un prestataire informatique pour y répondre, mais dans les cas assez classiques, je conseille habituellement une rétention minimale de 6 mois. Cette durée sera bien sûr à adapter en fonction du contexte, de la volumétrie des données à sauvegarder, des capacité de stockage, etc …
Dans tous les cas, vous serez mieux armés pour y répondre si une réflexion, en amont, a été effectuée sur cette problématique et si un plan d’action a été élaboré.
De la règle du « 3-2-1 » …
En terme de sauvegarde, on parle souvent de la règle « 3-2-1 » ce qui veut dire :
- 3 copies des données
- sur 2 supports différents
- dont 1 copie en dehors du site
Nous vous recommandons la lecture de l’article « Sauvegarde : qu’est que la règle du 3-2-1 » sur le site d’IT CONNECT si vous n’êtes pas familier avec cette notion.
… vers celle du « 3-2-1-1-0 »
De fait, le respect de la règle du « 3-2-1 » est un début, mais cette règle, qui existe maintenant depuis 20 ans, doit s’adapter aux nouvelles menaces qui, on l’a vu, ciblent délibérément les systèmes de sauvegarde. Si vos trois copies de données tombent entre les mains du cybercriminel, vous ne pourrez pas retrouver vos données. Voila pourquoi la règle « 3-2-1-1-0 » s’avère être, selon certains éditeurs, la voie à suivre aujourd’hui :
- au moins 3 copies des données
- sur au moins 2 supports différents
- dont 1 copie en dehors du site
- + 1 copie hors ligne ou sur un support dit « immuable »
- + 0 erreurs après le vérification de la sauvegarde et du test de récupération
Quelques explications sur ces 2 derniers items :
+ 1 copie hors ligne ou sur un support immuable : cela signifie que les données doivent être stockées sur un support amovible complètement déconnecté du système d’information une fois la sauvegarde écrite. Ou bien sur un système de stockage qui assure que les données ne peuvent pas être modifiées, altérées ou supprimées une fois qu’elles ont été enregistrées, jusqu’à expiration de leur date de validité.
+ 0 Erreur lors du test de la sauvegarde et de la récupération : les sauvegardes ne sont valables que si elles sont vérifiées. Tout d’abord, les sauvegardes doivent être surveillées quotidiennement et s’il y a des erreurs, corrigez-les au plus vite. Puis, à intervalles récurrents, vous devez effectuer des tests de restauration : restaurez vos données à partir des sauvegardes puis vérifiez sur un environnement de test que tout fonctionne correctement et que les données les plus récentes sont bien accessibles.
Le mot de la fin …
Les sauvegardes sont indispensables. Mais concevoir et organiser un système de sauvegarde cohérent avec votre activité nécessite une réflexion globale prenant en compte différentes contraintes. C’est pourquoi il convient réviser la manière de sauvegarder de vos données et surtout, de tester vos sauvegarde de manière régulière …
Article 100% « ChatGPT free »