Le point sur les mesures de Cyberprotection
Parole d'Expert de Steve José Lourenço
Publié le Mercredi 22 Février 2023
Le point sur les mesures de Cyberprotection
L’importance de l’antivirus, d’un PRA et de la sauvegarde immuable
Une menace toujours aussi présente
La Cyberprotection est devenue en quelques années une des priorités de toute DSI, voire même de la Direction Générale. Ces dernières doivent en effet faire face à une menace omniprésente exploitant toute vulnérabilité exposée.
De nombreuses entreprises et organismes d’Etat ont subi des attaques parfois très médiatisées. Certaines ont eu de lourdes conséquences : indisponibilité prolongée, chiffrage, vol et fuite de données, perte d’activité, perturbations sévères du service assuré, demande de rançon pour récupérer les données, etc.
Le constat sur le terrain est pourtant unanime : l’adoption de mesures de protection adéquates est trop poussive. Les raisons peuvent varier :
- Manque de budget ;
- Priorité donnée à d’autres projets ;
- Confusion face à une offre du marché pas toujours lisible ;
- Etc.
C’est une bonne occasion pour faire le tour du sujet avec Steve José Lourenço, Architecte Cloud dans les équipes d’Ingénierie de ITS Integra. C’est l’occasion pour lui de nous présenter plus en détail un nouveau service qui vient enrichir le portefeuille de solutions Security as a Service (SECaaS) : la sauvegarde immuable. Notre expert nous donne son avis sur le sujet.
L’antivirus, c’est bien mais…
C’est un argument que nous entendons souvent : « Nous avons un antivirus à jour ! Tout va bien ! ». Or, s’il est effectivement important de généraliser les antivirus pour les postes utilisateurs, voire pour les serveurs les plus exposés, cela ne peut en aucun cas constituer une protection suffisante.
En effet, les attaquants mettent au point de nouveaux virus indétectables. Ces derniers feront d’importants dégâts jusqu’à la mise à jour des indicateurs de compromission (IoC) ; les fameuses vulnérabilités « Zero Day ». Chez ITS Integra, nous orientons nos clients vers des solutions EDR (Endpoint Detection and Response), qui permettent de détecter un comportement anormal et d’alerter en fonction. Encore faut-il savoir traiter ces centaines ou milliers d’alertes générées par cette solution de cyberprotection !
ITS Integra a lancé SOC Trust en 2022. Cette solution de SOC managé repose sur deux piliers essentiels :
- L’Intelligence Artificielle pour ne faire remonter que les alertes pertinentes ;
- L’Expertise de l’équipe Cybersécurité pour traiter ces alertes comme il se doit.
Trop souvent nous voyons des clients ayant investi sur un SIEM uniquement et qui se retrouvent face à une montagne ingérable d’alertes dont de nombreux faux positifs.
Le PRA, c’est obligatoire
Je constate une très bonne évolution des mentalités vis-à-vis de la mise en place d’un Plan de Reprise d’Activité. C’est pratiquement devenu un standard, alors que cette « assurance » était régulièrement écartée il y a quelques années encore, principalement pour des raisons de budget. Aussi, la compréhension des services consommés dans le Cloud public est bien meilleure qu’auparavant.
Le Cloud public n’est plus une sorte de nébuleuse où « par magie », les données sont copiées et répliquées dans tous les sens. Si vous voulez de la résilience, ainsi que la possibilité d’une reprise d’activité, il faut souscrire aux services correspondants.
La reprise, mais avec quelles données ?
Suite à une attaque ransomware, de nombreuses entreprises ont bien compris que le versement de la rançon ne garantissait pas la récupération des données. C’est pour cette raison, que nombre d’entre elles choisissent de reconstruire leur SI en partant des dernières sauvegardes, malgré le risque de pertes de données.
C’est pour cette raison que les attaquants tentent de plus en plus souvent d’infiltrer les systèmes de sauvegarde. Ainsi, les organisations attaquées ne peuvent pas repartir sur des jeux de données sains. La sauvegarde est donc chiffrée ou vérolée et la situation devient plus dramatique !
Pour éviter cela, nous suivons les recommandations de l’ANSSI dans le recours à la stratégie de sauvegarde « 3-2-1-1 » :
- 3 copies de données ;
- sur 2 supports différents ;
- dont 1 doit être conservée hors site ;
- et 1 hors ligne.
Ainsi, nous retrouvons la notion de sauvegarde immuable (hors ligne) qui sous-entend le principe d’impossibilité de modification, de suppression ou encore de chiffrement. Il s’agit de la copie des sauvegardes sur laquelle il faut repartir après une attaque, puisqu’elle garantit des données non-vérolées.
La sauvegarde immuable par ITS Integra
Nous avons choisi de déployer ce service en faisant appel à une solution de stockage objet disponible à la demande chez OVHcloud. Ce service est simple à mettre en place, très performant et avec un coût réellement compétitif.
OVHcloud propose des prix de stockage intéressants et ne facture pas en sus les coûts de transfert réseau entrant (« ingress fees ») ou sortant (« egress fees ») contrairement aux grands hyperscalers. Il s’agit d’une composante non-négligeable de la structure des coûts. De nombreux clients peuvent attester de mauvaises surprises à la réception des factures.
OVHcloud, en tant qu’avocat et leader de la filière du Cloud de confiance (Cloud souverain français et européen), nous paraissait le partenaire idéal. Ainsi, nos clients ont la garantie que leurs données restent localisées en France. La certification d’Hébergeur de Données de Santé (HDS) de OVHcloud nous permet de garantir le respect de la norme de bout en bout pour nos clients Santé. La copie est bien évidemment chiffrée et les données sont donc inaccessibles pour l’opérateur.
La rétention des données se fait sur 7 jours avec des incrémentales quotidienne pendant 6 jours et une « full synthetic » le 7ème jour. Nous avons choisi une durée de rétention courte pour optimiser les prix pratiqués et pour coller à la réalité opérationnelle. S’il y a décision de restaurer les données en partant de cette copie, il n’y a pas d’intérêt de remonter à plusieurs semaines.
Nous savons que nos clients hébergés attendent ce service avec impatience et je suis très heureux de pouvoir favorablement répondre à cette demande de cyberprotection dès aujourd’hui. Le risque zéro n’existe pas, certes, mais le réduire au maximum est à la portée de tous.
Découvrez notre accompagnement pour la cyberprotection de votre SI