LMi-MAG 8 Juillet 2021 - Flipbook - Page 56
FOCUS
Back-up
ailleurs que dans le datacenter principal. Et il ne
s’agit pas de déplacer simplement votre serveur de sauvegarde dans une machine virtuelle (VM) hébergée dans
le cloud. Car, si la VM est aussi accessible d’un point de
vue électronique qu’elle le serait si elle se trouvait dans
le datacenter, elle sera tout aussi facile à atteindre. Il
faut configurer les systèmes de sorte que les attaques
contre votre datacenter ne puissent pas se propager à
vos systèmes de sauvegarde dans le cloud. Pour cela,
vous pouvez par exemple utiliser des règles de pare-feu,
effectuer des changements de systèmes d’exploitation
et de protocoles de stockage. Ainsi, nombre de fournisseurs de cloud offrent du stockage objets et la plupart
des produits et services de sauvegarde sont capables
d’y écrire des données. Les pirates ont des tactiques
d’action sophistiquées, mais pour l’instant, ils n’ont pas
encore trouvé de technique pour attaquer les sauvegardes stockées sur un stockage objet. De plus, ces fournisseurs proposent souvent une option d’écriture unique
et de lecture multiple (write once/read many), ce qui signifie qu’il est possible de spécifier une période pendant
laquelle les sauvegardes ne peuvent pas être modifiées
ou supprimées, même par les personnes autorisées.
devez trouver un moyen de stocker ces sauvegardes sur
le disque de manière à ce que le système d’exploitation
ne les voit pas comme des fichiers. Par exemple, l’une
des configurations les plus courantes consiste à mettre
en place un serveur de sauvegarde qui écrit ses données
dans une baie de déduplication cible montée sur le serveur de sauvegarde via le protocole Server Message Block
(SMB) ou le système de fichiers en réseau Network File
System (NFS). Or, si un ransomware parvient à infecter ce
lement infecté. Mettez vos sauvegardes
dans le cloud d’un fournisseur protégé par
des règles de pare-feu, utilisez un système
d’exploitation différent pour vos serveurs
de sauvegarde, Linux en l’occurrence, et
écrivez vos sauvegardes sur un autre type
de stockage.
Article
© DR
Certains services de sauvegarde permettent également
d’écrire des données sur un stockage accessible uniquement via leur interface utilisateur. Si vous ne pouvez pas
voir directement vos sauvegardes, alors le ransomware
ne peut pas le voir non plus. L’idée est
COMMENT LES DSI DES
d’effectuer ses sauvegardes – ou au moins
une copie des sauvegardes – aussi loin que HÔPITAUX AMÉRICAINS LUTTENT
CONTRE LES RANÇONGICIELS
possible d’un système Windows potentiel-
serveur, il pourra chiffrer ces sauvegardes sur ce système de déduplicacutt.ly/dsi-hopitaux
tion cible car elles sont accessibles via
un répertoire. Vous devez trouver une
solution pour permettre à votre produit de sauvegarde
Supprimez l’accès du système de fichiers
d’écrire dans votre baie de déduplication cible sans utiliaux sauvegardes
ser SMB ou NFS. Tous les produits de sauvegarde courants
offrent de telles options.
Si votre système écrit des sauvegardes sur le disque,
faites en sorte qu’elles ne soient pas accessibles via un
répertoire de système de fichiers standard. Par exemple,
Quid des systèmes sur bande ?
le répertoire « E:backups » est sans aucun doute le pire
endroit possible pour enregistrer ses données de sauveEh oui, il y a toujours ces bons vieux systèmes sur bande !
La bande est vraiment la solution idéale quand on veut
garde. Les ransomwares ciblent spécifiquement les récopier la sauvegarde de la nuit dernière ou de la semaine
pertoires portant des noms de ce type et ne se priveront
dernière sur un autre support que l’on pourra envoyer
pas de crypter vos sauvegardes. Cela signifie que vous
56 / Hors-série Sécurité / juillet 2021