Aux attaques sur le stockage primaire et les systèmes opérationnels, s’ajoutent désormais les attaques visant directement les sauvegardes. La lutte contre le cyberrisque parait sans fin, face à l’ingéniosité coûteuse et redoutable des assaillants. Si les mesures de sécurité périphériques demeurent indispensables, il est aussi temps, sans doute, de mettre sous clé ses données les plus critiques.
En matière de cybersécurité, le président de la République a récemment appelé à plus de résilience des entreprises et des institutions. Il faut bien reconnaître l’effarant taux d’attaques dont sont victimes les organisations françaises, et qui ne cesse d’augmenter avec l’ouverture des systèmes, la dissémination des données, la pratique du télétravail et la multiplication des solutions de collaboration à distance. Les collectivités territoriales, les universités, les hôpitaux, mais également une part importante des PME et ETI, moins bien dotées en solutions de sécurité et éventuellement plus promptes à payer une rançon, annoncent jusqu’à 80 % de tentatives quotidiennes d’intrusion en plus.
L’extorsion devient une pratique éminemment rentable, en France particulièrement. Sur ce point d’ailleurs, les assureurs sont pointés du doigt pour avoir trop souvent incité leurs clients à payer. En 2020, près de 2 entreprises sur 3 auraient versé les sommes exigées, en s’appuyant sur les garanties de paiement intégrées à certains contrats de cyberassurance. Autant dire que les pirates ont encore de beaux jours devant eux sur le territoire français.
Alors que l’ANSSI cherche à briser ce cercle vicieux en multipliant les recommandations en matière de cybersécurité, le plan de soutien à la filière table sur la R&D, la création d’un observatoire et la formation.
« Il y aura toujours le besoin de renforcer les aptitudes des collaborateurs dans ce domaine, mais il faut aussi prendre conscience que les assaillants ont généralement un ou deux coups d’avance sur la défense et la sécurité », rappelle François-Christophe JEAN, CTO DPS France chez Dell Technologies. « Depuis deux ans maintenant, les hackers s’attaquent prioritairement aux moyens de restauration et peu d’entreprises ont pris des mesures concrètes pour faire face à ce nouveau danger. ».
Assurément, la résilience passe, sur le plan national, par la création d’une Taskforce, l’accélération de l’innovation ou encore le soutien aux startups expertes en sécurité. C’est toutefois une notion protéiforme. Pour tous les experts, la résilience informatique repose sur une infrastructure robuste, et le triptyque disponibilité, montée en charge, agilité.
Certains d’entre eux ajoutent que la résilience est aussi une question d’acceptation pour mieux agir. François-Christophe JEAN l’explique ainsi : « augmenter sa résilience se fait en deux temps. D’une part, c’est admettre que, quoique l’on mette en place, les moyens seront tôt ou tard percés ou contournés. D’autre part, c’est agir en conséquence. La résilience commence lorsque l’on ouvre les yeux sur un phénomène qui exige des moyens à sa mesure. Et parce que les entreprises et les institutions ne peuvent décemment pas se permettre de tout perdre, elles doivent posséder un dernier rempart, l’ultime rempart, celui qui permettra de restaurer ce qui ne doit jamais, au grand jamais, être perdu. »
En 2017, le virus NotPetya faisait des ravages aux quatre coins du monde et l’armateur Maersk n’y avait pas échappé. Fort de ses plans de continuité d’activité, l’industriel disposait de multiples centres de données à l’international, malheureusement tous touchés par le virus. Tous, sauf un, situé au Nigéria, parce qu’au même instant, le pays subissait une panne généralisée de ses réseaux internet, épargnant l’armateur des conséquences désastreuses du virus. Fortuitement, cette panne a créé un Air Gap, infranchissable. Une coûteuse anecdote dont s’inspire la sanctuarisation.
À défaut de trouver un accord valable avec les assureurs, le législateur pourrait être contraint d’interdire aux entreprises de payer les rançons. Mais une autre voie reste possible, en rendant obligatoire la sanctuarisation des données vitales. « Nous n’en sommes pas là et nous n’y viendrons peut-être jamais. Mais c’est aujourd’hui une recommandation forte de l’ANSSI, qu’on retrouve notamment dans sa publication du 29 novembre 2019 » précise François-Christophe JEAN.
La sanctuarisation est un terme qui appartient à une sémantique particulière, toutes proportions gardées, de l’ordre du sacré. Sacrées, les données ? Certainement et de plus en plus, au point que les mesures que l’on prend pour les protéger relèvent à certains égards de méthodes militaires.
À l’instar des universités françaises et de leurs préoccupations légitimes face à la recrudescence des attaques dont elles font l’objet, nombre d’entre elles déploient des kilomètres de barrières grillagées pour protéger des datacenters « fantômes », dont seule une poignée de personnes autorisées ont connaissance. Vigiles, badges, doubles contrôles, la sécurité physique des salles de serveurs est devenue aussi importante que la sécurité logicielle.
François-Christophe JEAN se rappelle fort bien l’attaque très sophistiquée de la Corée du Nord contre l’entreprise américaine, Sony Pictures, en 2014. « Outre le déclenchement à retardement du virus, une fois passée la période de rétention des sauvegardes, alors toutes infectées, l’assaillant avait réussi à faire embaucher des collaborateurs clés dans l’entreprise, dont un administrateur sauvegarde qui avait détruit physiquement les baies de sauvegarde. »
On comprendra, alors, que la sanctuarisation cloisonne physiquement à la fois la cage abritant les Joyaux de la Couronne (cœur du SI, chaînes applicatives critiques, etc.), déconnectée des réseaux, et les hommes, en distinguant formellement les missions de l’administrateur de sauvegarde de celles de l’officier de sécurité en charge de la politique de sauvegarde à mettre en œuvre.
Enfin, au-delà du cloisonnement, le propre de la sanctuarisation repose évidemment sur la mesure quotidienne des variations de la donnée sanctuarisée, à travers un moteur d’intelligence artificielle basé sur le machine learning, pour détecter les signaux faibles et les signes avant coureurs d’attaques insidieuses, ce que Sony Pictures n’avait pu déceler pendant de longs mois, à l’époque. L’objectif est d’identifier en permanence, au sein du sanctuaire, la dernière bonne copie des données, immune de toute corruption, qui permettra de restaurer à coup sûr le fonctionnement normal du noyau vital du système d’information en cas de destruction ou de prise en otage de ses données critiques.
Lire le prochain article
