La sécurité des sauvegardes est un sujet qui préoccupe de plus en plus les grands comptes, souvent dans le cadre d’initiatives pour améliorer leur cyber-résilience. Les sauvegardes sont en effet le dernier recours lors d’une cyber-attaque, lorsque toutes les mesures de protection, de détection et de réponse n’ont pas suffi : il faut restaurer rapidement le système d’information à partir des sauvegardes.
Les attaquants ont bien compris cet enjeu et nous voyons de plus en plus de cyber-attaques touchant les sauvegardes. Comme le souligne le benchmark 2021 des cyber-attaques en France, dans 21% des attaques par ransomware, les systèmes de sauvegarde ont été ciblés jusqu’à être rendus inutilisables.
Quel est le mode opératoire des attaquants pour atteindre les sauvegardes ?
Tout d’abord, les sauvegardes peuvent être touchées en tant que dommage collatéral. Ce fut le cas il y a quelques années lors d’une cyber-attaque chez l’un des clients du CERT-Wavestone : l’infrastructure de gestion des sauvegardes a elle-même été chiffrée par le ransomware et il a fallu la reconstruire avant de pouvoir restaurer les sauvegardes.
Lors d’attaques par ransomware, les attaquants peuvent aussi cibler directement les sauvegardes pour forcer leur cible à payer la rançon. Par exemple, il y a moins d’un an lors d’une réponse à incident du CERT-Wavestone, l’attaquant avait pris soin de détruire toutes les sauvegardes avant de chiffrer le système d’information du client. Il avait pu arriver à ses fins car l’infrastructure de gestion des sauvegardes était administrée à travers un compte dans l’Active Directory. L’attaquant ayant réussi à élever ses privilèges au plus haut niveau, il a pu aisément se connecter sur l’infrastructure de sauvegarde et supprimer toutes les données sauvegardées.
Des premières mesures de protection peuvent déjà fortement réduire le risque
Dans 100% des crises ransomware gérées par le CERT-Wavestone, l’attaquant possédait des comptes d’administration du domaine Active Directory. Pour empêcher l’attaquant d’atteindre les sauvegardes par ce biais, il faut donc séparer l’infrastructure de sauvegarde de l’Active Directory : s’assurer que les comptes d’administration des sauvegardes ainsi que les serveurs de sauvegarde sont hors Active Directory (NB : cela n’empêchera pas cette infrastructure de sauvegarder les ressources gérées dans l’Active Directory).
Pour réduire davantage le risque de compromission d’un compte d’administration, il faut aussi renforcer l’accès d’administration des sauvegardes, avec par exemple une authentification multi-facteur (MFA).
Par ailleurs, les attaques par ransomware se propageant souvent sur le même système d’exploitation, il peut être intéressant d’adopter un système d’exploitation différent pour l’infrastructure de sauvegarde. Sinon, a minima effectuer une copie du catalogue de sauvegarde (base de données contenant les pointeurs vers les sauvegardes) sur un système d’exploitation différent, afin de permettre une restauration rapide de l’infrastructure de sauvegarde en cas de compromission.
En complément, il est parfois possible d’appliquer des mesures de rétention des données sauvegardées au niveau de la technologie de stockage des sauvegardes, comme l’application d’un délai avant la suppression réelle des données ou bien la conservation d’une copie (ou snapshot) sur la baie de stockage. Cela permet de s’accorder un délai d’un ou plusieurs jours avant la perte complète des données en cas de suppression.
Pour aller plus loin…
Différentes initiatives émergent, visant à standardiser les mesures de protection des données face à la menace grandissante (e.g. Secure Tertiary Data Backup Guideline par la HKAB – Hong Kong Association of Banks, Sheltered Harbor aux Etats-Unis…).
Par ailleurs, les éditeurs de solutions de sauvegarde construisent leurs solutions en prenant en compte la menace cyber, avec des fonctionnalités de détection de ransomware, des fonctionnalités d’immutabilité (pour rendre les données sauvegardées complètement inaltérables, même pour un administrateur) ou encore des possibilités d’isolation « hors-ligne » des sauvegardes.
Ces solutions peuvent être adoptées en remplacement ou bien en complément de solutions de sauvegarde existantes. Néanmoins, elles nécessitent souvent des investissements importants. Or comme nous l’avons vu, un certain nombre de premières mesures de protection peuvent déjà fortement réduire le risque. Il convient donc de bien identifier les scénarios de menace redoutés et son niveau d’exposition, ainsi que les éventuels besoins de conformité (réglementations, standards…), afin de définir une feuille de route adaptée de montée en maturité.
Cet article se veut être une introduction à la protection des sauvegardes contre les cyber-attaques. Nous aurons l’occasion d’approfondir le sujet dans le cadre de futures publications.