SDBRNews: Parlez-nous de l’évolution de la menace cyber depuis notre dernière rencontre, il y a 2 ans…

Patrick Rohrbasser : Depuis 2017 le monde a changé, avec une accélération importante sur les deux dernières années de l’émergence de nouvelles technologies, de nouveaux modes de développement et de nouveaux environnements techniques, et nous pouvons aujourd’hui presque parler de la virtualisation comme du « legacy ». L’autre changement du monde, c’est l’apparition du cyber-risque partout et à tous les niveaux : les attaques se font de tous les cotés ! On peut penser qu’il y a des vers dormants partout et que le jour où tout cela va sortir il pourrait y avoir une explosion : on pourrait presque parler de « terrorisme digital ». Nous sommes entrés dans une ère à la fois de business et de terrorisme digital. Et nous n’avons pas encore tout vu !

Stéphane Berthaud : Parler de guerre tiède ou de terrorisme digital signifie que le débat se déplace sur le champ politique… Nous ne sommes plus en présence seulement de geeks qui s’amusent dans leur garage à construire un virus pour faire du mal de façon totalement aléatoire. Les attaques les plus récentes ont une dimension beaucoup plus ciblée, beaucoup mieux préparée en amont, avec une cible bien identifiée dès le départ. Nous ne sommes plus en présence de vandalisme numérique mais face à une volonté, par exemple, d’empêcher le fonctionnement normal d’une entreprise stratégique. 2019 a été un point de bascule et nous avons vu plusieurs grandes sociétés françaises touchées par ce type d’attaques, avec l’ensemble de leur système d’information arrêté pendant plusieurs semaines. Le ransomware LockerGoga n’a pas touché que Norsk Hydro… Ce virus a été conçu pour désactiver silencieusement les défenses puis pour aller s’attaquer aux données de sauvegarde, qui sont l’assurance-vie du système d’information, avant d’aller attaquer les données de production : lorsque l’entreprise se retourne vers ses données de sauvegarde, c’est à ce moment-là qu’elle se rend compte qu’elles sont inutilisables car chiffrées !

SDBRNews : L’enseignement de l’attaque sur St Gobain avait été justement la compromission des données sauvegardées. Alors que faire ?

Patrick Rohrbasser : C’est bien le problème ! En 2017, Veeam* travaillait déjà sur des sujets de sauvegarde d’infrastructures, la sauvegarde étant alors un sujet marginal pour les investissements des services informatiques. Les acteurs du digital n’étaient pas sensibilisés aux mesures de sauvegardes, considérant que ces sujets relevaient du domaine des responsables des infrastructures. C’est la preuve que la transformation digitale n’avait pas encore atteint tous les rouages de l’organisation.

Stéphane Berthaud : Les acteurs sont plus sensibles aux protections frontales (Firewall NG, antivirus, etc.) qui sont des composants essentiels de la stratégie de sécurité mais qui sont de plus en plus fréquemment contournés, parfois par une action involontaire d’un utilisateur : exemple, les tentatives quotidiennes de phishing. Une fois que la muraille frontale a été passée, il n’y a plus grand-chose à faire. Payer la rançon n’assure pas du tout la récupération de toutes les données chiffrées. La seule solution est de restituer les données en lieu et place de celles qui ont été chiffrées, mais des données saines. Il faut donc faire en sorte que toute donnée de sauvegarde soit non accessible et non modifiable : cela peut-être fait en les isolant physiquement selon le principe de « l’Air Gap »**. C’est un moyen très efficace qui signe le retour en grâce de la bande de sauvegarde. Un autre moyen est d’utiliser des technologies existantes, comme du stockage via des API S3 d’Amazon qui utilise des fonctionnalités natives appelées « Object Lock » : les données écrites sur ces espaces de stockage sont impossibles à modifier selon une durée choisie. Ces espaces de stockage sont bien sûr plus performants que la manipulation de bandes de sauvegarde.

SDBRNews : C’est très intéressant, mais si les données sauvegardées sont déjà corrompues elles resteront corrompues…

Stéphane Berthaud : Absolument, c’est pourquoi le deuxième volet de ce que Veeam propose est de garantir l’intégrité des données sauvegardées même si elles comportent un malware dormant. Cette fonctionnalité unique (appelée Sure Backup) permet le pilotage d’antivirus intégré aux fonctionnalités de tests automatiques de restauration qui sont un point fort depuis neuf ans de notre solution. Nous sommes capables de faire jouer un antivirus, à jour des dernières signatures, au moment de la progressive restauration des données sur un serveur différent. Cette capacité de pilotage de l’antivirus peut être utilisée pro-activement ou ré-activement. Nous sommes présents avec cette solution chez les fournisseurs de nos clients qui utilisent le multi-Cloud. Nous avons aussi convaincu nos clients de redonner vie à une règle un peu oubliée avec le temps, à savoir la règle du 3-2-1. Il s’agit de sortir la copie de données saine sur un système distinct et non corrompu potentiellement : pas question de réinjecter une copie saine sur un système corrompu. Pour couvrir tous les scenarii possibles de pertes de données il faut répondre à la règle du 3-2-1 : la copie primaire + 2 copies de secours (3), sur 2 supports distincts (pas forcément sur un disque, éventuellement sur une technologie, mais chez 2 constructeurs ou fournisseurs), dont 1 support est hors site. Donc de plus en plus de clients ont 2 data center distincts sur un même site et un data center sur un site différent qui héberge une « golden copy » au cas où. La fréquence de rafraîchissement des sauvegardes dépend du besoin des métiers : dans la plupart des cas, la granularité se fait à la journée sur 30 jours glissants.   

Patrick Rohrbasser : Le contexte du Cloud et du multi-Cloud s’est accéléré depuis deux ans, de façon très mesurable au regard de la progression de notre chiffre d’affaires (nous sommes passés de 500M en 2015 à 1Mrd et plus de 4200 collaborateurs en 2019), et nous sommes en mesure de fournir nos solutions pour les nouveaux usages. La relation a aussi changé avec nos clients qui ont basculé vers un modèle d’abonnement : un droit d’usage maintenu 24/7 loué pour x années. Ce droit d’usage est réclamé pour tous les workloads utilisés, dans tous les environnements ; donc nous avons dû nous adapter à cette agilité avec notre nouvelle solution appelée « Licence Universelle Veeam ». La prise de conscience que la sécurité est importante et qu’il faut y intégrer la sauvegarde et la restauration des données, mais aussi l’automatisation de tout ce processus, est devenue une réalité. L’automatisation est une nécessité face à l’accélération constatée, car aucune entreprise n’a la capacité humaine et les compétences pour traiter ces attaques. L’automatisation est un moyen de réponse au terrorisme digital.       

* https://www.veeam.com/fr

** https://fr.wikipedia.org/wiki/Air_gap

Crédits photos Veeam