Le guide définitif de la protection des données

La protection des données est le processus de protection des données contre la perte, la corruption ou l’interruption des services grâce à l’utilisation de sauvegardes et d’une architecture résiliente aux données. Des sauvegardes à la reprise en passant par la réutilisation des données, il couvre toutes les technologies et techniques qu’une organisation peut utiliser pour assurer la sécurité et la haute disponibilité des données pour ses produits, services et opérations.

Dans ce guide, nous nous pencherons sur les différentes technologies et techniques à la disposition d’un administrateur système pour assurer la sécurité des données.

Bien que le terme protection des données soit souvent utilisé de manière interchangeable avec la sécurité et la confidentialité des données, il existe de subtiles différences entre les trois termes :

• La protection des données est souvent utilisée comme terme générique qui inclut la sécurité et la confidentialité des données. Dans le secteur, cependant, elle fait souvent référence plus spécifiquement à la prévention de la perte ou de la corruption de données par la résilience, la redondance et la reprise.
• La sécurité des données est plus spécifique, en ce qui concerne la prévention de l’accès non autorisé, de la manipulation ou de la corruption des données par des parties internes et externes via des pare-feux, un chiffrement et d’autres technologies.
• La confidentialité des données se concentre sur le contrôle de l’accès aux données pour éviter l’exposition aux données et informations sensibles. Il comprend des formations à la sécurité, des stratégies d’authentification et la conformité aux réglementations de sécurité de l’information telles que le RGPD.

Vous devrez investir dans les trois si vous souhaitez vous assurer que les données de votre organisation sont entièrement protégées. Dans ce guide, nous nous concentrerons principalement sur la protection des données, bien qu’il existe naturellement un certain chevauchement entre les trois domaines.

La protection des données dans une salle de serveurs ou un datacenter repose depuis longtemps sur la redondance. La perte, la corruption ou la mise en danger des données sont des risques que vous ne pouvez pas vous permettre de prendre. C’est pourquoi vous devez toujours avoir une sauvegarde.

Bien sûr, vous n’allez pas vous contenter d’une simple sauvegarde. La protection des données consiste à gérer vos points de récupération (RPO) et délais de récupération (RTO) pour les services les plus importants de votre pile technologique opérationnelle. En d’autres termes, c’est la rapidité avec laquelle vous pouvez sauvegarder et restaurer vos données pour éviter les interruptions des opérations commerciales critiques.

Qu’est-ce que le RTO et le RPO ?

• RTO : Le temps maximal que votre entreprise peut se permettre de perdre concernant l’accès aux données qui alimentent vos applications et vos opérations. Il détermine la vitesse à laquelle il vous faut restaurer votre système. 

• RPO : La quantité maximale de données que votre entreprise peut se permettre de perdre. Il détermine la fréquence de vos sauvegardes.

Les RTO et RPO sont les indicateurs clés de performance (ICP) dont vous aurez besoin pour mettre au point votre stratégie de reprise après sinistre.

Découvrez pourquoi avec Ransomware, la restauration est la nouvelle sauvegarde

Également appelée sauvegarde et reprise après sinistre, la sauvegarde et la restauration font référence à la pratique consistant à sauvegarder vos données afin que vous puissiez restaurer vos services et opérations métier en cas de sinistre. Les sinistres peuvent inclure toutes sortes de situations, des catastrophes naturelles aux pannes, en passant par les erreurs humaines et les cyberattaques. 

Planification de la sauvegarde des données

En fonction des technologies et des ressources disponibles pour votre organisation, vous devrez peut-être utiliser une ou plusieurs de ces techniques de sauvegarde dans le cadre d’une stratégie de reprise après sinistre de datacenter plus vaste :

• Sauvegarde complète des images : Vous sauvegardez la totalité de vos données sous la forme d’une image afin de créer un point de restauration que vous pouvez retrouver instantanément. Puisqu’il s’agit d’une sauvegarde complète, cette technique met le plus de temps à stocker.
• Sauvegarde différentielle : Sauvegarde toutes les modifications depuis la dernière sauvegarde complète de l’image. La restauration ne nécessite que deux fichiers : la dernière sauvegarde d’image complète, suivie de la sauvegarde différentielle la plus récente. 
• Sauvegarde incrémentielle : Vous sauvegardez progressivement les modifications depuis le dernier point de restauration complète de l’image. Après un nombre défini de sauvegardes incrémentielles, le cycle se termine par une sauvegarde complète des images. La restauration commence par la dernière sauvegarde complète de l’image, suivie de sauvegardes incrémentielles sur le RPO cible. 
• Sauvegarde en temps réel : Également appelée sauvegarde continue, cette méthode consiste à copier de manière instantanée chaque modification apportée à vos données sur un périphérique de stockage séparé. Il s’agit de la méthode de sauvegarde la plus granulaire et la plus complète.
• Reprise instantanée : Une machine virtuelle (VM) de sauvegarde mise à jour en continu est utilisée pour une VM de production. Lorsque la VM de production tombe en panne, la sauvegarde prend tout de suite la relève pour qu’il n’y ait aucune incidence sur les RTO et RPO.

En savoir plus sur les sauvegardes hiérarchisées et les data bunkers pour les solutions de sauvegarde à long terme et hautement disponibles

Reprise après sinistre dans un datacenter

La mise en œuvre d’un plan de sauvegarde solide n’est qu’une partie de l’équation de protection des données. La deuxième partie consiste à atteindre vos RTO. En d’autres termes, comment remettre vos systèmes métier en service après une catastrophe ? Un plan de reprise après sinistre type comprend :

• Équipe de reprise après sinistre : Désigner un groupe de personnes directement responsables (DRI) pour la mise en œuvre du plan de reprise après sinistre.
• Analyse des risques : Il est important d’être préparé et conscient de ce qui pourrait mal se passer au sein de votre organisation. Identifier les risques et les plans d’action en cas d’arrêt imprévu ou de sinistre.
• Conformité : Ce n’est pas parce que vous êtes victime d’une attaque que vous vous éloignez des réglementations de conformité des données. Un responsable de la conformité peut s’assurer que votre organisation respecte les politiques de conservation et de suppression et ne sauvegarde pas les données sensibles précédemment prévues pour la suppression pour des raisons de conformité.
• Analyse de l’impact commercial : En cas de sinistre, vous avez besoin d’une personne pour évaluer l’impact potentiel sur les services métier. Il peut être possible de remettre en service les services les plus critiques plus tôt. Identifier et documenter les systèmes, applications, données et actifs les plus critiques pour la continuité des opérations peut aider votre équipe de reprise après sinistre à prendre les mesures les plus efficaces pour assurer la reprise.
• Sauvegarde des données : Selon les stratégies et technologies de sauvegarde que vous utilisez, vous pouvez reprendre vos opérations commerciales en revenant à la sauvegarde la plus récente. Les RTO et les RPO varient en fonction de la sauvegarde et des services concernés. 

Tout repose sur une protection continue des données

Dans un monde de plus en plus numérique, les clients attendent des entreprises qu’elles puissent fournir leurs services 24h/24, 7j/7, sans interruption ni interruption. La protection continue des données (CDP), également appelée sauvegarde continue, consiste à sauvegarder le flux continu de données nécessaire pour soutenir les opérations commerciales modernes. Elle permet aux organisations de restaurer un système à tout moment. L’objectif de la CDP est finalement de minimiser les RTO et les RPO en cas de sinistre. En exploitant des sauvegardes continues en temps réel et en mettant en œuvre une stratégie solide de reprise après sinistre, il est possible de maintenir la continuité des opérations grâce à la CDP.

Jusqu’à présent, nous avons couvert les choses que vous pouvez généralement faire pour protéger vos données et maintenir la continuité des opérations en cas de sinistre. Mais il y a un type de sinistre qui ne cesse d’augmenter et qui mérite d’être résolu seul : le ransomware.

Les cybercriminels ont toujours été une menace, mais bien que les hacktivistes d’hier aient été motivés par des convictions politiques, culturelles et religieuses, les cybercriminels d’aujourd’hui sont largement motivés par des gains financiers. Ransomware dans lequel un pirate informatique vous empêche de récupérer vos données par chiffrement jusqu’à ce que vous payiez une rançon, est désormais un secteur qui pèse plusieurs millions de dollars. Et dans un monde où les temps d’arrêt se traduisent directement par une perte de revenus, il n’a jamais été aussi tentant de payer simplement cette rançon.

Dans les sections suivantes, nous aborderons ce que vous pouvez faire pour atténuer une attaque de ransomware.

Prévention d’une attaque de ransomware

La meilleure façon de lutter contre les ransomwares est d’éviter qu’ils ne se produisent en premier lieu. Il s’agit d’obtenir une visibilité à l’échelle du système, de respecter une bonne hygiène des données et de mettre en place un plan pour faire face à une menace une fois que vous l’avez identifiée.

• Journalisation et surveillance : Les outils de journalisation et de surveillance du système peuvent vous donner une vue d’ensemble de vos systèmes et vous aider à comprendre à quoi ressemble votre infrastructure informatique lorsque tout se passe correctement. L’analytique rapide en temps réel peut vous aider à identifier les anomalies (par exemple, un pic de trafic provenant d’une adresse IP suspecte) et d’autres activités qui peuvent vous inciter à une attaque potentielle.
• Hygiène des données : Lorsque des pirates informatiques installent des logiciels malveillants, ils recherchent des failles de sécurité telles que des systèmes d’exploitation non corrigés, des outils tiers mal sécurisés et une gestion des données désordonnée. L’hygiène des données implique de mettre en œuvre de bonnes pratiques de gestion des correctifs, de configuration du système et de désinfection des données. Non seulement cela rend votre organisation plus fluide, mais cela réduit également considérablement la surface d’attaque d’un piratage potentiel.
• Sécurité opérationnelle : Les humains sont souvent négligés en matière de cybersécurité. La mise en œuvre d’une authentification multifacteur, de contrôles administratifs et d’une hiérarchisation des données permet de s’assurer que les données ne sont accessibles qu’aux personnes autorisées qui en ont besoin. Une formation de sensibilisation à la sécurité couvrant les techniques des hackers et des attaques d’hameçonnage peut aider votre organisation à identifier les véritables tentatives dans la nature.

Que faire en cas d’attaque de ransomware 

Les cyberattaques ne sont pas aussi évidentes dans la vie réelle que dans les acteurs du cinéma. L’attaque elle-même ne dure que 30 à 40 minutes lorsqu’elle accède à vos fichiers et se déplace latéralement sur vos réseaux, en chiffrant les fichiers et en supprimant les sauvegardes. D’un autre côté, un attaquant peut se cacher sur votre réseau bien après avoir obtenu l’accès, surveillant vos réponses aux anomalies pendant qu’il planifie une attaque réelle. Dans tous les cas, au moment où vous recevez une note de rançon pour vos données, l’attaque est déjà terminée.

La seule façon de détecter une attaque de ransomware pendant qu’elle se produit consiste à détecter les tentatives d’hameçonnage dérobées (en formant vos employés) ou à détecter les activités suspectes sur votre réseau via des SEIM et des journaux. À condition que vous ayez pris ces mesures proactives et que vous disposiez des outils nécessaires, il est préférable d’avoir un plan de réponse aux cyberincidents (CIR) pour gérer l’activité anormale lorsque vous la découvrez. Documentez tout et informez le personnel informatique concerné pour isoler les systèmes concernés et limiter les dommages. Vous aurez besoin de ces dossiers pour répondre aux exigences de conformité et aider les forces de l’ordre à mener des enquêtes si cette activité s’avère être une véritable attaque de ransomware. Nous aborderons plus en détail la création d’un plan CIR plus loin dans cet article.

Reprise après sinistre après une attaque de ransomware

Vos fichiers ont donc été chiffrés et vous venez de recevoir une note de ransomware. Quelles sont vos options ?

Une option consiste simplement à payer la rançon, mais cela pourrait exposer votre organisation à une extorsion supplémentaire.

Une meilleure option, à condition de suivre les étapes proactives d’atténuation des ransomwares décrites dans les sections précédentes, consiste à purger, restaurer et réagir :

• Éliminez vos systèmes des vulnérabilités qui ont permis aux hackers d’accéder à vos données. Le matériel et les logiciels compromis doivent être immédiatement isolés et déconnectés du réseau. Un audit du système et du réseau doit être effectué pour s’assurer qu’aucun backdoor ou autre logiciel malveillant ne subsiste. Il est important de désinfecter vos systèmes avant de restaurer les données de vos sauvegardes et de les mettre en service.
• Restaurez vos données en tirant parti de votre plan de sauvegarde et de reprise. Nous espérons que vous avez mis en place des snapshots et une infrastructure de reprise après sinistre pour vous permettre de récupérer les données juste avant l’incident. Votre équipe de défense doit effectuer une analyse médico-légale de vos données de sauvegarde dans un environnement virtuel désinfecté pour s’assurer que les attaquants n’ont rien laissé derrière eux. Vous recherchez un point de reprise intact sur lequel vous pourrez restaurer vos systèmes. 
• Répondez à l’attaque de manière appropriée en prenant des mesures pour examiner les dossiers, auditer les systèmes et documenter la nature de l’attaque. Pour se conformer aux réglementations, vous devrez peut-être informer les clients d’une violation de données et vous voudrez que vos journaux prouvent que votre organisation a fait tout son possible pour réagir à l’attaque. Les informations obtenues lors de l’attaque peuvent être exploitées pour aider les forces de l’ordre à localiser les auteurs et à protéger vos propres systèmes contre les attaques futures.

En savoir plus : Guide du pirate pour l’atténuation et la reprise Ransomware

Un plan de réponse aux cyberincidents est un document officiel qui décrit les détails que le personnel doit suivre en cas de cyberattaque. Il s’agit également d’une exigence de la norme PCI DSS (Payment Card Industry Data Security Standard). Les plans de réponse aux cyberincidents se composent généralement de six phases distinctes : 

1. Préparation

Cette phase décrit les étapes, les rôles et les procédures à suivre en cas de cyberincident. Préparer une équipe de personnes ayant des rôles et des responsabilités clairement définis pour répondre à un cyber-incident. Il couvre également le test de ces rôles et procédures via la formation des employés à l’aide de scénarios d’analyse tels que des violations de données fictives. 

2. Identification

Cette phase implique la détection et l’analyse médico-légale des cyber-événements anormaux pour déterminer si une violation s’est produite et la gravité de l’incident. 

• Quelles données ont été exposées ? 
• Comment a-t-il été découvert ? 
• Qui a découvert l’incident ?
• Qui est concerné ?

La portée et la gravité de l’incident doivent être documentées et analysées avant de pouvoir être traitées efficacement. Les journaux système et réseau peuvent être la clé pour réagir immédiatement à une violation et déterminer les détails critiques d’un incident de sécurité après qu’il s’est produit.

En savoir plus : Vous avez été frappé par une attaque ransomware Que faire ?

3. Confinement

En cas de cyber-incident, la phase de confinement précise les mesures prises pour prévenir d’autres dommages et atténuer les risques. Le confinement implique généralement des étapes de déconnexion et de désactivation des périphériques concernés d’Internet.

4. Éradication

Une fois qu’une menace a été contenue, elle peut être analysée par un professionnel de la sécurité afin de déterminer la cause profonde de l’incident et d’éliminer toute menace. La suppression des logiciels malveillants, les correctifs de sécurité et les autres mesures doivent être décrits dans la phase d’éradication. 

5. de ransomware

La phase de reprise implique des étapes et des procédures pour remettre en production les systèmes et les périphériques concernés. Des sauvegardes redondantes, des snapshots et un plan de reprise après sinistre peuvent être mis en œuvre pour restaurer les services critiques en cas de violation. Vous devez également disposer d’un environnement de reprise par étapes qui peut vous donner un moyen « prédéfini » de vous remettre en ligne juste après un événement. 

6. Enseignements tirés

La cybersécurité est un processus continu. Il est important de recueillir les informations recueillies et les enseignements tirés d’un cyberincident et de les appliquer à l’amélioration des protocoles de sécurité et du plan d’intervention en cas d’incident lui-même.
 

Obtenir un plan détaillé 6-Point pour « pendant » une violation de données

Dans ce guide, nous avons examiné les différents outils, stratégies et technologies disponibles pour protéger vos données et maintenir la continuité des opérations en cas de sinistre. En fin de compte, vos données sont aussi sécurisées que l’infrastructure que vous utilisez pour les gérer. 

C’est pourquoi les produits Pure Storage® sont conçus de A à Z dans un souci de protection des données moderne. Voici quelques exemples de solutions modernes de protection des données développées par Pure :

• Restauration rapide FlashBlade® : Offre 270TB/h de performances de reprise de données aux environnements de production et de test/développement. 
• ActiveDR™ : Intégré à Purity, ActiveDR vous offre un RPO proche de zéro grâce à une réplication asynchrone robuste qui couvre à la fois les nouvelles écritures et les snapshots et calendriers de protection associés. 
• Purity ActiveCluster™ : La réplication synchrone pour RPO zéro rencontre le basculement transparent pour RTO zéro dans ce véritable cluster étendu métropolitain bidirectionnel active-active. 
• snapshots SafeMode™ : Les snapshots SafeMode sont une solution de protection contre les ransomware intégrée aux baies FlashArray™ et FlashBlade . Les snapshots sont immuables, ce qui permet à votre équipe de récupérer les données en cas d’attaque de ransomware.

Les menaces de données modernes nécessitent des solutions de protection des données modernes. Le stockage de vos données avec Pure Storage est le meilleur moyen de garantir les performances, la fiabilité et la sécurité de votre organisation.