Table des matières de l'article :
À une époque où la numérisation a atteint des niveaux sans précédent, la cybersécurité est devenue une priorité absolue pour les entreprises de toutes tailles. L'un des aspects les plus critiques de cette sécurité est la gestion des sauvegardes. Beaucoup se concentrent sur la création de systèmes de sauvegarde redondants et résilients, mais rares sont ceux qui réfléchissent à un aspect crucial : que se passerait-il si un attaquant parvenait à prendre le contrôle administratif du système sur lequel réside la sauvegarde ?
Le risque ignoré
Imaginons un scénario dans lequel le site « pippo.it », qui utilise WordPress, est compromis par une vulnérabilité dans l'un de ses plugins. Cette faille permet à un attaquant d'exploiter une faille, peut-être dans le noyau, pour obtenir les privilèges root sur le système. À ce stade, l'attaquant pourrait décider de supprimer le site Web et, ayant accès à la clé RSA de l'utilisateur root, l'utiliser pour accéder au système de sauvegarde et supprimer toutes les traces des sauvegardes existantes.
Un autre scénario pourrait voir l'attaquant utiliser le système de sauvegarde lui-même pour lancer une commande qui supprime toutes les sauvegardes des 60 derniers jours, vidant complètement le référentiel et laissant l'entreprise sans site Web et sans aucune possibilité de récupération.
Ces scénarios, malheureusement réalistes, mettent en évidence une vérité qui dérange : un système de sauvegarde qui permet la suppression de données, même s'il est géré via des procédures qui semblent légitimes, ne peut pas être considéré comme sûr.
Sécurité dans les systèmes de sauvegarde
Lorsqu’on parle de sécurité des données, l’accent ne doit pas se limiter à la redondance ou à la résilience des systèmes de sauvegarde, mais s’étendre à leur impénétrabilité et à leur intégrité absolue. La véritable mesure de sécurité d'un système de sauvegarde réside dans sa capacité à rendre les données insensibles à toute tentative d'accès ou de modification non autorisée.. Dans ce contexte, la mise en œuvre de sauvegardes immuables apparaît comme une stratégie clé. Ces sauvegardes, une fois écrites, ne peuvent pas être modifiées ou supprimées, même par l'utilisateur disposant des informations d'identification d'accès les plus élevées. Cette fonctionnalité garantit que quelles que soient les menaces, vos données restent intactes et sécurisées.
Pour atteindre un tel niveau de sécurité, il est crucial d'adopter le principe du moindre privilège, en limitant l'accès aux systèmes de sauvegarde au seul personnel strictement nécessaire et en surveillant en permanence toutes les activités. Les protocoles d'authentification doivent être robustes, allant au-delà de la simple authentification basée sur une clé RSA pour inclure des méthodes plus sophistiquées telles que l'authentification multifacteur, qui ajoute une couche de protection supplémentaire.
De plus, concevoir un système de sauvegarde sécurisé nécessite une architecture qui exclut catégoriquement l’accès SSH direct aux serveurs de sauvegarde, empêchant ainsi toute tentative de manipulation des données à distance. Cela implique également une politique stricte de gestion des commandes, qui ne doit jamais permettre la suppression des sauvegardes, même si elles sont apparemment autorisées par un client de sauvegarde. La création d'un environnement dans lequel les sauvegardes sont immuables et inaccessibles à la suppression, intentionnelle ou non, constitue la base d'une sécurité des données à toute épreuve.
Les sauvegardes immuables agissent comme un rempart contre un large éventail de menaces, y compris les attaques de ransomwares qui visent à crypter ou supprimer des données contre rançon. Grâce à des sauvegardes rendues inaltérables, les entreprises peuvent restaurer rapidement leurs systèmes sans céder aux demandes des attaquants, garantissant ainsi la continuité opérationnelle et la protection des données critiques.
Sécurité Open Source : Borg et Restic
Heureusement, il existe des outils open source pouvant offrir des niveaux de sécurité adéquats pour la gestion des sauvegardes. Borg e Restiquepar exemple, proposer des modes de fonctionnement dits « Append Only », qui empêchent la suppression des sauvegardes par des attaquants qui parviennent à obtenir des privilèges élevés sur le système. Cette fonctionnalité est particulièrement importante non seulement pour protéger les données contre les attaques externes, mais également pour empêcher les actions malveillantes d'employés déloyaux.
La mise en œuvre d'un mode Append Only signifie que même si un attaquant ou un employé ayant accès aux clés de sauvegarde décide de supprimer les données, le système ne le permettra tout simplement pas. Ce type de protection ajoute une couche de sécurité critique, garantissant que les sauvegardes restent intactes et disponibles même en cas de tentatives de sabotage.
Conclusion : une véritable sécurité de sauvegarde
La sécurité d’un système de sauvegarde ne se mesure pas seulement par sa capacité à résister aux pannes matérielles ou aux erreurs humaines, mais aussi et surtout par sa résilience face aux cyberattaques ciblées. Une sauvegarde qui peut être supprimée, aussi avancée soit-elle techniquement, n’offre pas la garantie de sécurité dont les entreprises ont désespérément besoin à l’ère numérique.
Des solutions existent et sont à notre portée. Des outils comme Borg et Restic, avec leurs modes Append Only, offrent un exemple concret de la façon dont il est possible de créer des systèmes de sauvegarde qui non seulement sauvegardent les données, mais garantissent également qu'elles restent à l'abri de toute personne ayant l'intention de les supprimer.. En fin de compte, la sécurité des sauvegardes est un pilier essentiel de la cybersécurité globale d’une entreprise et, à ce titre, mérite une attention et des efforts appropriés.