La protection des données est le processus de protection des données contre la perte, la corruption ou l’interruption des services grâce à l’utilisation de sauvegardes et d’une architecture résiliente aux données. Des sauvegardes à la reprise en passant par la réutilisation des données, il couvre toutes les technologies et techniques qu’une organisation peut utiliser pour assurer la sécurité et la haute disponibilité des données pour ses produits, services et opérations.
Dans ce guide, nous nous pencherons sur les différentes technologies et techniques à la disposition d’un administrateur système pour assurer la sécurité des données.
Bien que le terme protection des données soit souvent utilisé de manière interchangeable avec la sécurité et la confidentialité des données, il existe de subtiles différences entre les trois termes :
Vous devrez investir dans les trois si vous souhaitez vous assurer que les données de votre organisation sont entièrement protégées. Dans ce guide, nous nous concentrerons principalement sur la protection des données, bien qu’il existe naturellement un certain chevauchement entre les trois domaines.
La protection des données dans une salle de serveurs ou un datacenter repose depuis longtemps sur la redondance. La perte, la corruption ou la mise en danger des données sont des risques que vous ne pouvez pas vous permettre de prendre. C’est pourquoi vous devez toujours avoir une sauvegarde.
Bien sûr, vous n’allez pas vous contenter d’une simple sauvegarde. La protection des données consiste à gérer vos points de récupération (RPO) et délais de récupération (RTO) pour les services les plus importants de votre pile technologique opérationnelle. En d’autres termes, c’est la rapidité avec laquelle vous pouvez sauvegarder et restaurer vos données pour éviter les interruptions des opérations commerciales critiques.
Qu’est-ce que le RTO et le RPO ?
RTO : Le temps maximal que votre entreprise peut se permettre de perdre concernant l’accès aux données qui alimentent vos applications et vos opérations. Il détermine la vitesse à laquelle il vous faut restaurer votre système.
RPO : La quantité maximale de données que votre entreprise peut se permettre de perdre. Il détermine la fréquence de vos sauvegardes.
Les RTO et RPO sont les indicateurs clés de performance (ICP) dont vous aurez besoin pour mettre au point votre stratégie de reprise après sinistre.
Découvrez pourquoi avec Ransomware, la restauration est la nouvelle sauvegarde
Également appelée sauvegarde et reprise après sinistre, la sauvegarde et la restauration font référence à la pratique consistant à sauvegarder vos données afin que vous puissiez restaurer vos services et opérations métier en cas de sinistre. Les sinistres peuvent inclure toutes sortes de situations, des catastrophes naturelles aux pannes, en passant par les erreurs humaines et les cyberattaques.
En fonction des technologies et des ressources disponibles pour votre organisation, vous devrez peut-être utiliser une ou plusieurs de ces techniques de sauvegarde dans le cadre d’une stratégie de reprise après sinistre de datacenter plus vaste :
La mise en œuvre d’un plan de sauvegarde solide n’est qu’une partie de l’équation de protection des données. La deuxième partie consiste à atteindre vos RTO. En d’autres termes, comment remettre vos systèmes métier en service après une catastrophe ? Un plan de reprise après sinistre type comprend :
Dans un monde de plus en plus numérique, les clients attendent des entreprises qu’elles puissent fournir leurs services 24h/24, 7j/7, sans interruption ni interruption. La protection continue des données (CDP), également appelée sauvegarde continue, consiste à sauvegarder le flux continu de données nécessaire pour soutenir les opérations commerciales modernes. Elle permet aux organisations de restaurer un système à tout moment. L’objectif de la CDP est finalement de minimiser les RTO et les RPO en cas de sinistre. En exploitant des sauvegardes continues en temps réel et en mettant en œuvre une stratégie solide de reprise après sinistre, il est possible de maintenir la continuité des opérations grâce à la CDP.
Jusqu’à présent, nous avons couvert les choses que vous pouvez généralement faire pour protéger vos données et maintenir la continuité des opérations en cas de sinistre. Mais il y a un type de sinistre qui ne cesse d’augmenter et qui mérite d’être résolu seul : le ransomware.
Les cybercriminels ont toujours été une menace, mais bien que les hacktivistes d’hier aient été motivés par des convictions politiques, culturelles et religieuses, les cybercriminels d’aujourd’hui sont largement motivés par des gains financiers. Ransomware dans lequel un pirate informatique vous empêche de récupérer vos données par chiffrement jusqu’à ce que vous payiez une rançon, est désormais un secteur qui pèse plusieurs millions de dollars. Et dans un monde où les temps d’arrêt se traduisent directement par une perte de revenus, il n’a jamais été aussi tentant de payer simplement cette rançon.
Dans les sections suivantes, nous aborderons ce que vous pouvez faire pour atténuer une attaque de ransomware.
La meilleure façon de lutter contre les ransomwares est d’éviter qu’ils ne se produisent en premier lieu. Il s’agit d’obtenir une visibilité à l’échelle du système, de respecter une bonne hygiène des données et de mettre en place un plan pour faire face à une menace une fois que vous l’avez identifiée.
Les cyberattaques ne sont pas aussi évidentes dans la vie réelle que dans les acteurs du cinéma. L’attaque elle-même ne dure que 30 à 40 minutes lorsqu’elle accède à vos fichiers et se déplace latéralement sur vos réseaux, en chiffrant les fichiers et en supprimant les sauvegardes. D’un autre côté, un attaquant peut se cacher sur votre réseau bien après avoir obtenu l’accès, surveillant vos réponses aux anomalies pendant qu’il planifie une attaque réelle. Dans tous les cas, au moment où vous recevez une note de rançon pour vos données, l’attaque est déjà terminée.
La seule façon de détecter une attaque de ransomware pendant qu’elle se produit consiste à détecter les tentatives d’hameçonnage dérobées (en formant vos employés) ou à détecter les activités suspectes sur votre réseau via des SEIM et des journaux. À condition que vous ayez pris ces mesures proactives et que vous disposiez des outils nécessaires, il est préférable d’avoir un plan de réponse aux cyberincidents (CIR) pour gérer l’activité anormale lorsque vous la découvrez. Documentez tout et informez le personnel informatique concerné pour isoler les systèmes concernés et limiter les dommages. Vous aurez besoin de ces dossiers pour répondre aux exigences de conformité et aider les forces de l’ordre à mener des enquêtes si cette activité s’avère être une véritable attaque de ransomware. Nous aborderons plus en détail la création d’un plan CIR plus loin dans cet article.
Vos fichiers ont donc été chiffrés et vous venez de recevoir une note de ransomware. Quelles sont vos options ?
Une option consiste simplement à payer la rançon, mais cela pourrait exposer votre organisation à une extorsion supplémentaire.
Une meilleure option, à condition de suivre les étapes proactives d’atténuation des ransomwares décrites dans les sections précédentes, consiste à purger, restaurer et réagir :
En savoir plus : Guide du pirate pour l’atténuation et la reprise Ransomware
Un plan de réponse aux cyberincidents est un document officiel qui décrit les détails que le personnel doit suivre en cas de cyberattaque. Il s’agit également d’une exigence de la norme PCI DSS (Payment Card Industry Data Security Standard). Les plans de réponse aux cyberincidents se composent généralement de six phases distinctes :
Cette phase décrit les étapes, les rôles et les procédures à suivre en cas de cyberincident. Préparer une équipe de personnes ayant des rôles et des responsabilités clairement définis pour répondre à un cyber-incident. Il couvre également le test de ces rôles et procédures via la formation des employés à l’aide de scénarios d’analyse tels que des violations de données fictives.
Cette phase implique la détection et l’analyse médico-légale des cyber-événements anormaux pour déterminer si une violation s’est produite et la gravité de l’incident.
La portée et la gravité de l’incident doivent être documentées et analysées avant de pouvoir être traitées efficacement. Les journaux système et réseau peuvent être la clé pour réagir immédiatement à une violation et déterminer les détails critiques d’un incident de sécurité après qu’il s’est produit.
En savoir plus : Vous avez été frappé par une attaque ransomware Que faire ?
En cas de cyber-incident, la phase de confinement précise les mesures prises pour prévenir d’autres dommages et atténuer les risques. Le confinement implique généralement des étapes de déconnexion et de désactivation des périphériques concernés d’Internet.
Une fois qu’une menace a été contenue, elle peut être analysée par un professionnel de la sécurité afin de déterminer la cause profonde de l’incident et d’éliminer toute menace. La suppression des logiciels malveillants, les correctifs de sécurité et les autres mesures doivent être décrits dans la phase d’éradication.
La phase de reprise implique des étapes et des procédures pour remettre en production les systèmes et les périphériques concernés. Des sauvegardes redondantes, des snapshots et un plan de reprise après sinistre peuvent être mis en œuvre pour restaurer les services critiques en cas de violation. Vous devez également disposer d’un environnement de reprise par étapes qui peut vous donner un moyen « prédéfini » de vous remettre en ligne juste après un événement.
La cybersécurité est un processus continu. Il est important de recueillir les informations recueillies et les enseignements tirés d’un cyberincident et de les appliquer à l’amélioration des protocoles de sécurité et du plan d’intervention en cas d’incident lui-même.
Obtenir un plan détaillé 6-Point pour « pendant » une violation de données
Dans ce guide, nous avons examiné les différents outils, stratégies et technologies disponibles pour protéger vos données et maintenir la continuité des opérations en cas de sinistre. En fin de compte, vos données sont aussi sécurisées que l’infrastructure que vous utilisez pour les gérer.
C’est pourquoi les produits Pure Storage® sont conçus de A à Z dans un souci de protection des données moderne. Voici quelques exemples de solutions modernes de protection des données développées par Pure :
Les menaces de données modernes nécessitent des solutions de protection des données modernes. Le stockage de vos données avec Pure Storage est le meilleur moyen de garantir les performances, la fiabilité et la sécurité de votre organisation.
Vous avez des questions ou des commentaires concernant des produits ou certifications Pure ? Nous sommes là pour vous aider.
Planifiez une démo en direct et découvrez comment Pure peut vous aider à transformer vos données.
Tél. : +33 1 89 96 04 00
Services Médias : pr@purestorage.com
Pure Storage France
32 rue Guersant
75017 Paris