16/12/2024

CybersécuritéSauvegarde

Les fondamentaux pour la sauvegarde d’un SI, d’après l’ANSSI

I. Présentation

Quelles sont les bonnes pratiques fondamentales pour sauvegarder son système d'information ? Si c'est une question que vous vous posez, sachez que le 25 octobre 2023, l'ANSSI a mis en ligne la première version de son guide intitulé "Sauvegarde des systèmes d'information - Les fondamentaux" qui s'adresse directement aux administrateurs, aux DSI et aux RSSI.

Le guide "Sauvegarde des systèmes d'information - Les fondamentaux" de l'ANSSI évoque les recommandations et bonnes pratiques essentielles, que ce soit pour l'architecture de l'infrastructure de sauvegarde, la gestion des opérations liées aux sauvegardes, les mesures de protection des données, la sauvegarde d'un environnement virtualisé et l'externalisation des sauvegardes.

Tout en sachant que la stratégie de sauvegarde globale définie dans une organisation doit tenir compte du :

  • RTO (Recovery Time Objective) qui correspond à la durée maximale définie par votre entreprise pour restaurer un service lorsqu'il y a un incident (par exemple, une perte de données).
  • RPO (Recovery Point Objective) qui correspond à la quantité maximale de données que votre entreprise accepte de perdre. Ceci fait référence au temps qui s'est écoulé entre la date et l'heure de la défaillance et la date et l'heure de la dernière sauvegarde valide.

II. Architecture de l'infrastructure de sauvegarde

La première grande partie des recommandations de l'ANSSI concerne l'architecture de l'infrastructure de sauvegarde.

Les serveurs de votre infrastructure de sauvegarde doivent être cloisonnés et connectés dans une zone réseau distincte de la zone de production. Cette recommandation peut être respectée par la mise en place de VLANs (sous-réseau logique) ainsi que de règles de pare-feu strictes pour contrôler les flux sortants, notamment entre le serveur de sauvegarde et les ressources à sauvegarder. À ce sujet, l'ANSSI précise : "Les flux de sauvegarde doivent être à l’initiative du serveur vers les clients sauvegardés." - Tous les accès et flux doivent être tracés à l'aide de journaux.

L'administration de l'infrastructure de sauvegarde doit être effectuée par l'intermédiaire de comptes locaux ou d'un annuaire Active Directory qui est différent de celui de la production. Autrement dit, ces serveurs peuvent être associés au domaine Active Directory dédié à l'administration du SI, si vous en avez un (ce qui est loin d'être une généralité).

Par ailleurs, si cela est envisageable, il est recommandé de déployer plusieurs serveurs de sauvegarde en fonction du niveau de sensibilité des données ou des applications. Par exemple, un serveur de sauvegarde pour les serveurs associés à la gestion des identités et un serveur de sauvegarde pour les postes de travail bureautique.

III. Les opérations sur l'infrastructure de sauvegarde

Le volet sur les opérations est particulièrement détaillé et il revient sur l'importance de bien définir sa stratégie de sauvegarde, de maintenir à jour sa solution de sauvegarde (on se protège des dernières CVE), et sur la gestion des comptes permettant l'administration de l'infrastructure de sauvegarde.

L'ANSSI recommande de respecter la règle "3-2-1" pour vos sauvegardes, à savoir 3 copies de la sauvegarde sur 2 supports différents, dont 1 hors ligne. Même s'il y a une évolution assez récente de cette règle : 3-2-1-1-0 : 3 copies de la sauvegarde sur 2 supports différents, dont 1 hors ligne et 1 en dehors du site (dans le Cloud, par exemple), et des sauvegardes fonctionnelles avec 0 erreur.

Cette "évolution" n'est pas mentionnée dans ce guide même si l'ANSSI insiste bien sur le fait qu'il soit nécessaire de contrôler les sauvegardes et de les tester régulièrement : "Les sauvegardes doivent être testées régulièrement. Une procédure de restauration du SI doit être rédigée et régulièrement mise en œuvre."

Vos sauvegardes doivent comprendre les données de vos utilisateurs, les médias d'installation et la configuration des applications métiers, sans oublier d'inclure au périmètre la sauvegarde de l'infrastructure de sauvegarde elle-même. Dans tous les cas, chaque instance de sauvegarde doit disposer de comptes dédiés et identifiables facilement, tout comme les comptes d'administrateurs pour la sauvegarde qui doivent être nominatifs et dédiés pour chaque opérateur. Vous pouvez même adopter le principe "RBAC" pour l'administration basée sur les rôles, avec un rôle pour la gestion quotidienne des sauvegardes et un rôle pour l'administration avancée (création d'une nouvelle stratégie, par exemple).

Enfin, vous n'avez pas envie que cela arrive, mais préparez-vous au pire : si votre entreprise est victime d'un incident de sécurité, vous devez prévoir un "bouton d'arrêt d'urgence" pour déconnecter au plus vite l'infrastructure de sauvegarde afin d'éviter qu'elle puisse être altérée. "En cas d’incident de sécurité, la mesure prioritaire doit être d’isoler l’infrastructure de sauvegarde du reste du SI. Cela suppose de prévoir un mode « bouton rouge » d’urgence (ex. : script automatisé, déconnexion d’un commutateur).", précise l'ANSSI.

IV. La protection des données

Un troisième volet dédié à la protection des données s'intéresse au chiffrement des données ainsi qu'aux flux de sauvegarde. Il est recommandé de protéger les flux de sauvegarde grâce à du chiffrement (TLS, par exemple) et de les soumettre à une authentification préalable, entre le serveur de sauvegarde et le client à sauvegarder.

Le chiffrement des sauvegardes est également recommandé, sans pour autant que ce soit systématique. Ce point implique également de prendre en compte la gestion des clés de chiffrement : qui peut accéder aux clés de chiffrement ? Où sont-elles stockées ? En complément, l'ANSSI précise : "Dans le cas où la sécurité physique d’un site de sauvegarde n’est pas jugée satisfaisante, il est important de chiffrer systématiquement les sauvegardes (disques, bandes magnétiques, etc.)."

V. La sauvegarde d'un environnement virtualisé

Les infrastructures de virtualisation sont omniprésentes dans les entreprises, sauf pour celles qui ont fait le choix de tout miser sur le Cloud. De ce fait, il est indispensable de sauvegarder les machines virtuelles. Il y a deux options possibles :

  • Sauvegarder directement la machine virtuelle, via la sauvegarde de ses fichiers, notamment les disques virtuels (VHDX, VMDK, etc.)
  • Sauvegarder les données et la configuration de la machine virtuelle grâce à l'installation d'un agent sur le système d'exploitation invité
  • Une option hybride qui consiste à coupler les deux méthodes, avec des sauvegardes effectuées à des fréquences différences

Pour choisir la bonne méthode, l'ANSSI recommande d'effectuer une étude pour tenir compte de différents critères, notamment le volume de données modifiées entre deux sauvegardes, les besoins en granularité, l'état du chiffrement de la VM, ainsi que votre capacité à reconstruire de façon automatique la VM.

Le tableau ci-dessous, proposé par l'ANSSI, liste les avantages et inconvénients des deux méthodes :

Bien que l'installation d'un agent offre de la granularité pour les opérations de sauvegarde et de restauration (c'est-à-dire que l'on peut sélectionner précisément le(s) élément(s) affectés par l'opération), nous pouvons profiter de la restauration granulaire pour de nombreuses solutions de sauvegarde sans avoir besoin d'un agent. En effet, la solution de sauvegarde pourra explorer le disque virtuel pour permettre la restauration d'un ou plusieurs fichiers.

Enfin, l'ANSSI termine cette partie par une phrase importante : "Si les serveurs de sauvegarde sont virtualisés, ils doivent être mutualisés exclusivement avec des serveurs de même sensibilité que le SI d’administration."

VI. Externalisation des sauvegarde

L'externalisation des sauvegardes est également une bonne pratique. Bien souvent, nous allons externaliser la sauvegarde vers un espace de stockage Cloud, à moins d'avoir la chance d'être dans une organisation répartie sur plusieurs sites géographiques.

Pour vos sauvegardes externalisées, vous devez faire appel à un fournisseur de services Cloud étant en mesure de stocker vos données dans l'Union européenne. Ceci étant, vous devez faire attention au processus de réplication interne mis en place par le fournisseur en question : où réplique-t-il mes sauvegardes ? Dans un autre centre de données situé dans l'UE ou en dehors de l'UE ?

Vous devez également prêter attention aux performances et au temps d'accès à vos sauvegardes. Les solutions d'archives en ligne sont surement moins coûteuses, mais ce ne sont pas forcément les plus réactives. Posez-vous la question suivante : combien de temps me faut-il pour restaurer une sauvegarde stockée dans le Cloud ? Ceci dépendra notamment de votre lien Internet, et cela fait directement référence à votre RTO.

VII. Les sauvegardes sur bande et les sauvegardes immuables

Dans ce guide, il est écrit noir sur blanc que la sauvegarde sur bande magnétique reste le moyen le plus efficace pour effectuer des sauvegardes hors ligne, c'est-à-dire des sauvegardes non accessibles directement à partir du réseau, ou d'un logiciel. En effet, la bande magnétique doit être insérée physiquement dans le lecteur pour être lue.

De nos jours, les sauvegardes immuables représentes une bonne alternative aux sauvegardes hors ligne, puisqu'il s'agit de sauvegardes verrouillées accessibles en lecture seule (pendant toute la durée du verrouillage, conformément à la politique de rétention). Ainsi, ce sont des sauvegardes qui, en principe, ne sont pas vulnérables aux ransomwares ou aux actes malveillants.

"Une solution de sauvegarde hors ligne reste considérée comme plus robuste qu’une solution WORM en ligne. Néanmoins, un compromis acceptable peut être d’effectuer des sauvegardes régulières avec une solution WORM et d’effectuer des sauvegardes hors ligne à une fréquence moindre.", précise l'ANSSI.

VIII. Conclusion

Après avoir lu cet article, vous êtes invité à lire le guide de l'ANSSI pour approfondir encore un peu plus le sujet. C'est un document intéressant, à conserver en tant que ressource. Vous l'aurez compris, ce guide de l'ANSSI n'a pas pour vocation à promouvoir une solution technique plus qu'une autre, mais grâce à ces recommandations, vous serez en mesure de déterminer si votre solution actuelle est adaptée.

Le guide l'ANSSI est disponible sur cette page :

Si vous souhaitez découvrir une solution de sauvegarde, en voici une :

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Les fondamentaux pour la sauvegarde d’un SI, d’après l’ANSSI

  • Merci beaucoup pour vos nombreux articles et vidéos très instructifs.
    J’ai 2 questions concernant la stratégie de sauvegarde 3-2-1 :
    1/un NAS configuré en RAID 5 compte-t-il pour 1 seul support?
    2/ En plus de mon NAS, j’ai des sauvegardes sur 2 DD externes que je permute tous les jours. Mais ne vaudrait-il pas mieux que j’espace les permutations, en cas de cryptovirus? J’ai entendu qu’un cryptovirus pouvait rester plusieurs jours dans le système avant de se déclencher. Dans ce cas, en changeant mes DD tous les jours, ils seraient tous les 2 compromis? sauf si j’ai des sauvegardes immuables, si j’ai bien compris…
    Bien cordialement

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.