La prévention, la détection et la réponse reçoivent beaucoup d’attention en cybersécurité, mais l’importance de la récupération est encore sous-estimée. C’est souvent là que les choses se compliquent en raison de responsabilités mal définies.
Mieux vaut prévenir que guérir. Cet ancien dicton n’est pas seulement la règle d’or en médecine, le monde de la sécurité l’a également totalement adopté. Les fournisseurs de sécurité rivalisent avec leurs pourcentages de prévention et si quelqu’un parvient à s’infiltrer, un arsenal de moyens de détection et de réponse est prêt à expulser les intrus.
Malgré tous les outils et technologies dont disposent les entreprises, un incident guette derrière chaque clic de souris. Selon Darren Thomson, Field CTO EMEAI chez Commvault, le « cinquième » volet de la sécurité reçoit encore trop peu d’attention : la récupération. « Une intrusion est tôt ou tard inévitable. Les entreprises commencent à réaliser que cela peut leur arriver. Mais le marché de la sécurité s’est historiquement peu concentré sur la récupération ».
Qui est responsable ?
La raison est plus culturelle que technologique, selon Thomson. « Les solutions de sécurité sont destinées aux CISO. Lors d’une cyberattaque, c’est vers eux qu’on se tourne, mais leur priorité est avant tout de prévenir et de réagir aux attaques. La responsabilité de la gestion des sauvegardes et de la restauration des données incombe à l’équipe infrastructure, qui dans de nombreuses organisations travaille séparément de l’équipe sécurité ».
« Dans un bon plan de sécurité, les responsabilités de chacun doivent être clairement définies. Il faut également réunir les équipes pour élaborer des processus de restauration des données “saines”. En tant que fournisseurs, nous devrions également faire davantage pour renforcer nos technologies respectives. Les acteurs de la prévention excellent dans leur domaine, tandis que des entreprises comme Commvault peuvent apporter leur expertise en gestion d’infrastructure ».
Quatre-vingts jours
Dans la pratique, les choses se passent encore souvent mal, observe Thomson. « Ce qui constitue une bonne norme de récupération dépend de chaque organisation. Mais environ dix jours pour une récupération complète est un bon objectif à viser. Vos données et applications les plus critiques devraient en fait être à nouveau opérationnelles dans les deux jours suivant l’attaque. Certaines entreprises peuvent revenir en un jour, mais elles sont plutôt exceptionnelles ».
« Parfois, cela prend soixante à quatre-vingts jours, voire plus, avant qu’une entreprise ne se remette d’une attaque. C’est beaucoup trop long », met Thomson le doigt sur le problème. « Le temps moyen de récupération pour les grandes entreprises est d’environ 24 jours, ce qui représente encore plus d’un mois complet d’activité ».
Il faut parfois jusqu’à quatre-vingts jours pour qu’une entreprise se remette d’une attaque. C’est beaucoup trop long.
Darren Thomson, Field CTO EMEAI Commvault
Récupération propre
Thomson fait encore une nuance importante : une récupération propre ne signifie pas nécessairement une bonne récupération. « Les criminels s’attaquent souvent d’abord aux sauvegardes, car ils savent qu’elles constituent un élément crucial du plan de récupération. Restaurer des données corrompues a l’effet inverse. Si vos sauvegardes sont compromises, vous répliquez les malwares dans tout votre environnement informatique ».
Une autre erreur que font les entreprises est de ne pas savoir quoi restaurer en premier. « Il est important d’établir des priorités. Commencez par ce que nous appelons la minimum viable company : quelles applications et données sont nécessaires pour continuer à fonctionner ? Ce dont vous avez besoin en premier doit pouvoir être restauré en premier et ne doit pas être compromis ».
« On pense encore trop souvent que la disaster recovery est la même chose que la cyber recovery. Les réglementations comme DORA et NIS-2 devraient rendre cette distinction encore plus claire. Les directives concernant la création de sauvegardes sont déjà un pas dans la bonne direction, mais on ne met pas assez l’accent sur l’importance des données “saines” », déclare Thomson.
Tester, tester et encore tester
Avec des sauvegardes qui suivent les règles de l’art, une entreprise se construit une assurance contre les attaques. Mais comment savoir si ces sauvegardes sont fiables ? « La maturité en matière de sauvegardes augmente, mais il manque souvent encore quelque chose dans la stratégie. Les entreprises ne savent pas suffisamment si leurs sauvegardes sont propres, car les équipes infrastructure ont rarement cette connaissance. C’est pourquoi la sécurité et l’infrastructure doivent collaborer ».
Thomson recommande également l’utilisation d’outils technologiques. Ce n’est pas un hasard si son employeur Commvault mise sur les cleanrooms. « Avec une cleanroom, vous créez un environnement sécurisé et “air-gapped”. Cela permet d’isoler les sauvegardes et de les tester régulièrement sans affecter l’environnement de production ».
L’importance des tests ne peut être assez soulignée. « Selon la complexité de votre environnement, vous devriez tester au moins mensuellement, mais plus fréquemment c’est mieux. Cela se fait encore trop peu car on ne sait pas quand les tests peuvent être effectués. Faire venir des experts en dehors des heures de bureau est coûteux. Mais si vous ne savez pas si votre plan fonctionne, vous n’avez pas de plan ».
lire aussi
La prévention est importante en sécurité, mais la guérison aussi
Enfin, nous demandons à Thomson de nous donner un dernier conseil précieux. « Les “mégatendances” comme l’IA sont une arme à double tranchant. Les types d’attaques ne changent pas, mais ont plus d’impact. Vous devez comprendre les tendances pour pouvoir vous défendre. Une fois que vous réalisez qu’une attaque est inévitable, vous comprendrez qu’il faut aussi investir dans la récupération ».