En 2020 les entreprises utilisaient en moyenne 45 outils différents de protection comme rempart de sécurité, de l’antivirus au firewall, en passant par l’IPS, le SSO, les stratégies de sauvegarde, etc. Et malgré ces solides armements, il s’avère que 34% des cyberattaques subies sont le fait d’insiders (via l’usurpation d’identité des personnes clés du système d’information), une tendance qui s’accélère. Autre fait nouveau, les cybercriminels ciblent en priorité les infrastructures de sauvegarde dans le but d’empêcher la restauration des données et ainsi contraindre les entreprises à payer les rançons. La question n’est donc plus de savoir si elles seront attaquées, mais plutôt de savoir si elles seront capables de relancer leur système d’information quand cela arrivera.

Dans ce contexte, il apparaît que les dispositifs de cybersécurité ne sont clairement plus suffisants, ils doivent être complétés par un second rempart. C’est tout l’objet de Cyber Recovery qui permet de récupérer les données vitales perdues le cas échéant et de redémarrer, même si le système de sauvegarde opérationnelle a été détruit et ce quelle que soit l’infrastructure.
Cyber Recovery repose sur quatre piliers :

• La sanctuarisation des données et des systèmes : toutes les institutions à travers le monde – et notamment l’ANSSI - préconisent d’isoler les systèmes et les données sauvegardées derrière un Air Gap. Ce « Minimum Viable Company » est isolé des réseaux, hors de portée. Ce sanctuaire est physiquement sécurisé, interdit d’accès sauf au personnel dument habilité à opérer sur le système d’information primaire pour se prémunir contre les malwares et les insiders.

• L’immuabilité des données : une fois les données hébergées dans ce sanctuaire, elles ne doivent plus pouvoir être modifiées et n’autoriser que l’ajout de nouvelles informations afin d’éviter toute corruption des données.

• L’identification de la dernière copie saine : en moyenne les entreprises mettent 197 jours à détecter une cyberattaque avancée. Ainsi, l’analyse des sauvegardes doit-être pro-active pour se tenir prêt à une restauration le cas échéant. Cette vérification de l’intégrité de la copie est encore trop souvent réalisée qu’après l’attaque et fait perdre un temps précieux et des données clés.

• La remédiation et la restauration autonome : il faut être en mesure d’identifier rapidement la dernière bonne copie dans le sanctuaire, sans avoir à reconstruire le catalogue de sauvegarde ou attendre d’avoir rebâti l’infrastructure de sauvegarde pour pouvoir restaurer.

Entre les nouvelles organisations du travail, les défis économiques à relever et l’augmentation des menaces de sécurité, les entreprises doivent s’armer efficacement afin d’appréhender sereinement l’avenir.