Dans 96 % des attaques par ransomware, les pirates ciblent d’abord les dépôts de sauvegarde. S’ils réussissent, votre filet de sécurité disparaît. Pendant des années, la règle était simplement : « déplacer les données hors site ». Aujourd’hui, si cette copie hors site partage des identifiants ou des chemins réseau avec l’environnement de production, elle devient une victime différée.
Voici pourquoi votre stratégie actuelle de sauvegarde hors site pourrait vous donner un faux sentiment de sécurité, et comment y remédier avant qu’une faille ne survienne.
Points clés
- Copier simplement les données vers le cloud ou un site secondaire est inutile si ce site partage les protocoles d’authentification avec votre réseau principal infecté.
- La seule manière de garantir que les données hors site survivent à un compromis de credentials est d’appliquer l’immutabilité Write-Once-Read-Many (WORM) au niveau du stockage.
- Le cloud n’est qu’un support. Une stratégie hors site robuste exige un isolement logique, des clés de chiffrement distinctes et une architecture zero-trust, peu importe où se trouvent les serveurs physiques.
Sauvegarde hors site vs. sauvegarde cloud : définition
Il y a souvent confusion, donc soyons précis.
La sauvegarde hors site est une stratégie. Elle consiste à répliquer vos données vers un site géographiquement distinct afin de réduire le risque de catastrophes localisées (incendie, inondation) ou de panne complète du site. Cela peut être un second centre de données que vous possédez, une installation de colocation ou le bunker d’un fournisseur de services. La valeur principale réside dans la séparation.
La sauvegarde cloud est un support. Elle implique l’envoi de vos données à un fournisseur cloud public (comme AWS ou Azure) ou à un fournisseur spécialisé en sauvegarde en tant que service (BaaS).
Mais voici le problème : la sauvegarde cloud peut échouer comme stratégie hors site. Si vous montez un conteneur cloud générique comme un disque local avec des droits standard en lecture/écriture, le ransomware peut chiffrer ces données à distance aussi facilement que celles de votre disque local.
Une véritable stratégie hors site exige un isolement logique — utilisant des connexions immuables qui empêchent un serveur compromis de supprimer son propre historique.
Bonnes pratiques pour une résilience hors site à toute épreuve
Vous ne pouvez pas simplement « configurer et oublier » vos jobs de réplication. Pour transformer le stockage hors site en véritable résilience face aux ransomwares, il faut l’architecturer avec un état d’esprit Zero Trust.
1. Appliquer une « Immutabilité Absolue » (et non uniquement le mode Governance)
De nombreux fournisseurs de stockage proposent une fonctionnalité appelée « Immutabilité », mais le diable est dans les détails. Souvent, le mode par défaut est le « mode Governance », qui permet à un utilisateur avec des permissions root spéciales de contourner le verrou et de supprimer des données. Si un pirate récupère ces credentials root, votre immutabilité disparaît.
L’Immutabilité Absolue, en revanche, applique un accès nul par conception, pas seulement par politique. Dans cet état, personne — ni l’administrateur root, ni le CEO, ni le hacker — ne peut supprimer les données avant l’expiration de la période de rétention.
2. Isolement logique et segmentation réseau
Le trafic hors site ne doit jamais traverser les mêmes segments réseau que le trafic utilisateur. Si un employé RH clique sur un lien de phishing, le malware doit se heurter à un mur lorsqu’il tente de scanner vos sous-réseaux de sauvegarde.
Placez vos dépôts hors site sur un VLAN dédié avec des listes de contrôle d’accès (ACL) strictes. Idéalement, utilisez une configuration « pull », où le site hors site récupère les données depuis la source, plutôt que la source qui pousse les données. Ainsi, si la source est infectée, elle n’a aucun moyen de corrompre la destination.
3. Mise en œuvre de la règle « 3-2-1-1-0 »
La règle classique 3-2-1 (3 copies, 2 supports, 1 hors site) n’est plus suffisante. Elle a été conçue pour l’ère des incendies et des vols, pas pour les attaques actives assistées par IA.
Il est désormais indispensable de passer à la règle 3-2-1-1-0, ce qui implique :
- 1 copie immuable : au moins une copie (de préférence hors site) doit être immuable.
- 0 erreur : utilisez une vérification automatisée pour garantir que les données sont lisibles. Une sauvegarde non testée n’est qu’un fichier corrompu en attente de vous décevoir.
4. Chiffrement : maîtrisez vos clés
Envoyer des données hors site signifie qu’elles quittent votre périmètre physique. Si vous vous fiez au chiffrement par défaut du fournisseur cloud, vous dépendez de sa sécurité.
Chiffrez les données avant qu’elles ne quittent votre réseau (chiffrement côté source). Gérez vous-même les clés. Si le fournisseur de stockage hors site est compromis, vos données restent un amas de bruit incompréhensible pour les attaquants.
Ootbi : le chaînon manquant de votre stratégie de sauvegarde hors site
Toute sauvegarde hors site repose sur ce qui la précède. Si les données originales ne sont pas immuables, la réplication ne fait que transférer le risque en aval.
Ainsi, l’immutabilité côté source est la fondation de toute stratégie hors site véritablement résiliente. Sans elle, vos sauvegardes ne sont qu’une victime potentielle supplémentaire.
C’est pourquoi nous avons créé Ootbi (Out-of-the-Box Immutability), qui fournit un stockage de données sécurisé simple et performant pour les clients Veeam.
David Bennett, CEO d’Object First, déclare : « Les organisations ne peuvent pas se permettre de perdre du temps lorsqu’un ransomware frappe — leur chiffre d’affaires, leur réputation et les emplois sont en jeu. La résilience ne se limite pas à protéger les données ; elle consiste à récupérer rapidement lorsque cela compte le plus. Object First offre aux utilisateurs Veeam une solution facile à utiliser, à l’épreuve des ransomwares, pour récupérer plus vite et devenir véritablement résilient. »
