DIGITAL SOLUTIONS

S’assurer de pouvoir restaurer son système d’information face à toute éventualité

Compte tenu de l’évolution de la menace, les experts en cybersécurité savent qu’il faut se préparer au pire. Comment restaurer les systèmes d’une entreprise victime d’une attaque ciblée ou d’un randsomware et dont les sauvegardes sont elles aussi corrompues ? Confrontés à ce cas de figure, les experts en cybersécurité ont imaginé la solution ultime avec Cybervault.

June 20, 2024

La vie d’une société ne tient parfois qu’à un fil. Il y a quelques années, les experts en sécurité du groupe POST Luxembourg ont été confrontés au cas particulier d’une organisation dont les systèmes d’information avaient fait l’objet d’un sabotage interne et dont même les sauvegardes ont potentiellement été compromises. « Sans être en mesure de restaurer proprement ses systèmes, l’entreprise n’avait potentiellement plus d’existence, commente Mohamed Ourdane, Head of Cybersecurity chez POST Luxembourg. Considérant ce cas spécifique, mais éventuellement d’autres pouvant avoir les mêmes conséquences, tout responsable de sécurité doit se demander comment répondre à ce cas de figure. »

Les équipes en charge de cybersécurité de POST ont alors étudié la question et envisagé une solution pour parer à ce genre de situation critique. Pour répondre avant tout aux besoins du groupe, les experts de l’opérateur ICT et Telecom ont donc imaginé un nouveau service s’appuyant sur des solutions technologiquesavancées. « Le défi était de pouvoir définir une approche qui tienne compte de la vitesse à laquelle la menace évolue et des diverses formes qu’elle peut prendre. Entre les attaques externes ou les sabotages menés de l’intérieur, par un collaborateur qui agit de son plein gré ou sous la menace, l’objectif était de pouvoir parer àtoute éventualité », assure Akim Ziadi, Head of ICT Infrastructures chez POST Luxembourg.

S’appuyer sur un tiers de confiance

C’est dans ce contexte que POST a déployé le service Cybervault. L’idée est de permettre à des organisations de s’appuyer sur un tiers de confiance, un acteur indépendant, qui leur assure de pouvoir restaurer les systèmes lorsque les mesures de protection mises en œuvre en interne se sont révélées insuffisantes. « Il s’agitd’une forme de safe heaven, le dernier sanctuaire dans lequel on veille à préserver ses actifs les plus précieux, précise Franck Lartigue, Business Consultant au sein d’EBRC. Cybervault permet d’établir une sauvegarde en dehors de la structure, déconnectée des systèmes de l’entreprise, que l’on ne pourra restaurer qu’avec l’autorisation de plusieurs personnes, à la fois des représentants de l’entreprise et des tiers. »

La démarche vise à s’assurer, à l’issue d’une attaque, que les systèmes ne sont pas compromis et que les données présentes dans le «vault» sont viables pour une reprise d’activité. Face à toutes sortes de cybermenaces comme les ransomwares ou le sabotage avec la destruction en masse de fichiers, il est aujourd’hui plus que nécessaire d’avoir une visibilité sur l’ensemble de ses données.

Isolement, inaltérabilité, intelligence

Le service Cybervault de POST, par son approche, offre des garanties de sécurité et de résilience avancées. « On peut évoquer les 3 « i » inhérents au service, précise Akim Ziadi. Tout d’abord, chaque sauvegarde réalisée doit être automatiquement isolée du réseau de production (« Isolation »). Le système récupère les données de manière bien spécifique, afin de garantir que, une fois récupérée, l’information est déconnectée de l’environnement du client, c’est ce qu’on appelle en terme plus technique une solution AIR-GAP, mais cela n’est en soi pas encore suffisant. »

« À travers cybervault, les organisations profitent du niveau d’exigence que nous nous appliquons à nous-mêmes… »

La deuxième spécificité tient dans le caractère Inaltérable des données préservées (« Immutability »). Les informations, une fois enregistrées, sont inaltérables et ne peuvent plus être modifiées ni supprimées par quiconque ou quoi que ce soit, durant une durée déterminée. Concrètement, c’est la solution qui se connecte versl’environnement du client pour récupérer elle-même la donnée avant de rompre automatiquement la connexion. (« Intelligence ») « Dans un troisième temps, la solution apporte une étape essentielle avec une analyse quotidienne du contenu dans l’optique d’identifier d’éventuelles anomalies et, le cas échéant, détecter des infections voire d’éventuelles suppressions de données ou encore de corruption », poursuit Akim Ziadi. S’appuyant sur la technologie de AI / Machine learning, la solution va réaliser une analyse de la sauvegarde selon plus de 250 critères. Au-delà de la détection d’éventuels malwares, Cybervault va mettre au jour des comportements suspicieux. « L’enjeu est de s’assurer de la validité des données sauvegardées et, dès lors, de la capacité de l’organisation à restaurer les systèmes en toute sécurité en cas de besoin », assure Franck Lartigue.

S’appuyer sur des services de cyberdéfense

Au-delà de la solution technologique, ce qui compte ici, c’est la cyber-résilience, mais surtout de savoir ce qui se passe dans le système d’information de l’entreprise.

Au terme de chaque analyse, des opérateurs, au niveau des services SOC et CSIRT de POST, sont en mesure d’évaluer les alertes ou anomalies détectées ou encore d’analyser la donnée de manière isolée, commente Mohamed Ourdane.

« Il s’agit de s’assurer que, dans l’éventualité d’une compromission, celle-ci soi détectée le plus rapidement possible pour prendre l’action la plus adéquate avant que les choses empirent. »

C’est une démarche qui demande à définir le « minimum viable » de l’organisation, autrement dit les actifs numériques qui lui permettront la reprise de l’activité à la suite d’une crise.

Préalablement, il est utile d’évaluer la maturité du système d’information, d’établir des démarches robustes de reprise d’activité.

Si POST, en tant fournisseur de services essentiels, a mis en œuvre cette approche pour ses propres besoins, le groupe permet désormais à d’autres acteurs d’y recourir. « A travers ce service, les organisations profitent du niveau d’exigence que nous nous appliquons à nous-mêmes, assure Franck Lartigue. Le déploiement d’un tel service, considérant les compétences et les ressources techniques à mobiliser, peut représenter un investissement conséquent pour une organisation isolée. Dans la mesure où nous l’avons mis en place, notre volonté est d’en faciliter l’accès afin de renforcer la résilience de nos clients. »

Watch video

In the same category