Saviez-vous que les pirates informatiques ciblent désormais directement les sauvegardes ? Ils ne s’attaquent plus uniquement aux serveurs, aux systèmes d’entreprise ou aux applications critiques. Selon une étude de Sophos, les pirates ont tenté de compromettre les sauvegardes dans plus de 94 % des attaques par ransomware. Plus de la moitié de ces attaques (57 %) ont abouti, compromettant considérablement la capacité des entreprises à récupérer leurs données.
Garantir la sécurité de leurs sauvegardes est désormais une priorité absolue pour les entreprises. C’est là que les sauvegardes hors ligne entrent en jeu. Avec les sauvegardes hors ligne, les données sont physiquement déconnectées du réseau, de sorte que les ransomwares ne peuvent pas y accéder, ce qui constitue une ligne de défense contre les ransomwares.
L’isolation physique est une méthode efficace pour sécuriser vos données. Cependant, elle n’est ni rentable ni efficace pour accéder aux données. À mesure que les besoins des entreprises en matière de données évoluent, des méthodes modernes de sauvegarde hors ligne ont vu le jour. Il est important de trouver un équilibre entre sécurité et facilité d’utilisation lors de la planification de votre infrastructure de sauvegarde.
Passage de l’isolation physique à l’isolation logique
Dans le passé, l’isolation physique était utilisée comme moyen de stocker des sauvegardes hors ligne afin de garantir la sécurité des données.
L’isolation physique de vos données impliquait que le réseau soit déconnecté manuellement ou mis hors tension afin que l’appareil soit complètement hors ligne. Les isolations physiques faisaient également référence aux supports de sauvegarde tels que les bandes, car ceux-ci étaient stockés physiquement hors site. De cette manière, les données étaient physiquement séparées du système principal. Cela signifiait que les données étaient totalement inaccessibles, à moins que l’attaquant ne puisse accéder physiquement à l’appareil.
Cependant, l’isolement physique s’accompagne également de multiples défis, notamment des difficultés de maintenance, une dépendance vis-à-vis des opérations humaines, une vulnérabilité aux erreurs humaines et des difficultés à vérifier la récupérabilité des sauvegardes.
Pour relever ces défis, les sauvegardes hors ligne modernes s’orientent désormais vers l’isolation logique. Même si les systèmes de sauvegarde sont toujours connectés au réseau, plusieurs couches sont mises en place pour garantir la sécurité des données. Cela comprend : des mécanismes d’authentification, des contrôles d’accès et des mesures de cryptage pour empêcher les fuites de données. Les sauvegardes immuables empêchent également la falsification ou la suppression des données, tandis que les pare-feu limitent l’accès externe aux données. L’isolation logique est beaucoup plus flexible, facile à gérer et évolutive que l’isolation physique.
| Isolement physique | Isolement logique | |
| Méthode d’isolation | Déconnexion physique : Débrancher le réseau, retirer les bandes ou éteindre l’appareil afin de séparer complètement les données du réseau. |
Déconnexion logique : L’appareil reste connecté au réseau. Cependant, les données sont isolées via des contrôles d’accès, un cryptage ou des pare-feu. |
| Sécurité | Isolement complet : Les pirates doivent avoir un accès physique à l’appareil pour pouvoir le manipuler. |
Tirez parti d’une approche de sécurité multicouche pour une protection robuste des données. |
| Management | La gestion à distance n’est pas possible, ce qui rend les appareils distants difficiles d’accès. | La gestion à distance est possible via Internet, ce qui rend la gestion plus efficace. |
| Entretien | La maintenance manuelle rend les opérations difficiles et nécessite du personnel dédié. | Les systèmes automatisés réduisent la charge de travail du personnel informatique. |
Les méthodes traditionnelles d’isolation physique des données garantissaient une séparation et une isolation complètes des données, mais au détriment de la commodité et de l’efficacité. En comparaison, la méthode moderne d’isolation logique des données permet de concilier facilité de gestion et protection des données. Lorsqu’elles cherchent à mettre en place une stratégie de sauvegarde hors ligne efficace, les entreprises n’ont pas nécessairement à choisir entre l’une ou l’autre. Elles peuvent combiner les deux approches de manière flexible pour répondre à leurs besoins opérationnels.
Tirez parti de l’isolation physique et logique avec ActiveProtect
Alors que les entreprises recherchent la sécurité et l’efficacité des données lors de la mise en œuvre d’une solution d’isolation des données, Synology ActiveProtect offre à la fois des capacités d’isolation physique et logique pour fournir aux entreprises une solution complète.
ActiveProtect offre trois niveaux de défense pour isoler les données au niveau le plus strict, même dans des conditions réseau difficiles.
Authentification des utilisateurs : intégrez Windows AD et LDAP pour centraliser la gestion des utilisateurs. Tirez parti des méthodes d’authentification multicouches telles que l’authentification unique (SSO), l’authentification à deux facteurs (2FA) et l’authentification multifactorielle (MFA) pour renforcer la sécurité des connexions et empêcher les connexions non autorisées.
Contrôles d’accès basés sur les rôles : utilisez des contrôles d’accès basés sur les rôles pour mettre en œuvre des autorisations granulaires en fonction des rôles et des besoins des employés, empêcher les abus de privilèges et garantir que seuls les utilisateurs disposant d’un accès peuvent effectuer des actions autorisées.
Protection immuable des données : grâce à la technologie WORM (Write Once, Read Many) intégrée et au verrouillage intelligent au niveau des versions, les données ne peuvent être modifiées, supprimées ou cryptées avant la fin de la période de conservation des données. Même en cas d’attaque par ransomware, les données restent intactes et accessibles.
Comment ActiveProtect optimise l’isolation physique
En termes d’isolation physique, ActiveProtect est doté de puissantes méthodes d’isolation des données afin d’offrir le niveau d’isolation le plus strict et d’optimiser les défis associés à la méthode traditionnelle d’isolation physique de vos données. Grâce aux contrôles de transmission des données et aux capacités d’isolation automatisées, vous pouvez protéger vos données de manière exhaustive avec ActiveProtect.
Lorsque les données sont transmises du serveur de sauvegarde vers un emplacement hors site, le système restreint la source elle-même. Seuls les serveurs autorisés peuvent effectuer des transmissions de données. Ceux qui ne sont pas autorisés n’ont pas accès aux données, qui restent ainsi sécurisées et isolées.
Contrairement à la méthode traditionnelle d’isolation physique des données, qui nécessite de déconnecter et d’éteindre manuellement les appareils, les entreprises peuvent compter sur une méthode d’isolation entièrement automatisée avec ActiveProtect.
Les entreprises peuvent définir leurs horaires de transmission de données en fonction de leur planning. En dehors des périodes de transmission de données, les appareils de sauvegarde peuvent être complètement isolés en désactivant l’interface réseau ou en les éteignant. Si les sauvegardes sont terminées avant l’heure prévue, les appareils repassent automatiquement en mode isolation. Cela minimise le temps d’exposition, laissant peu de possibilités aux pirates informatiques de frapper.
L’un des principaux inconvénients des air gaps physiques traditionnels est que les utilisateurs ne peuvent plus accéder aux tâches de gestion une fois que l’environnement est complètement déconnecté du réseau. ActiveProtect sépare le port de gestion du port de données, ce qui signifie que le port de gestion lui-même se trouve dans un réseau sécurisé et isolé. Ainsi, même si les ports de données sont fermés et que les données sont complètement isolées, les équipes informatiques peuvent effectuer des mises à jour quotidiennes, la maintenance quotidienne et des exercices de récupération dans un environnement protégé.
Avec l’augmentation des logiciels malveillants ciblant les sauvegardes, ActiveProtect permet aux entreprises de tirer parti des sauvegardes physiques ou logiques pour mettre en place une infrastructure de protection des données plus sûre et plus robuste.
Cliquez ici pour en savoir plus sur Synology ActiveProtect.