Les sauvegardes
      Revenir à l'accueil
      1. Centre d'aide
      2. Bonnes pratiques cyber
      3. Les sauvegardes

      Solutions de sauvegarde Cloud

      Au sommaire de cet article :

       

      Google Drive et OneDrive

      Les environnements Google Drive et OneDrive ne disposent pas de fonctionnalités natives permettant de restaurer leurs données à la suite d'un ransomware ayant supprimé leurs versions antérieures. Par conséquent, il est nécessaire de considérer certaines solutions afin de sauvegarder régulièrement leurs données pour les protéger.
       
      Plusieurs solutions peuvent être considérées pour mener cet objectif à bien, chacune ayant leurs avantages et inconvénients.
       
      Solution #1 : Disque dur 
      Cette solution revient à effectuer manuellement une sauvegarde des fichiers de l'environnement Google Drive ou OneDrive sur un disque dur externe. Idéalement, une sauvegarde d'un environnement OneDrive ou Google Drive devrait être effectuée sur au moins deux disques durs externes afin de se prémunir de la perte des données d'un des disques dur. Bien que la solution soit la plus simple d'exécution, il s'agit de la solution la plus contraignante.
       

      Solution #2 : NAS

      Le NAS (Network Attached Storage) correspond à un serveur de stockage physique en réseau. Cette solution consiste à installer sur le NAS une application de synchronisation, à savoir Google Drive Desktop pour un environnement Google Workspace et OneDrive pour un environnement O365, afin de synchroniser régulièrement les disques partagés (Google Drive) et sites Sharepoint (OneDrive) régulièrement et d'effectuer des sauvegardes sur les disques du NAS. Il est également possible d'utiliser certains types de RAID pour améliorer la sécurité ou la tolérance aux pannes des disques du NAS.

       

      Solution #3 : Espace de stockage AWS/Azure

      Azure (Microsoft) et AWS (Amazon) proposent des espaces de stockage Cloud abordables afin de conserver des sauvegardes. L'idée est de transférer régulièrement l'ensemble des données des environnements Google Drive et OneDrive vers un de ses espaces de stockage, manuellement ou automatiquement à l'aide d'un script et d'une machine souscrite à l'un de ces environnements. En effet, plusieurs outils gratuits sont développés et souvent mis à jour, à savoir rclone et duplicity, destinés à permettre ce genre de transfert.

       
      Solution #4 : Solution tierces
      Certaines solutions tierces peuvent être envisagées si l'ensemble des solutions précédentes ne conviennent pas. Celles-ci rendent la sauvegarde très simple d'utilisation, mais avec une contrepartie financière non négligeable. Ce type de solution revient à fournir l'accès d'une solution tierce à son environnement Google Drive et OneDrive afin qu'elle puisse régulièrement récupérer les données automatiquement. Celles-ci disposent également de fonctionnalités de restauration de données. Parmi celles-ci, il est possible de citer Afi, Backupify, Spanning ou encore SpinBackup.
       
      Tableau récapitulatif
      En analysant l'ensemble de ces scénarios, il est possible de définir certains critères et de classer l'ensemble de ces solutions en fonction, comme l'illustre le tableau suivant :
      Capture d’écran 2023-07-31 à 17.12.43

       

      Azure

      Sauvegardes immuables Azure

      Les sauvegardes Azures peuvent être de 2 types, Backup Vault ou Recovery Services, dépendant de vos modèles de données :datasources$ (1)

       
      Il existe 2 méthodes pour garantir l'immutabilité de ces sauvegardes :
      1. Vérifier que la fonctionnalité Soft Delete soit bien activée. Par défaut, le Soft Delete est activé sur les Azure Recovery Services vault. Cette fonctionnalité protège les sauvegardes des délétions accidentelles ou malicieuses sur une durée de 14 jours sans couts additionnels. Si les sauvegardes sont supprimées et que le Soft Delete n'est pas activé, ni vous ni Microsoft ne peuvent récupérer les données supprimées. Il est nécessaire d'implémenter la protection suivante afin d'éviter le scénario suivant :
        1. Compromission du tenant Azure et des Vault ;
        2. Désactivation du Soft Delete ;
        3. Suppression des sauvegardes ;
        4. Restauration ;
        5. Suppression définitive.
      2. Utiliser le Multi User Authorization (MUA) sur la fonctionnalité Soft Delete. Le MUA pour Azure Backup utilise une nouvelle ressource appelée Resource Guard pour garantir que les opérations critiques, telles que la désactivation du Soft Delete, l'arrêt et la suppression des sauvegardes ou la réduction de la rétention des stratégies de sauvegarde, sont effectuées uniquement avec l'autorisation applicable. Afin de comprendre le processus, il faut comprendre 2 rôles qui doivent etre définis dans l'organisation Azure :
        1. Administrateur des sauvegardes: Propriétaire du Vault Recovery Services ou du Backup Vault qui effectue des opérations d'administration et de gestion sur ceux-ci ;
        2. Administrateur sécurité: Propriétaire du Resource Guard, il agit comme un gardien des opérations critiques sur le vault. Par conséquent, l'administrateur de sécurité contrôle les autorisations dont l'administrateur de sauvegarde a besoin pour effectuer des opérations critiques sur le vault.

       

      Pour configurer le MUA, il faut:
      • Vérifier que Resource Guard et Azure Recovery Services Vault soient dans la même région Azure ;
      • Vérifier que l'administrateur des sauvegardes ne dispose pas des droits de contributeur sur Resource Guard. Vous pouvez avoir Resource Guard dans une autre Souscription du même Tenant ou bien dans un autre Tenant ;
      • Suivre la procédure officielle Azure.
       
      Protéger vos opérations critiques Azure
      La configuration de coffres-forts immuables permet les protections suivantes :
      • Recovery Services :
        • Protège les données contre l'effacement ;
        • Empêche la modification ou la suppression de la politique de sauvegarde afin de réduire la durée de conservation des données.
      • Backup Vaults :
        • Protège les données contre l'effacement
       
      1. Connectez vous a votre Portail Azure et cherchez Recovery Services Vaults, Backup Vaults ou bien le coffre fort que vous souhaitez protéger :azure_backups 
      2. Cliquez sur l'onglet Propriétés pour activer le coffre-fort immuable et verrouiller le coffre-fort pour la durée de la politique de sauvegarde :properties
        lockNote : cette étape ne peut pas être annulée, à utiliser avec précaution pour les données sensibles.
      3. Répétez cette opération pour les autres chambres fortes nécessaires à la continuité des activités de l'entreprise.

       

      AWS

      Solution dégradée (sans droits SCP)

      Note : La première étape doit être reproduite pour chaque compartiment S3 contenant des données sensibles ou techniques qui peuvent être nécessaires à la production.

      1. Créez une politique de compartiment S3 qui interdit la suppression des versions du compartiment S3.
        1. Dans votre console de gestion S3, cliquez sur le compartiment souhaité, puis l'onglet Autorisations :
        2. Sous la section Politique de compartiment, cliquez sur Modifier.
        3. Remplacez la politique de compartiment existante (le cas échéant) par la politique JSON suivante : 
          {

              "Version": "2012-10-17",

              "Statement": [

                  {

                      "Sid": "DenyVersionDeletion",

                      "Effect": "Deny",

                      "Principal": "*",

                      "Action": "s3:DeleteObject*",

                      "Resource": "arn:aws:s3:::my-bucket-stoik/*"

                  }

              ]

          }

          Note : Remplacez your-bucket-name par les noms ARN de votre compartiment S3.

      2. Créez un mécanisme d'alerte pour détecter toute modification ou suppression de ce compartiment.
        1. Tout d'abord, vous devez activer CloudTrail s'il ne l'est pas déjà.
        2. Accédez à la console CloudWatch, cliquez sur Événements > Règles.

        3. Ensuite, cliquez sur Créer une règle, sélectionnez le service CloudTrail dans le menu déroulant et AWS API Call via CloudTrail comme type d'événement.

        4. Enfin, cliquez sur Opérations spécifiques et ajoutez : 
          1. PutBucketPolicy
          2. DeleteBucketPolicy
          3. DeleteBucketLifecycle
          4. DeleteBucketPublicAccessBlock
          5. PutBucketPublicAccessBlock
          6. DeleteBucket comme opérations pour lesquelles nous voulons être alertés.
          7. Ajoutez le code JSON suivant pour configurer l'alerte :
            {
              "source": ["aws.s3"],
              "detail-type": ["AWS API Call via CloudTrail"],
              "detail": {
                "eventSource": ["s3.amazonaws.com"],
                "eventName": ["DeleteBucket", "DeleteBucketLifecycle", "DeleteBucketPolicy", "PutBucketPolicy", "DeleteBucketPublicAccessBlock", "PutBucketPublicAccessBlock"],
                "requestParameters": {
                  "bucketName": ["my-bucket-stoik"]
                }
              }
            }
            Note : vous devez remplacer my-bucket-stoik par le nom du compartiment que vous souhaitez protéger.
        5. La dernière étape consiste à configurer l'alerte cible. Vous pouvez choisir un sujet SNS pour envoyer une notification à un sujet SNS, ou choisir une fonction Lambda pour déclencher une fonction Lambda.