Cet article s’articule autour de quatre approches complémentaires visant à renforcer la sécurisation des sauvegardes de bout en bout. Après avoir traité, en première partie, de l’exploitabilité des sauvegardes (1) et de la sécurisation de l’infrastructure de sauvegarde (2), cette seconde partie se concentre sur les deux dernières approches : la protection des sauvegardes contre leur destruction logique (3) et l’identification des risques résiduels associés aux mesures mises en œuvre (4). 

 

3. Protéger les sauvegardes contre la destruction logique

 

Dans une approche de défense en profondeur des sauvegardes et compte-tenu de la menace observée, l’hypothèse d’une prise de contrôle illégitime de composants de l’infrastructure de stockage et de sauvegarde doit être envisagée. 

D’une façon générale, afin de réduire efficacement le risque de perte de données, la bonne pratique consiste à veiller à ce que les sauvegardes ne soient pas soumises aux mêmes risques (cybers ou non) que les données stockées. Cette approche repose notamment sur la diversification des supports de sauvegarde, la mise en œuvre de séparations physiques ou logiques, et le maintien d’au moins une copie isolée hors ligne et hors site. 

Le recours à des dispositifs destinés à prévenir l’altération ou la suppression des données sauvegardées, même en cas d’attaque réussie sur l’infrastructure de stockage et de sauvegarde, doit donc être considéré. 

L’immuabilité et l’air gapping constituent les deux approches principales en la matière. Ces termes sont couramment mis en avant par les éditeurs mais les solutions et les risques résiduels associés à leur mise en œuvre varient. Il est donc nécessaire de bien comprendre les mécanismes sous-jacents associés à ces solutions, afin de choisir celle qui répondra au besoin de couverture du risque.  

Selon le Cyberbenchmark réalisé par Wavestone, près de 65% des organisations mettent en œuvre, au moins sur les fonctions critiques, des mécanismes d’immuabilité ou de airgapping et 21% les appliquent sur l’ensemble de leurs sauvegardes. 

 

L’immuabilité des sauvegardes, une technique de plus en plus adoptée  

 

« L’immutabilité des données signifie que les données peuvent être écrites mais ni modifiées ni supprimées » (NIST). 

Loin d’être uniforme, sa mise en œuvre repose sur des implémentations techniques diverses, dont la robustesse varie selon qu’elles s’appuient sur des dispositifs matériels ou logiciels.  

  a. Dispositifs purement matériels  : 

• Cartouches LTO WORM (avec matériel/firmware compatible) 
  Ces cartouches de bande magnétique permettent un enregistrement unique des données, empêchant toute modification ou suppression ultérieure, à condition que le matériel et le firmware soient compatibles avec le mode WORM (Write Once, Read Many).

     A la marge pour des cas d’usages spécifiques : 

• Jukebox BluRay 
  Ce système robotisé utilise des disques Blu-ray WORM pour stocker les données de manière permanente, en les rendant physiquement inaltérables une fois gravées. 
• Stockage Flash avec contrôleur WORM (firmware / e-Fuse bit) 
  Certains dispositifs de stockage flash intègrent un contrôleur doté d’un firmware spécifique ou de mécanismes matériels comme les bits e-Fuse, permettant de verrouiller définitivement les données après écriture. 

  b. Dispositifs logiciels embarqués ou non sur une appliances : 

• Appliance matérielle avec gestion locale 
  Il s’agit d’un équipement dédié à la sauvegarde, configuré localement pour appliquer des politiques d’immuabilité, souvent via des verrous logiciels ou des périodes de rétention non modifiables. 
• Appliance matérielle avec gestion en ligne 
  Ce type d’appliance permet une gestion à distance, parfois via un canal hors bande (out-of-band), afin que les politiques d’immuabilité ne puissent être altérées même en cas de compromission du réseau principal. 
• Logiciel à installer sur un système d’exploitation de l’organisation 
  Certaines solutions logicielles permettent de définir des règles d’immuabilité directement sur le système d’exploitation, bien que cette approche puisse être moins robuste car potentiellement vulnérable à une compromission du système hôte de l’organisation. 
• Capacités cloud (ex. : Amazon S3 Glacier / Azure Blob Storage) 
  Les services de stockage cloud offrent des options d’immuabilité via des politiques de rétention ou des verrous WORM, garantissant que les objets stockés ne peuvent être modifiés ou supprimés pendant une période définie. 

 

Il convient de souligner que le niveau d’immuabilité peut être ajusté en fonction de la nature des données concernées, afin d’optimiser les exigences de sécurité et les contraintes opérationnelles.  

Nous constatons que l’immuabilité figure de plus en plus parmi les mécanismes déployés dans les stratégies de protection des sauvegardes et reste davantage observée que l’air gapping.  

 

L’air gap des sauvegardes, une technique observée mais moins optimisée 

 

L’air gap⁴ est « Une interface entre deux systèmes dans laquelle (a) ceux-ci ne sont pas connectés physiquement et (b) toute connexion logique n’est pas automatisée (c’est-à-dire que les données ne sont transférées par cette interface que manuellement, sous contrôle humain)». 

À l’image de l’immuabilité, le air gapping peut être mis en œuvre selon des modalités diverses, telles que :

Modalités physiques : 

1. Bandes stockées et protégées hors ligne (principalement sur un site distant) 
   Les bandes magnétiques sont retirées du système de sauvegarde actif et conservées dans un lieu physiquement séparé, empêchant tout accès réseau ou automatisé. 
2. Bandes dans un robot de sauvegarde 
   Bien que physiquement connectées, certaines configurations de robots de sauvegarde permettent de déconnecter logiquement les bandes lorsqu’elles ne sont pas en cours d’utilisation, limitant ainsi les risques d’accès non autorisé. 
3. Autres supports de stockage amovibles tels que des disques (conservés hors ligne) 
   Des disques durs ou SSD peuvent être utilisés pour transférer des données, puis physiquement déconnectés et stockés dans un environnement sécurisé, assurant une isolation complète. 
4. Passerelles de transfert à diode optique 
   Ces dispositifs permettent un transfert unidirectionnel des données, empêchant physiquement tout retour d’information ou commande vers le système source et permettant d’atteindre un certain niveau de séparation. En l’absence de support natif d’un éditeur de produit de sauvegarde, des agents logiciels tiers permettant un transfert unidirectionnel doivent être utilisés en complément. 

 

Implémentations logiques du air gapping (sortant du principe d’isolation physique)  : 

1. Ports réseau « saloon doors » ouverts uniquement pendant la synchronisation 
   Les connexions réseau sont temporairement activées pour permettre la synchronisation des données, puis automatiquement désactivées, limitant ainsi la fenêtre d’exposition durant laquelle il est nécessaire de prendre des mesures afin de n’autoriser que le trafic de réplication légitime. 
2. Isolation par le contrôle d’accès et les capacités de chiffrement 
   Des mécanismes de contrôle d’accès stricts, combinés à un chiffrement, permettent de restreindre l’accès aux sauvegardes à des moments et des utilisateurs précisément définis. 
3. Sauvegarde en tant que service (cloud privé isolé / cloud tiers) 
   Certaines offres de sauvegarde externalisées garantissent une isolation logique complète, en cloisonnant les environnements clients et en limitant les interactions réseau à des canaux strictement contrôlés. Cependant, le risque d’une compromission de ces solutions n’est pas nul, comme en témoigne l’attaque réussie en 2025 sur un service de sauvegarde en ligne pour des configurations de pare-feu. 

 

Sous réserve d’une analyse de risques, en particulier dans le cadre du recours à une solution logique, l’implémentation de l’immuabilité des données est généralement à prioriser sur celle de l’air gapping. 

Si l’immuabilité et l’air gapping constituent des remparts efficaces pour préserver l’intégrité voire la confidentialité des sauvegardes classiques face aux risques de modification ou d’exfiltration, d’autres approches, davantage tournées vers l’optimisation opérationnelle, méritent également d’être examinées. 

Il ne s’agit plus ici de sécuriser des copies complètes de données, mais de recourir à des mécanismes alternatifs permettant une restauration rapide et massive, souvent au prix de certains compromis. C’est notamment le cas des instantanés (snapshots), qui s’imposent comme une solution technique privilégiée dans les environnements où la performance de reprise prime sur l’exhaustivité ou la robustesse des sauvegardes. 

 

Snapshots : une solution de restauration rapide, mais pas une sauvegarde à part entière 

 

Afin de mieux comprendre ce que recouvre techniquement la notion de snapshot, il est utile de se référer à la définition proposée par le NIST : « Un enregistrement de l’état d’une image en cours d’exécution, généralement capturé sous forme des différences entre une image de référence et l’état actuel. » 

Autrement dit, un snapshot correspond à une capture instantanée de l’état d’un système de fichiers ou d’un volume de données à un moment donné. Contrairement à une sauvegarde complète, il n’enregistre que les blocs ou fichiers modifiés depuis l’état de référence. Ce mécanisme, rapide et peu gourmand en ressources, s’avère particulièrement adapté aux environnements où la reprise d’activité rapide est prioritaire. Il est plus largement utilisé dans les infrastructures virtualisées ou cloud. 

Cependant, cette efficacité opérationnelle s’accompagne de compromis notables sur la qualité des sauvegardes. En effet, les snapshots ne constituent pas des copies indépendantes des données : ils dépendent de l’intégrité du système hôte. En cas de corruption du volume principal, les snapshots peuvent devenir inutilisables. De plus, leur gestion dans le temps (rotation, rétention, cohérence applicative) nécessite une rigueur particulière pour éviter les dérives. 

Les snapshots, bien qu’efficaces pour accélérer la reprise d’activité, ne sauraient se substituer à une véritable stratégie de sauvegarde. Ils doivent être envisagés comme un complément à des dispositifs plus robustes, assurant la pérennité et l’intégrité des données. 

Qu’il s’agisse de snapshots ou de sauvegardes classiques, leur intégration dans une architecture de protection impose une analyse de risques approfondie, incluant l’identification des vulnérabilités résiduelles. 

 

4. Approche risque et identification des risques résiduels 

En raison des enjeux liés à une perte irréversible de données ou/et à un arrêt prolongé d’activités indispensables à une organisation, l’analyse des risques portant sur les moyens de sauvegarde ne constitue pas une étape accessoire, mais bien un pilier essentiel d’une stratégie de sauvegarde cohérente et maîtrisée. 

 

Intégrer l’analyse de risques au cœur de la gestion des sauvegardes 

 

Qu’elle s’inscrive ou non dans une démarche formelle d’homologation, la conduite d’une analyse de risques des moyens de sauvegarde vise s’assurer que les dispositifs en place sont adaptés aux menaces identifiées et aux exigences de continuité d’activité. 

Dans cette optique, l’analyse de risques appliquée aux sauvegardes, s’appuyant par exemple sur la méthode EBIOS-RM proposée par l’ANSSI, permet d’évaluer les dispositifs existants, d’identifier des scénarios d’attaque plausibles, comme la compromission du serveur de sauvegarde ou l’altération des données, et d’en apprécier la vraisemblance. Cette approche aide à prioriser les actions de sécurisation en fonction des impacts potentiels sur l’activité, tout en s’assurant que les risques résiduels restent acceptables au regard des objectifs métiers. 

Le suivi des risques résiduels, qui subsistent malgré les mesures de protection mises en œuvre, constitue un prolongement naturel de l’analyse. Il est donc essentiel de les identifier, de les documenter et de les intégrer dans une stratégie de gestion continue de la sécurité. A titre illustratif, ces risques résiduels peuvent être : 

• Malveillance interne : Un administrateur malveillant ou un employé disposant d’un accès privilégié peut volontairement altérer ou supprimer les sauvegardes. 
• Compromission du fournisseur cloud assurant les sauvegardes : Une compromission du fournisseur cloud, liée par exemple à l’exploitation de vulnérabilités non publiques, pourrait permettre à un attaquant d’accéder aux sauvegardes ou de les manipuler, en contournant les mécanismes de sécurité du client. 
• Compromission des comptes clients (tenants) : L’accès non autorisé aux comptes clients peut entraîner une perte de contrôle sur les sauvegardes, leur suppression ou leur altération. 
• Destruction des actifs de la solution de sauvegarde : Si l’infrastructure de sauvegarde est détruite (physiquement ou logiquement), il sera compliqué, voire impossible de restaurer des sauvegardes en cas de perte de ressources critiques telles que : 
  • Catalogues de sauvegarde / bases de données des outils de sauvegarde 
  • Secrets telles que les clés de déchiffrement 
• Compromission technique de l’outil de sauvegarde : Un attaquant peut rendre les sauvegardes inutilisables en exploitant des vulnérabilités techniques liées à l’outil ou au système hôte (y compris via les accès hors bande bas niveau tels que iLo/iDRAC). 
• Compromission des comptes administrateurs : Même avec des mécanismes d’immutabilité, une compromission fonctionnelle des comptes administrateurs peut permettre de désactiver ou de contourner les protections avant, voire dans certains cas après, l’écriture des données (période de rétention, mécanismes de gestion du temps, …). 

• Compromission de la protection cyber de l’outil de sauvegarde : Si un attaquant manipule les paramètres de protection des sauvegardes tels que ceux liés au chiffrement (ex. : encryption_secret), les sauvegardes peuvent rester inexploitables.  

 

Une fois la solution de sauvegarde sécurisée implémentée, compléter cette analyse par des audits périodiques, notamment de type « RedTeam” 

 

En complément de l’analyse théorique et du suivi des risques résiduels, des audits périodiques permettront d’identifier les vulnérabilités liées à l’implémentation de la solution de sauvegarde. Parmi les types d’audit possibles, les exercices de type RedTeam, visent à reproduire le comportement d’un attaquant cherchant à détruire les sauvegardes. Ceux-ci auront également pour objectif d’éprouver l’efficacité des moyens techniques et humains mis en œuvre en matière de protection, de détection et de réaction face à une attaque. 

 

Conclusion 

 

La protection des sauvegardes contre les rançongiciels repose sur une approche globale et pas seulement une approche “produit” : 

• Vérifier en continu la fiabilité des sauvegardes permettant de reconstruire efficacement son SI ; 
• Protéger l’infrastructure de sauvegarde en limitant sa surface d’attaque ; 
• Protéger les données sauvegardées, en priorité via l’immuabilité ; 
• S’inscrire dans une approche transverse de maîtrise du risque. 

Le niveau d’exigence en matière de sécurisation des sauvegardes ne cessera de croître à mesure que les attaquants affinent leurs techniques et renforcent leurs capacités. 

La vigilance et l’adaptation continue face à l’évolution de la menace restent donc les meilleurs alliés d’une stratégie de sauvegarde résiliente.