Pure Storage devient un spécialiste du sauvetage après cyberattaque
Le fournisseur s’engage à prêter sous 24 heures une baie de secours pour relancer l’activité en cas de ransomware, avec à la clé une méthode pour forcément parvenir à restaurer les données sous 48 heures.
Plus qu’un produit, un service à domicile. En marge de l’annonce de baies FlashArray//X et //C remises au goût du jour, ainsi que d’une nouvelle FlashArray//E d’entrée de gamme, Pure Storage a dévoilé lors de Pure//Accelerate, son événement annuel qui se tenait à Las Vegas ce mois-ci, un service Ransomware Recovery SLA.
Vendu en option du contrat Evergreen//One, Ransomware Recovery SLA correspond au prêt, sous 24 heures, d’une baie de stockage neuve, avec intervention des équipes Pure Storage pour restaurer dessus, sous 48 heures, les snapshots immuables de la baie de production lorsque celle-ci a été corrompue par un ransomware.
« Le problème en cas de cyberattaque est que la compagnie d’assurance ou les autorités viennent mettre un scellé sur la baie de stockage, dont le contenu a été endommagé, à des fins d’enquête. Ce faisant, vous n’avez même plus votre matériel pour relancer votre activité. Avec ce service, nous vous apportons la garantie que vous pourrez reprendre un fonctionnement normal en un temps record, malgré tous les inconvénients qui se posent », explique Shawn Hansen, le directeur général de la gamme Flasharray.
Shawn HansenDirecteur général gamme Flasharray, Pure Storage
Pure Storage vend ses baies par souscription selon trois formules possibles. Evergreen//Forever permet de renouveler ou d’ajouter ad vitam æternam des capacités aux baies que l’on possède déjà sans qu’il soit besoin de subir une migration. Evergreen//Flex comprend une capacité de stockage additionnelle que le client ne paie que lorsqu’il l’utilise.
Evergreen//One, enfin, ajoute à la possession de la baie des services de maintenance en opération : l’ajout de capacité ou le remplacement de contrôleur en un temps record pour maintenir un niveau de fonctionnement ou, désormais, le prêt d’une baie de secours.
Le contrat lié à Ransomware Recovery SLA prévoit un prêt de 180 jours maximum, mais le constructeur concède que ce délai pourra être allongé selon les circonstances.
Des snapshots immuables déclenchés par défaut
Derrière cette nouvelle offre de service, il y a surtout deux caractéristiques techniques apparues quelques mois plus tôt. La première est le SafeMode : désormais, toutes les baies PureStorage réalisent par défaut des snapshots réguliers de leurs contenus. Ces snapshots sont immuables, c’est-à-dire qu’il est impossible de les effacer, même par un administrateur, avant une certaine date.
D’ordinaire, ces snapshots sont une option de sauvegarde à la discrétion de l’utilisateur. Mais, s’agissant de garantir que les contenus puissent être restaurés, Pure Storage ne veut pas prendre le risque que ses utilisateurs oublient d’activer ce précieux système d’instantanés.
L’autre caractéristique est une fonction de monitoring récemment apparue dans le système d’exploitation Purity des baies Pure Storage. Cette fonction est assez simple, mais, selon le constructeur, terriblement efficace : elle surveille que le système parvient toujours à dédupliquer et compresser les données selon un taux moyen, affiné au fil des jours, et envoie une alerte dès que ce n’est plus le cas. En effet, la chute de ce taux est le symptôme de données qui sont en train d’être chiffrées par un ransomware, le chiffrement n’étant pas mathématiquement compatible avec les algorithmes de réduction des données.
« Dès lors, le scénario est le suivant : dès que la cyberattaque commence, notre système vous envoie une alerte. Vous pouvez dès lors tout couper pour éviter que les dégâts s’étendent et cela enclenche la procédure de livraison d’une nouvelle baie sous 24 heures. Ensuite, grâce aux logs de Purity, un expert de Pure Storage déterminera le dernier snapshot SafeMode sain qui a été réalisé et restaurera son contenu sur la nouvelle baie, à raison de 8 To par heure », raconte Shawn Hansen.
« Avec ce service, vous reprenez très rapidement votre activité pratiquement à l’instant où elle s’est arrêtée. Aucun autre fournisseur de stockage ne propose un tel service », argumente-t-il.
L’avantage unique d’intervenir sur le recouvrement
L’analyste Christophe Bertrand, spécialiste de la sauvegarde pour le cabinet d’études ESG, applaudit l’initiative : « tous les constructeurs vont vous fournir des fonctions de snapshots et de détection de cyberattaques plus ou moins similaires. En revanche, le fait d’arriver sous 24 heures avec une nouvelle baie pour relancer l’activité, c’est en effet unique ! Et ce n’est pas seulement unique, c’est surtout exactement ce qui est pratique, nécessaire dans le contexte d’une cyberattaque. »
Selon une enquête menée récemment par l’ESG, seuls 15 % des entreprises victimes d’une cyberattaque parviennent à restaurer 100 % de leur activité. « Nous observons que la plupart des entreprises sont plutôt bien équipées pour contrer l’arrivée d’une cyberattaque. Elles ont beaucoup investi dans des garde-fous, dans des systèmes de surveillance qui bloquent les accès, dans des systèmes de sauvegarde aussi », dit-il.
« Là où le bât blesse, c’est après qu’une cyberattaque a réussi à se déclencher. Dans ce cas, les entreprises sont démunies. Elles ignorent la portée du chiffrement, elles ne savent pas exactement ce qu’elles peuvent restaurer. Elles n’ont plus forcément de machines saines pour restaurer quelque chose. Et pire que tout, elles sont laissées seules dans un stress immense. »
L’ESG constate d’ailleurs dans son étude que, même parmi les entreprises qui paient la rançon pour déchiffrer leurs baies de stockage, seuls 14 % parviennent à remettre 100 % de leurs données en production. Cela dit, le cabinet déconseille fortement de payer les rançons, car les victimes qui y consentent sont celles qui essuient le plus de nouvelles attaques.
Christophe Bertrand félicite d’autant plus Pure Storage pour son initiative qu’il considère les solutions alternatives proposées par les autres fournisseurs comme ridicules. « En cas de données corrompues, les autres proposent de dédommager les entreprises à coups de millions de dollars. C’est du marketing ! Ça n’a rien d’utile », fustige-t-il.
Quelques zones floues dans l’offre
L’analyste Max Mortillaro du cabinet d’études GigaOm, soulève néanmoins que, en l’état, l’offre reste confuse : Pure Storage ne dit pas clairement combien coûtent la possibilité de se faire livrer une baie neuve en 24 heures et son utilisation en production pendant six mois. Un détail d’autant plus épineux que les entreprises n’ont pas forcément qu’une seule baie : chaque FlashArray est censée accompagner une application de base de données ou un cluster de virtualisation dédié à un domaine.
Chistophe BertrandAnalyste, cabinet d’études ESG
« L’entreprise va sans doute tomber d’accord avec Pure Storage pour définir un périmètre sur lequel s’applique ce service. Puis, six mois vont passer avant qu’un ransomware parvienne à se propager sur le réseau. Le problème est qu’il peut se passer beaucoup de choses en six mois », avance-t-il. « D’autant que, selon moi, se contenter de surveiller une plongée du taux de déduplication n’est pas suffisant pour se rendre compte assez tôt de la propagation d’un ransomware. »
« On se doute que cette offre n’est pas née de nulle part », relativise Christophe Bertrand. « À l’évidence, Pure Storage a dû être confronté par le passé à des clients qui l’ont appelé pour qu’il leur prête en urgence une baie de secours et qu’il envoie un spécialiste pour restaurer dessus des snapshots. Finalement, ce que fait Pure Storage, ce n’est ni plus ni moins que de formaliser ce dépannage dans une vraie offre commerciale. Ce n’est pas rien, car il faut avoir la capacité logistique de livrer une nouvelle baie en 24 heures partout en Europe, comme aux USA. »
« Par ailleurs, ce qui est intéressant dans le discours de Pure Storage, c’est qu’à aucun moment il ne revendique d’être un spécialiste de la cybersécurité, juste un spécialiste du recouvrement de données. À mon avis, son approche est la plus saine et je ne pense pas me tromper en prédisant que de nombreux autres fournisseurs vont imiter son approche dans les semaines qui viennent », conclut l’analyste d’ESG.