Nouvelle mode. Les fournisseurs de solutions de stockage ajoutent à leurs offres des fonctions de cybersécurité appelées cyber-résilience. Elles constituent une couche de défense, certes modeste, mais précieuse, contre les ransomwares et d’autres sinistres. Ce jeu de fonctions de cyber-résilience est fourni gratuitement aux nouvelles versions des produits de stockage et il appartient aux clients de les activer.
Ces fonctions de cyber-résilience consistent, d’une part, à la présence de nouveaux modules censés assurer l’autodéfense de la solution, que celle-ci soit une baie de disque ou un système purement logiciel. Il s’agit principalement de détection d’anomalies et de leurres à mettre en place pour tromper les attaques.
D’autre part, elles comprennent certaines capacités de reprise après sinistre et de contrôle des autorisations utilisateurs.
« Ce n’est pas la première défense contre les ransomwares et les logiciels malveillants ; on parle ici de la dernière ligne de défense. Les services de détection et de notification des logiciels malveillants constituent le dernier rempart qu’une entreprise peut mettre en place contre les attaques ou les infections par ransomware », commente l’analyste Marc Staimer, du cabinet Dragon Slayer Consulting.
« Ces services de cyber-résilience situés au niveau du stockage ne peuvent pas arrêter les infections ou les détonations de virus qui ont cours sur le reste du réseau, mais ils peuvent produire des alertes et consolider les protections. »
Marc StaimerAnalyste, fondateur et PDG, Dragon Slayer consulting
« Ces services de cyber-résilience situés au niveau du stockage ne peuvent pas arrêter les infections ou les détonations de virus qui ont cours sur le reste du réseau, mais ils peuvent produire des alertes et consolider les protections », précise-t-il.
« Ces nouvelles capacités s’inscrivent davantage dans le cadre du rapprochement de la protection des données des métiers de la cybersécurité. Plus que jamais, les responsables du stockage, des sauvegardes et de la cybersécurité doivent travailler main dans la main », estime Mitch Lewis, analyste chez Futurum Group.
Exigences minimales
Les systèmes de stockage primaire, tels que les NAS ou les configurations de stockage en cloud hybride, sont des cibles prioritaires pour les ransomwares, selon un rapport des analystes Max Mortillaro et Arjan Timmerman, cofondateurs de TechUnplugged, un cabinet d’études technologiques indépendant.
Le rapport GigaOm Sonar Report for File-Based Primary Storage, paru en 2023, identifie les principales caractéristiques de cyber-résilience des systèmes de stockage en entreprise. Ces systèmes de stockage peuvent contenir des informations précieuses pour l’entreprise, telles que des données financières ou des informations personnelles identifiables. Mais sans une gestion constante, ils peuvent prendre de l’ampleur et devenir d’autant plus fragiles face à une cyberattaque, indique le rapport.
La protection du système de stockage primaire doit, au minimum, inclure des snapshots immuables, des capacités de réplication et un air-gapping pour les sauvegardes, soit physiquement sur un support, soit logiquement dans un cloud.
Selon le rapport, ce sont certaines fonctions avancées qui permettent plus exactement de qualifier une plateforme de stockage de cyber-résiliente. Le rapport cite la détection d’anomalies qui repère des changements de données invisibles pour la plupart des humains, grâce à l’apprentissage automatique du trafic. Il cite aussi la présence d’outils d’orchestration pour la restauration des snapshots.
Nouveaux venus sur le marché
Ctera et Panzura, qui proposent tous deux une solution visant à partager des documents entre plusieurs sites, font partie des fournisseurs qui ont le plus mis en avant de nouvelles capacités de cyber-résilience.
La plateforme mondiale de systèmes de fichiers de Ctera offre déjà des outils de gestion des données et de verrouillage des objets. Mais la nouvelle fonction Ctera Ransom Protect ajoute de nouvelles capacités de leurres et de contrôles d’identification des utilisateurs.
« Cette offre, disponible pour tous les clients de Ctera, vise spécifiquement à empêcher l’exfiltration de données par des parties externes ou des collaborateurs malhonnêtes au sein d’une entreprise », argumente Saimon Michelson, le directeur des alliances chez Ctera.
Les ransomwares modernes ont tendance à se concentrer sur l’exfiltration des données. Trouver le moyen d’empêcher des profils d’accéder de manière incorrecte aux données peut s’avérer tout aussi précieux que d’arrêter l’infection elle-même.
CloudFS, le système de fichiers global de Panzura, dispose désormais d’un logiciel de détection des ransomwares baptisé Panzura Detect and Rescue. Ce service détecte les activités suspectes des utilisateurs ou des fichiers et utilise des seuils de changement prédéfinis pour alerter les administrateurs. Le service comprend également du personnel d’assistance et des outils d’audit.
Selon Dan Waldschmidt, PDG de Panzura, la plateforme Panzura n’avait pas assez donné la priorité à la protection contre les ransomwares par rapport aux capacités de reprise après sinistre qu’elle se contentait d’offrir jusqu’à présent. L’éditeur entend désormais s’attaquer de front à ce défi et développer à l’avenir d’autres capacités de cyber-résilience, telles que Detect and Rescue (détection et sauvetage), qui fonctionneront au-delà de l’environnement CloudFS.
Prochaine évolution
« La plupart des entreprises disposeront probablement d’équipes de sécurité et de logiciels dédiés pour couvrir un grand nombre de capacités de cyber-résilience », estime Max Mortillaro. « Mais le faible impact sur les performances et le gain d’une sécurité supplémentaire devraient être une raison suffisante pour utiliser ces outils. Et puis, si c’est gratuit, je ne vois pas pourquoi vous ne l’utiliseriez pas. »
« Les entreprises qui utilisent des outils en cloud tels que les services de coffres-forts déconnectés du réseau doivent s’assurer que ces outils sont conformes aux politiques de sécurité », fait remarquer Arjan Timmerman. « Il s’agit principalement d’éviter d’enfreindre des lois telles que le règlement RGPD ou d’autres sur la souveraineté des données. »
« Si vous activez quelque chose, vous devez vous assurer que vous savez ce qui se passe avec vos données », insiste-t-il.
À propos de connaissance des événements, Marc Staimer estime que toute offre de cyber-résilience devrait également inclure des garde-fous contre les failles humaines. « Je pense notamment à l’authentification à deux facteurs, qui permet aux administrateurs de freiner les comportements étranges. Surtout dès que l’on a connaissance d’attaques de phishing subies par d’autres utilisateurs. »
« Les attaques de ransomware continueront d’évoluer, notamment parce que l’IA générative contribue à la création de nouvelles souches de ransomware plus rapidement que la plupart des offres des fournisseurs ne peuvent le faire », dit encore Marc Staimer. « Trouver le bon équilibre entre un logiciel de sécurité clé en main et des services dédiés exécutés depuis la solution de stockage restera néanmoins un exercice compliqué. »
