Sauvegarde : le français Oxibox a une solution cybersécurisée
Respectant 97% des critères les plus stricts exigés par l’ANSSI pour assurer la cybersécurité des entreprises, la solution de l’éditeur a pour originalité d’isoler les sauvegardes du reste du réseau via un leurre intermédiaire qui analyse tous les accès.
Dans le domaine de la sauvegarde, le français Oxibox se situe quelque part entre Rubrik, pour le fait de tout sauvegarder au niveau du système de fichiers, et ExaGrid, pour la principale faculté de sa solution à protéger des cyberattaques le stockage qui héberge les sauvegardes. La différence est que lui s’adresse aux PME, alors que ses concurrents américains ont des tarifs taillés pour les grandes entreprises.
« Rubrik dit publiquement que le panier moyen de ses clients est de 100 000 dollars par an. Nos clients paient entre 10 000 et 15 000 euros par an. Nous avons plus de 6000 clients, dont les deux tiers sont des services publics et le reste des entreprises privées. Et plusieurs milliers de nos clients sont des entités de moins de 50 salariés », défend François Esnol-Feugas, le PDG d’Oxibox (en photo en haut de cet article), que LeMagIT a rencontré à l’occasion d’un événement IT Press Tour consacré aux acteurs du stockage qui innovent en Europe.
Oxibox est l’une de ces startups qui ont le soutien financier de la banque publique Bpifrance dans le cadre du plan France 2030 lancé par le Président de la République en 2021. Sa solution de sauvegarde dite sécurisée a été jugée comme particulièrement efficace contre les malwares et a été incluse en 2024 dans l’offre standard de cybersécurité de Docaposte, la filiale de La Poste qui fait office de prestataire numérique pour les administrations et services de santé en France. D’où le poids important des entreprises publiques parmi les clients d’Oxibox.
Utiliser un leurre intermédiaire pour isoler les sauvegardes du réseau
Oxibox a deux produits à son catalogue. Plug-and-Protect est la solution globale qui installe des agents sur les machines sources et sauvegarde leurs contenus, de manière chiffrée dès la source, vers une baie de disques ou un service de stockage en ligne, les deux étant facturés à la location. UDP (Universal Data Protection) est quant à lui le moteur qui reçoit les sauvegardes et les valide avant qu’elles écrivent quoi que ce soit sur la baie de destination.
« UDP est en quelque sorte un proxy qui vous permet d’installer notre moteur de sécurité dans votre solution de sauvegarde habituelle, sans que vous ayez besoin de migrer vers la nôtre », explique François Esnol-Feugas, en précisant que la plupart de ses clients utilisent UDP pour protéger les sauvegardes qu’ils font avec le logiciel Veeam.
« En fait, UDP est théoriquement compatible avec toutes les solutions de sauvegarde. Cela dit, nous entraînons son moteur avec chacun des logiciels de sauvegarde pour qu’il sache exactement tout ce qu’ils font de manière légitime et qu’il exclut tout ce qui sort de ce cadre », ajoute-t-il.
UDP est un moteur d’analyse comportementale. Il vérifie toutes les commandes Posix envoyées par la solution de sauvegarde à un NAS et détermine si elles sont légitimes avant d’écrire quoi que ce soit sur le stockage de destination. Certaines opérations sont interdites, quelle que soit la solution utilisée ; typiquement écrire vers des fichiers qui existent déjà, ce que fait un malware lorsqu’il cherche à rendre illisible les données d’une victime. D’autres sont spécifiques à la solution de sauvegarde.
« Pour définir un moteur de règles, nous testons environ 10 000 sauvegardes différentes par solution, pour déterminer comment les écritures sont faites, dans quel ordre les commandes sont envoyées, etc. », dit le PDG d’Oxibox. À date UDP est aussi adapté à Commvault et quelques autres. Oxibox assure passer son temps à étendre le nombre de solutions supportées.
Dans le détail, la solution de sauvegarde – ou le malware - croit écrire vers un NAS, mais celui-ci est un leurre. « UDP partage sur le réseau un système de fichiers intermédiaire qui ne contient rien. La seule fonction de la machine qui exécute UDP est de vérifier les accès aux fichiers et de reformuler elle-même des ordres d’écriture sains vers le vrai NAS qui doit héberger les sauvegardes. De cette façon, même si un ransomware parvient à passer outre l’analyse Posix d’UDP, il ne pourra jamais atteindre les sauvegardes. »
Selon Oxibox, ce dispositif de proxy serait autrement plus efficace que les solutions habituelles dites d’Air-Gap, qui ont vocation à protéger les sauvegardes contre les malwares qui circulent sur le réseau.
« Pour empêcher les ransomwares de corrompre les sauvegardes, il est usuel de soit rendre celles-ci immuables (protégées en écriture jusqu’à une date donnée), soit les stocker sur des bandes. Mais dans le premier cas, la conservation d’une succession de sauvegardes immuables finit par coûter très cher en stockage. Quant aux bandes, elles posent la contrainte d’être manipulées pour être sorties de leur bibliothèque et rangées ailleurs, ce qui n’est jamais fait suffisamment tôt », argumente notre interlocuteur. Oxibox
97% de conformité avec les exigences de l’ANSSI
Dans la solution plus globale Plug-and-Protect, un agent crée une sauvegarde, plus exactement un snapshot du système de fichier, sur la machine source. L’intérêt d’un snapshot est qu’il est compatible avec toutes les applications, y compris une base de données, ou encore un cluster de machines virtuelles ou de containers.
« L’avantage d’un snapshot est qu’il est suffisamment générique pour que toutes les données soient restaurées au même moment. D’ordinaire, vous sauvegardez les applications virtualisées avec telle solution et leurs bases de données avec telle autre. Ce qui provoque un décalage dans les restaurations et retarde votre retour en mode opérationnel après une cyberattaque. Avec Plug-and-Protect, ce problème ne se pose pas », argumente le PDG d’Oxibox.
Ensuite, toujours sur la machine source, cet agent chiffre le snapshot avant de l’envoyer sur le réseau, puis l’efface de la machine source.
Pour éviter d’envoyer une sauvegarde complète à chaque fois, l’agent tient à jour un historique des snapshots déjà effectués et élimine du dernier snapshot les données déjà sauvegardées. Selon Oxibox, la latence provoquée par le travail de l’agent serait minime au regard de la taille des données à sauvegarder. Pour autant, l’éditeur recommande de ménager des fenêtres de sauvegarde en dehors des heures de production.
Par ailleurs, même si la solution est compatible avec des postes Windows, Linux ou macOS ou encore les NAS collaboratifs de Qnap et Synology, rappelons que son ambition est d’être exécutée par des prestataires de services, comme Docaposte, qui hébergent les applications de leurs clients dans leurs propres datacenters et s’occupent eux-mêmes de maintenir des niveaux de service.
Après être passée par UDP, lequel peut fonctionner sur une petite machine virtuelle ou même un mini PC physique de type Nuc, la sauvegarde atterrit sur une baie de disques tout ce qu’il y a de plus conventionnelle. Si le client n’en possède pas, Oxibox propose soit des machines génériques à la location, soit un hébergement sur son service de stockage en cloud, physiquement installé dans les datacenters de Scaleway.
En fait, la solution complète propose même les deux, pour respecter les bonnes pratiques de sauvegarde 3-2-1. Oxibox se targue d’atteindre un score de conformité de 97% par rapport aux critères les plus stricts de l’ANSSI.
Pour approfondir sur Backup
-
![]()
Magazine Storage 35 : le grand renouvellement des offres de stockage
-
![]()
Stockage : Dell renouvelle ses baies PowerStore... juste par logiciel
Par: Yann Serra
-
![]()
Stockage : IBM inaugure une nouvelle stratégie avec Storage Defender
Par: Yann Serra
-
![]()
Stockage : ProLion arrive en France pour protéger les baies NetApp
Par: Yann Serra
