Sauvegarde : Commvault dévoile sa prochaine version dopée à l’IA

Toute une usine de déminage des sauvegardes avant restauration

Avec cette IA viennent surtout des connecteurs pour tout automatiser. Sur scène, l’IA de Cloud Unity comprend le message d’alerte qu’un antivirus vient d’envoyer dans la messagerie Slack des administrateurs système. Elle lance son module interne ThreatScan pour vérifier si la signature de l’attaque mentionnée existe dans les sauvegardes, met automatiquement en quarantaine les données infectées afin qu’elles ne soient pas restaurées, puis envoie son propre rapport aux administrateurs.

ThreatScan existait déjà, mais il s’agissait d’une fonction qui se déclenchait soit manuellement, soit à intervalles réguliers, pour vérifier la présence de signatures de malwares dans les sauvegardes. Signatures qui étaient renseignées par des outils de cybersécurité externes.

« Désormais, ThreatScan est en veille permanente et peut réfléchir par lui-même pour détecter des actions malveillantes. Typiquement, le fait qu’un fichier sauvegardé depuis un moment ait subitement été remplacé par une version chiffrée », explique au MagIT un technicien de Commvault qui détaille la solution sur son stand.

« Mais le point le plus important est que les fichiers corrompus sont automatiquement mis en quarantaine. Avant, vous deviez décider de le faire à la main. Désormais, vous ne les restaurerez plus jamais par erreur », dit le technicien.

ThreatScan informe le nouvel outil de restauration Synthetic Recovery. La fonction de celui-ci consiste à aller chercher dans l’historique des sauvegardes des versions encore saines des fichiers mis en quarantaine, de sorte à élaborer un ensemble complet de données que l’on pourra remettre en production après une cyberattaque. L’idée est d’éviter de restaurer un gruyère rempli de trous.

Le troisième élément est Cleanroom Recovery. C’est un bac à sable, sur Azure ou sur AWS, dans lequel Commvault Cloud Unity va restaurer à blanc les sauvegardes afin que les administrateurs puissent vérifier qu’une remise en production se passera correctement.

« D’une part, vous allez passer aussi ces données restaurées à l’antivirus, par exemple Microsoft Defender pour éventuellement exclure à nouveau des fichiers. D’autre part, vous allez vous rendre compte de problèmes : il va manquer des fichiers dans telle VM pour qu’elle se lance, les VM ne seront pas restaurées dans un ordre cohérent, etc. Cleanroom Recovery va enregistrer toutes les réparations que vous ferez pour restaurer les sauvegardes exactement comme vous le souhaitez lorsque ce sera nécessaire », détaille le technicien.

Selon lui, il faut en moyenne 24 jours à une entreprise pour restaurer une IT fonctionnelle après une cyberattaque. Avec Cleanroom Recovery, ce retour en production pourrait ne plus prendre que 5 jours.

« Les entreprises testent leur restauration tous les trimestres, voire une fois par an, parce que c’est une procédure qui prend beaucoup de temps. Mais la capacité de Cleanroom Recovery à conserver en mémoire les réparations à faire permet de réduire la durée de ces tests à chaque fois. Je vous garantis que votre second test sera quatre fois plus rapide que le premier », argumente le technicien.

Détecter les compromissions des droits d’accès dans AD

Concernant la protection des identités, Commvault Cloud savait déjà faire des restaurations granulaires de droits utilisateurs dans Active Directory (AD), mais encore fallait-il savoir lesquels.

« L’IA de Commvault Cloud Unity est désormais capable de repérer des problèmes très difficiles à trouver pour un administrateur humain. En prenant en compte les logs, notamment voir qu’un changement de droit ou de mot de passe n’a pas été fait par un humain sur son clavier, mais par un script » assure Pranay Ahlawat, le directeur technique de Commvault.

« Et il vous suffit d’un clic de souris pour enlever instantanément toute compromission de votre Active Directory », ajoute-t-il en faisant là aussi mention d’IA qui se parlent entre elles.

Dans une démonstration, un assistant du support utilisant ServiceNow parle dans son micro pour demander à son IA pourquoi tel administrateur n’a plus accès à son compte et cette IA demande à l’IA de Commvault d’aller vérifier s’il n’y aurait pas un problème dans Active Directory.

Il est à noter que ces changements suspects de droits utilisateurs dans Active Directory sont aussi pris en charge par l’IA de Commvault lors des tests de restauration avec Cleanroom Recovery.

Superviser toutes les protections en place et comparer leurs prix

La nouvelle console Unity succédera à l’actuelle interface d’administration Command Center qui sert à gérer les sauvegardes sur site, ainsi qu’à son équivalent en SaaS qui sert à sauvegarder les données des services cloud. Au-delà de l’ergonomie de tout superviser depuis une seule fenêtre et non deux, la raison d’être d’Unity semble d’abord commerciale.

« Lorsque vous lancez Unity et que vous lui indiquez tous les comptes cloud et toutes les ressources IT que vous voulez sauvegarder, l’interface dresse un bilan de la manière dont ces ressources IT sont protégées et combien vous coûte cette protection en l’état. Et elle vous dit comment améliorer cette protection ainsi que le prix de cette protection », explique Pranay Ahlawat.

« Nous recommandons de stocker les sauvegardes dans le cloud, de manière étanche au reste de votre IT, pour éviter les contagions d’une cyberattaque dans votre datacenter. Mais un point très important qui revient dans toutes les discussions que nous avons avec les entreprises est de savoir si les sauvegardes que nous stockons en cloud coûtent moins cher que les services de stockage en cloud auxquels elles peuvent elles-mêmes souscrire. Et aussi moins cher que les services de snapshots que leur proposent les fournisseurs de services en cloud. »

Il précise que Commvault Cloud sait prendre en charge 200 services en cloud. L’essentiel des services IaaS d’AWS et Azure bien entendu (le support de GCP n’arrivera qu’en 2026), mais aussi un bon nombre d’applications en SaaS ou de services en PaaS que ces cloud hébergent : Microsoft 365, Salesforce, Github, GitLab, Databricks...

« La raison d’être de cette supervision globale est donc d’abord de vous prouver que notre solution va vous permettre de réaliser des économies substantielles sur votre protection globale », argumente-t-il, en expliquant que Commvault déduplique, compresse, incrémente et chiffre toutes ses sauvegardes pour qu’elles consomment moins d’espace de stockage et soient impossibles à lire en passant par un droit d’accès existant.

Il ajoute que ce chiffrement n’utilise d’ailleurs plus de système à double clé, susceptible d’être cassé le jour où l’ordinateur quantique fonctionnera.