Exigences du NIST en matière de sauvegarde et de récupération

Qu’est-ce que le NIST ?

Le NIST est l’Institut national de normalisation et de technologie, une agence gouvernementale des États-Unis qui relève du ministère du commerce. L’agence en question est plus que centenaire, bien qu’elle ait été connue sous le nom de National Bureau of Standards de 1901 à 1988.

Son objectif principal est de développer de nouvelles normes techniques et d’améliorer les normes existantes dans différents domaines – cybersécurité, mesure, ou tout ce qui est lié à la technologie moderne.

Le cadre de cybersécurité du NIST

La cybersécurité est l’un des domaines d’intérêt les plus importants du NIST, l’information étant aujourd’hui le bien le plus précieux d’une personne ou d’une entreprise. Dans ce contexte, une protection complète des données est tout à fait naturelle, et il incombe à des organisations telles que le NIST d’essayer de créer des lignes directrices accessibles et pratiques sur la protection des informations contre de multiples types de cyberattaques.

Le cadre de cybersécurité du NIST (CSF) a été créé il y a plus de dix ans pour fournir une assistance complète aux entreprises qui cherchent à protéger leurs informations à l’aide de diverses méthodes et stratégies. La mise en œuvre correcte du CSF est censée améliorer considérablement la cybersécurité globale d’une organisation.

L’objectif de ce cadre est d’encourager un examen plus approfondi et plus détaillé de la sécurité d’une organisation, en rendant des tâches telles que l’évaluation des risques plus courantes pour les sociétés et les entreprises. Ainsi, ces entreprises peuvent être beaucoup plus sûres de leurs propres systèmes et infrastructures de sécurité – ou tenter de résoudre les problèmes qui ont pu apparaître dans l’un de ces systèmes au fil du temps.

Il convient également de mentionner que le NIST CSF n’est pas une norme ou une structure certifiable ; le NIST n’offre aucune sorte de certification pour la réussite ou l’échec du CSF d’une manière ou d’une autre. En revanche, il propose un vaste réseau de programmes de sécurité informatique auxquels les entreprises peuvent se soumettre afin que leurs produits soient testés – et validés par le NIST à l’aide d’une documentation officielle.

Le concept original du CCA s’appuie sur cinq éléments fondamentaux pour établir sa couverture complète des différents domaines et sujets de la cybersécurité. Ces cinq domaines sont la détection, l’identification, la réaction, la protection et la récupération.

Détecter concerne principalement la détection et la surveillance des menaces, couvrant des fonctions telles que la détection des intrusions, l’enregistrement des événements de sécurité et la détection des anomalies.

Identifier comprend des fonctions qui offrent des capacités de gestion des risques et d’identification des problèmes. Elle permet de mieux comprendre le paysage actuel des données d’une organisation tout en offrant des fonctions telles que la gestion des actifs et l’évaluation des risques.

Répondre est un champ relativement explicite, couvrant une liste détaillée d’événements et de tâches à effectuer si une organisation est confrontée à un incident de sécurité. Il s’agit de générer un plan d’intervention en cas d’incident, avec divers efforts de coordination et de communication inclus dans le champ.

Protéger est la base de la plupart des efforts de sécurité qu’une organisation doit couvrir. Elle peut comprendre de nombreuses activités allant du cryptage des données et du contrôle d’accès à la formation de sensibilisation générale pour l’ensemble des employés de l’entreprise.

Récupérer est tout ce que fait une organisation pour se remettre des conséquences d’un incident de cybersécurité. Ce champ couvre non seulement la sauvegarde et la récupération, mais comprend également les examens post-incident et les améliorations potentielles du système existant sur la base des examens susmentionnés.

Aucun de ces domaines ne s’exclut mutuellement ; ils doivent tous être utilisés en tandem pour créer le système de sécurité le plus résilient, capable de résister à toutes sortes de menaces et d’attaques.

NIST CSF 2.0 – Mise à jour 2024

La cybersécurité est un domaine très dynamique qui se développe à un rythme rapide depuis plusieurs décennies. En conséquence, les recommandations et les lignes directrices en matière de cybersécurité doivent également être mises à jour.

C’est précisément ce qui s’est passé pour le cadre de cybersécurité du NIST, dont la version 2.0 a été publiée en février 2024. Elle comprend de nombreux ajouts et révisions du contenu existant, ainsi que de nombreux nouveaux éléments.

L’un des ajouts les plus significatifs au CSF est l’inclusion d’un tout nouveau champ appelé Govern. Il est utilisé pour développer les cinq champs existants, en particulier lorsqu’il s’agit de capacités axées sur le « contrôle » – mesure du succès, examen, planification, etc.

Le champ Protéger a également été retravaillé dans une certaine mesure, en introduisant deux nouveaux sous-champs – Sécurité des données et Résilience de l’infrastructure. Ces deux champs servent non seulement à renforcer la nécessité de la protection des données dans son ensemble, mais aussi à développer les méthodes de sécurité moins conventionnelles, telles que les sauvegardes immuables et diverses méthodes de résilience.

Le champ Réponse n’a pas reçu beaucoup de nouveau contenu, mais les informations existantes ont été fortement restructurées tout en conservant le message d’origine, à savoir l’utilisation des informations recueillies dans différents champs pour générer des mesures de réponse efficaces pour diverses situations.

De nombreux autres changements et modifications ont été apportés à la version précédente du CSF, mais les informations ci-dessus mettent en évidence les changements les plus importants dans la structure générale. La version complète du NIST CSF 2.0 est disponible sur le site web officiel.

Les défis des tâches de sauvegarde dans le contexte des MSP

Il serait juste de mentionner que le CSF est loin d’être le seul élément d’information que l’agence fournit sur le thème de la sécurité des données et d’autres sujets similaires. Dans ce contexte, nous voudrions couvrir un autre élément du NIST qui tourne principalement autour du sujet des tâches de sauvegarde et de récupération spécifiquement pour les fournisseurs de services gérés, ce qui le rend légèrement plus spécifique au cas que le CSF.

L’un des problèmes les plus spécifiques soulevés par l’article du NCCoE est celui des systèmes de sauvegarde mis en œuvre mais non testés ou planifiés correctement, ce qui les rend pratiquement inefficaces. Une seule perte de données entraîne des problèmes de marque, de réputation, de productivité, de revenus, etc. S’assurer que les systèmes de sauvegarde sont à la fois mis en place et testés correctement est primordial dans ce contexte.

Comment aborder les exigences du NIST en matière de sauvegarde et de récupération

Les sauvegardes de fichiers en tant que moyen de reprise des activités après une forme quelconque d’événement de cybersécurité ou de violation de données sont renforcées dans le NIST Interagency Report 7621 Rev. 1, Small Business Information Security. L’objectif principal de la recherche effectuée par le National Cybersecurity Center of Excellence est d’aider à la fois les entreprises et les MSP qui travaillent avec elles à créer des flux de travail et des opérations de sauvegarde appropriés.

Recommandations du NIST pour les sauvegardes

L’article du NCCoE couvre les trois principaux piliers des recommandations en matière de sauvegarde fournies par le NIST : La planification, la mise en œuvre et les tests.

Le pilier de la planification

La planification est le premier pilier des trois ; c’est un processus global qui aide l’entreprise à trouver un équilibre entre les besoins opérationnels et les coûts totaux de fonctionnement. La plupart des recommandations de la partie « Planification » de cet article sont basées sur la NIST Special Publication (SP) 800-53, Rev 4, y compris des éléments tels que :

• Déterminer le temps de restauration correct
• Déterminer les dépendances entre les systèmes et les éléments d’infrastructure
• Identifier les fichiers prioritaires dans le processus de sauvegarde
• Développer des processus étendus pour différentes situations, y compris des éléments de réponse et de récupération
• Ne pas se fier à une seule copie de sauvegarde du système (et utiliser plutôt la stratégie de sauvegarde 3-2-1)
• Évaluer la sensibilité globale de tous les éléments de données, étant donné que certains d’entre eux devraient faire l’objet de mesures de sécurité supplémentaires conformément à divers cadres et réglementations de conformité

Le pilier de la mise en œuvre

La mise en œuvre est un pilier un peu moins sophistiqué qui tourne autour de l’exécution d’actions planifiées à l’avance dans les frontières de l’infrastructure d’une entreprise. Ce pilier particulier comprend des événements tels que :

• Évaluation des emplacements potentiels de stockage de sauvegarde hors site
• Intégration des technologies modernes dans le système de sauvegarde et de récupération (les technologies exactes recommandées par le NIST seront mentionnées en détail ci-dessous)
• Mettre en place un système de « Go Bag » pour la récupération des données sensibles – une collection de données critiques, telles que les clés de sécurité et les mots de passe, stockées et protégées dans un endroit séparé de l’infrastructure globale du système
• Préparer un ensemble de systèmes et d’éléments d’infrastructure qui peuvent fonctionner tout en étant totalement séparés de l’infrastructure d’origine de l’entreprise et qui ne seront utilisés qu’en cas d’urgence

Le pilier des tests

Le test est le dernier pilier des recommandations du NIST, mais non le moindre (il peut être appelé indifféremment test et surveillance puisqu’il inclut des éléments des deux processus). Son objectif principal est explicite : tester et surveiller les technologies, les systèmes et les flux de travail pour s’assurer qu’ils fonctionnent et qu’ils sont utiles en cas de catastrophe ou de cyberattaque. Ce pilier peut être divisé en deux groupes :

• Tests
  • Exécuter des tests automatisés
  • Vérifier l’intégrité des sauvegardes
  • Évaluer les performances des processus de récupération
  • Extraire des données des tests susmentionnés en vue d’ajustements futurs
• Surveillance
  • Surveiller les processus de test automatisés
  • Veillez à ce que les sauvegardes soient générées correctement
  • S’assurer que les sauvegardes peuvent être utilisées pour restaurer les données dans leur forme originale

Technologies utiles pour les tâches de sauvegarde

Pour effectuer toutes les actions et tous les processus susmentionnés, il existe de nombreuses capacités et technologies différentes que le NIST recommande d’utiliser dans le cadre de la sauvegarde et de la restauration :

• L’automatisation du système de sauvegarde est nécessaire pour effectuer des tâches de sauvegarde dans des environnements complets composés de différents types de stockage – disque, bande, NAS, VM, stockage dans le cloud, etc.
• Le stockage de sauvegarde dans le nuage fonctionne comme une excellente alternative au stockage local sur site pour les sauvegardes en raison de sa capacité à rester séparé des autres options de stockage ; il peut également offrir différents types de sauvegarde, méthodes de mise en œuvre, etc.
• Les différentes technologies de stockage local peuvent également offrir des avantages uniques en fonction du type de stockage – y compris tout ce qui va des disques durs locaux et des supports amovibles au stockage en nuage, au stockage WORM et à d’autres types de stockage non conventionnels
• Le cryptage des données constitue souvent l’une des mesures de sécurité les plus importantes pour les données en transit et au repos, offrant une autre couche de protection contre les actions illégales que les processus de sauvegarde eux-mêmes.
• Les sauvegardes pour le stockage en nuage sont tout aussi nécessaires pour leurs homologues sur site, garantissant que les données elles-mêmes sont toujours disponibles si le stockage en nuage est mis hors ligne pour une raison quelconque ; cela peut ne pas être nécessaire dans certaines situations et certains cas d’utilisation

Les publications suivantes du NIST couvrent ces technologies et leurs processus de mise en œuvre :

• NIST SP 1800-26, Detecting and Responding to Ransomware and Other Destructive Events
• NIST SP 1800-25, Identifier et protéger les actifs contre les ransomwares et autres événements destructeurs
• NIST SP 1800-11, Data Integrity : Récupération à partir d’un ransomware et d’autres événements destructeurs

Le NIST et son rôle dans un environnement de cybersécurité moderne

Le nombre de violations de données et d’incidents de cybersécurité ne cesse d’augmenter chaque année, et les technologies elles-mêmes s’améliorent à un rythme extrêmement rapide. Dans ce contexte, tout ce qui explique les différents éléments d’un système efficace de protection de la cybersécurité est un ajout bienvenu à l’effort global de l’industrie pour garder une longueur d’avance sur l’environnement cybercriminel. Pratiquement toutes les entreprises qui ont besoin d’améliorer leurs mesures de cybersécurité existantes peuvent tirer parti des recommandations du NIST pour améliorer soit des éléments spécifiques, soit l’ensemble d’une infrastructure.

Conclusion

Dans le monde d’aujourd’hui, caractérisé par un risque accru de cyberattaque, la cybersécurité figure en bonne place dans les préoccupations des responsables technologiques de tous les types d’organisations. Le NIST est une grande institution qui couvre de nombreux domaines d’application, son cadre de cybersécurité étant l’un de ses éléments les plus importants. Le NIST propose différentes normes et recommandations concernant la cybersécurité dans son ensemble. Certaines de ces recommandations sont utilisées de manière générale, tandis que d’autres sont légèrement plus spécifiques à un cas, comme l’article ci-dessus du NCCoE sur les sauvegardes MSP et leurs tests.

Bien que les recommandations du NIST ne soient obligatoires que pour une gamme particulière de sociétés et d’entreprises (y compris toutes les agences du gouvernement fédéral américain et pratiquement toutes les entreprises qui vont faire des affaires avec le gouvernement américain dans son ensemble), elles peuvent toujours être utilisées comme des considérations générales pour la cybersécurité générale et la configuration des sauvegardes. Bon nombre de ces recommandations sont très détaillées, ce qui permet à de nombreuses entreprises de les mettre en œuvre et d’améliorer leur situation en matière de cybersécurité.

Bacula Enterprise et la compatibilité NIST

Il existe certaines solutions de sauvegarde et de récupération qui sont déjà créées et gérées en tenant compte de toutes les exigences du NIST. Cependant, certaines solutions vont plus loin que d’autres et, pour les organisations soucieuses de la sécurité, Bacula Enterprise en est probablement l’exemple le plus probant, offrant une plateforme de sauvegarde et de restauration complète avec des niveaux de sécurité particulièrement élevés qui répondent et dépassent toutes les exigences d’audit du NIST.

Bacula peut offrir une multitude de fonctionnalités et de capacités qui le rendent bien plus apte à assurer la conformité d’une organisation que la plupart de ses concurrents, notamment :

• Cryptage des sauvegardes, quel que soit l’endroit où elles sont stockées.
• Vérifications régulières de l’intégrité des données.
• Capacités de création de rapports détaillés.
• Vastes capacités de journalisation.
• Support pour les politiques de protection des données automatisées et centralisées.
• Fonctionnalités avancées d’immutabilité des données.
• Flexibilité en termes de partitionnement des données.
• De nombreuses capacités d’intégration avec des solutions de monitoring externes.
• Support de nombreux types de stockage différents.
• Vaste gamme de types d’immutabilité et de compatibilité.
• Résilience extrêmement élevée de l’infrastructure par rapport à d’autres fournisseurs de sauvegarde et de restauration.
• Capacités de reporting étendues et granulaires.

Non seulement Bacula Enterprise peut facilement couvrir les six piliers du NIST (Protéger, Identifier, Détecter, Répondre, Récupérer et Gouverner), mais il est également conforme à la norme FIPS 140-2 et supporte de nombreux autres cadres réglementaires, y compris GDPR, CCPA, FISMA, et bien plus encore. Vous trouverez plus d’informations sur les capacités de conformité de Bacula Enterprise sur ici.

FAQ

Quel est le lien entre le NIST et le secteur de la cybersécurité ?

La cybersécurité est l’un des piliers les plus essentiels du NIST, qui sert de développeur et de distributeur de cadres de sécurité afin d’aider les entreprises à lutter contre toutes sortes de cybermenaces.

Comment le NIST peut-il aider les entreprises à résoudre leurs problèmes de cybersécurité ?

Non seulement le NIST propose un cadre de cybersécurité complet comme base de ses recommandations en matière de sécurité, mais il existe également de nombreuses autres recommandations et documents plus spécifiques, comme l’article du NCCoE sur les tests de sauvegarde pour les MSP que nous avons mentionné précédemment.

Quelles sont les recommandations du NIST en matière de sauvegardes de données ?

Le NIST propose de nombreuses options différentes pour améliorer le cadre de sauvegarde existant. Beaucoup d’entre elles sont spécifiques à un cas, mais certaines des recommandations les plus courantes comprennent l’adhésion à la stratégie 3-2-1, le cryptage des données, l’immutabilité des sauvegardes, et plus encore.