Pourquoi la vitesse de reprise est le véritable indicateur de la cyber-résilience

Introduction : Passer de la prévention à la reprise

Pendant la majeure partie des vingt dernières années, l’argument principal en faveur de l’investissement dans la cybersécurité a été axé sur la prévention : pare-feu, protection des terminaux, renseignements sur les menaces et lutte à tout prix contre les attaquants. Ce concept se justifiait lorsque les incidents étaient moins fréquents et plus faciles à maîtriser.

Cette approche est bien moins pertinente dans un monde où, pour de nombreuses organisations, la question n’est plus « Allons-nous subir un incident majeur ? », mais « À quelle vitesse allons-nous nous remettre après un incident ? ».

L’impact commercial des temps d’arrêt et des attaques par ransomware

À mesure que les entreprises sont devenues plus dépendantes d’un accès ininterrompu à l’information, l’impact financier et opérationnel des temps d’arrêt imprévus s’est considérablement accru. Dans des secteurs tels que la santé, les services financiers et les infrastructures critiques, une mise hors ligne de quelques heures seulement peut entraîner toute une série de conséquences néfastes :

• Opérations reportées
• Transactions bâclées
• Sanctions réglementaires
• Atteinte à la réputation de la marque qui perdure au-delà de la durée effective du temps d’arrêt

Les ransomwares modernes ont considérablement modifié cette dynamique. Il est désormais courant d’attaquer les sauvegardes en même temps que les systèmes principaux, ne serait-ce que pour réduire les options de reprise (et le pouvoir de négociation) de l’organisation attaquée. Le paiement d’une rançon ne garantit pas non plus la restauration des opérations commerciales : les clés de déchiffrement sont souvent lentes ou incomplètes, et les données restaurées peuvent encore contenir du code malveillant latent. Par conséquent, le processus de reprise ne se limite pas à inverser le processus de chiffrement.

Définition de la cyber-résilience : au-delà de la protection et de la détection

La cyber-résilience est souvent considérée comme synonyme de cybersécurité, bien que ces deux concepts soient de nature différente. La cybersécurité vise à minimiser la probabilité qu’un incident se produise, tandis que la cyber-résilience décrit la manière dont une entreprise rétablirait les fonctions requises en cas d’échec des contrôles préventifs. Compte tenu de la sophistication des menaces modernes, la question de l’échec de ces contrôles n’est pas de savoir « si », mais « quand ».

Une organisation résiliente n’est pas une organisation qui ne connaît aucun incident. Une organisation résiliente est celle qui se remet des incidents plus rapidement, plus facilement et avec un impact moindre et moins durable sur ses opérations. Cette distinction est importante pour définir une stratégie, allouer un budget et évaluer si les contrôles existants sont adéquats dès le départ.

Indicateurs traditionnels vs résilience axée sur la reprise

La plupart des indicateurs couramment utilisés pour mesurer la posture de sécurité ont été développés à une époque où le confinement était l’objectif principal de la sécurité. Elles restent utiles, mais ne donnent qu’une image incomplète de la capacité d’une organisation à faire face à un incident grave, car elles s’arrêtent une fois l’attaquant neutralisé. L’approche de la résilience centrée sur la reprise, en revanche, considère ce moment comme un début et non comme une fin, en mettant l’accent sur l’efficacité et la rapidité avec lesquelles une entreprise peut revenir à un fonctionnement normal.

Bref aperçu des indicateurs MTTD, MTTR, RPO et RTO

MTTD (Mean Time to Detect) sert à définir le délai entre le moment où un événement s’est produit et celui où il a été découvert.

MTTR (Mean Time to Respond, dans le contexte de la sécurité) sert à définir le délai entre la détection et le confinement.

RPO (Recovery Point Objective) définit la perte de données maximale acceptable à un moment donné, tandis que RTO (Recovery Time Objective) définit la rapidité avec laquelle les systèmes doivent être restaurés.

Ces indicateurs ne sont pas nouveaux dans le domaine de la sécurité, et ils ne constituent pas en soi un problème. Le problème réside dans l’importance que les organisations leur accordent les uns par rapport aux autres.

Limites de la vitesse de détection et des dépenses en prévention

La vitesse de détection est un facteur, mais seulement jusqu’à un certain point. Le fait d’être immédiatement informé d’une intrusion est bénéfique en soi, mais si l’infrastructure de l’organisation est incapable de se rétablir clairement une fois le problème identifié et maîtrisé, il n’y a pas de réduction significative de l’impact sur l’activité.

Les dépenses de prévention se heurtent à une limite similaire : aucune mesure de contrôle préventive ne peut éliminer entièrement le risque, et un budget de sécurité fortement orienté vers la prévention au détriment de la capacité de rétablissement laissera une organisation bien défendue mais mal préparée en même temps.

Pourquoi le temps moyen de reprise (MTTR/MTCR) est-il plus important ?

L’indicateur qui reflète le mieux la résilience d’une organisation est le temps qu’il lui faut réellement pour revenir à un fonctionnement normal à partir d’un état initial vérifié et propre. Ce type d’approche va également bien au-delà de la définition habituelle du MTTR dans les opérations de sécurité.

Dans le contexte de la récupération des données, le temps moyen de récupération propre (MTCR) est défini par le délai entre la confirmation de l’incident et le fonctionnement à pleine capacité d’un système fiable et exempt de logiciels malveillants. Cette distinction devient extrêmement importante lorsqu’on considère l’intégrité de ce qui est restauré, et non la simple vitesse de restauration.

Le fossé de la cyber-récupération : leçons tirées d’incidents récents et de la recherche

Le fossé entre la capacité de récupération supposée et les performances réelles de récupération est souvent très important. Il n’est pas rare que les organisations découvrent cette différence lors d’un incident, et non lors de tests – ce qui est loin d’être le moment le plus approprié pour s’en rendre compte.

Taux d’échec élevés des restaurations après une attaque par ransomware dans le secteur de la santé et d’autres secteurs

Le secteur de la santé est l’une des cibles principales des ransomwares, à la fois en raison de l’importance globale des opérations de santé et des infrastructures héritées ainsi que des services informatiques sous-financés qui sont courants dans ce domaine.

Selon le rapport Sophos « State of Ransomware in Healthcare 2024 », seules 22 % des organisations de santé ont été en mesure de se remettre d’attaques par ransomware en une semaine ou moins, ce qui représente une baisse significative par rapport aux 54 % d’organisations ayant déclaré une restauration réussie en 2022.

Ce même rapport a également révélé que les attaquants tentent souvent d’exploiter les sauvegardes des établissements de santé (signalé dans 95 % des cas), les deux tiers de ces tentatives aboutissant. Il a également été constaté que les établissements dont les sauvegardes ont été compromises étaient deux fois plus susceptibles de payer la rançon (63 % contre 27 %).

Des données montrant des pratiques de reprise d’activité limitées et des sauvegardes compromises

La fréquence des tests de reprise d’activité constitue en soi un point faible persistant. Une étude de 2021 citée par Dale Shulmistra, spécialiste de la reprise après sinistre, a révélé que près de la moitié des entreprises testent leur reprise après sinistre une fois par an ou moins, et que 7 % ne la testent pas du tout.

Les attaquants apprennent à cibler cette vulnérabilité : le temps de latence (le délai entre le moment où l’intrus obtient l’accès et le lancement du rançongiciel) peut aller de quelques jours à plusieurs mois, laissant le temps au logiciel malveillant de s’introduire dans la chaîne de sauvegarde. À moins que la vérification de l’intégrité ne soit intégrée au processus de sauvegarde, il est impossible de savoir jusqu’où il faudrait remonter pour trouver une sauvegarde intacte.

Vitesses de restauration typiques pour différents supports de stockage

La vitesse de restauration est fortement influencée par le support de stockage utilisé.

Le niveau le plus rapide comprend les SSD NVMe et la mémoire de classe stockage (SCM). Les disques SAS/SATA traditionnels sont bien plus lents en comparaison, les performances du stockage objet dépendent du réseau et de la taille des objets, et les bandes entraînent une latence de récupération importante (pouvant atteindre plusieurs heures pour les grands ensembles de données).

Les chiffres précis de débit dépendent de l’environnement et proviennent généralement des benchmarks des fournisseurs plutôt que de recherches indépendantes – mais l’écart entre les niveaux est suffisamment important pour déterminer si un RTO documenté est réellement possible ou non.

La vitesse de récupération comme véritable indicateur de résilience

Définition du temps moyen de récupération (MTTR) par rapport au temps moyen de récupération propre (MTCR)

Puisque nous avons déjà défini le MTTR et le MTCR, il est également important d’aborder leurs différences plus en détail – des différences qui deviennent particulièrement évidentes en cas d’attaque. Le tableau ci-dessous montre en quoi le MTTR diffère du MTCR selon le type d’incident :

Comment une reprise rapide et sans faille réduit l’exposition réglementaire et les coûts liés aux temps d’arrêt

Le coût d’un incident augmente avec le temps, et la rapidité de la reprise est l’un des principaux facteurs déterminant son montant final. Les estimations publiées concernant les coûts liés aux temps d’arrêt varient considérablement selon le secteur, la taille de l’organisation et la méthodologie utilisée – allant de quelques dizaines de milliers à plusieurs centaines de milliers de dollars par heure dans les secteurs à forte intensité de données (cette variation reflétant en partie le fait qu’il est rare que les organisations divulguent publiquement leurs coûts réels).

Toutes les sources de données s’accordent sur le fait que chaque heure d’indisponibilité a un coût financier mesurable, tandis que des processus de reprise testés et éprouvés parviennent également à réduire l’exposition réglementaire dans les situations où la restauration rapide de la disponibilité des données est un facteur de conformité.

Pressions réglementaires : la loi européenne sur la cyber-résilience et d’autres cadres

Il convient d’aborder en détail le champ d’application exact de la loi européenne sur la cyber-résilience (règlement (UE) 2024/2847).

La loi sur la cyber-résilience (CRA) est entrée en vigueur le 10 décembre 2024, ses principales obligations prenant effet le 11 décembre 2027. Elle s’applique spécifiquement aux produits intégrant des éléments numériques – tant le matériel que les logiciels mis à disposition dans l’UE –, les fabricants étant responsables de la cybersécurité à toutes les étapes du cycle de vie du produit.

Les cadres réglementaires plus directement liés à la capacité de reprise des organisations sont la NIS2 (réseaux et systèmes d’information), qui couvre les secteurs critiques et les chaînes d’approvisionnement, et la DORA (loi sur la résilience opérationnelle numérique), qui impose des exigences spécifiques en matière de résilience opérationnelle et de tests aux entités financières.

Facteurs influant sur la vitesse de reprise

La vitesse de reprise n’est pas une simple variable isolée, mais le résultat de plusieurs facteurs interdépendants. Afin d’améliorer significativement le MTCR, il est nécessaire de comprendre où les goulots d’étranglement sont les plus susceptibles d’apparaître.

Infrastructure et performances de stockage (SCM, SSD, SAS, objet, bande)

Les vitesses de restauration maximales sont principalement dictées par la capacité de débit du support sur lequel les données restaurées sont écrites.

La hiérarchisation du stockage (qui consiste à utiliser des supports à haute vitesse pour les applications critiques tout en réservant un stockage plus lent aux données moins sensibles au facteur temps) peut être mise en œuvre pour atteindre une vitesse de restauration acceptable pour les données clés sans avoir à supporter les coûts d’un stockage haute performance à tous les niveaux.

De même, la bande passante réseau devient un goulot d’étranglement pour la restauration si un ensemble de données volumineux est restauré sur un réseau très sollicité – même les données provenant d’un support de stockage haute performance mettraient plus de temps à être récupérées si elles sont ralenties par les capacités de l’infrastructure réseau.

Intégrité des données : garantir des sauvegardes saines et exemptes de logiciels malveillants

Dans le contexte de la cybersécurité, la vitesse sans intégrité est en réalité pire qu’inutile – car une restauration rapide à partir d’une sauvegarde compromise ne fera que prolonger l’incident.

Une restauration efficace dépend à la fois de la vérification de l’intégrité et de l’analyse antivirus, qui doivent faire partie intégrante du processus de sauvegarde, et non se limiter à une simple vérification ponctuelle lors de la restauration.

Les sauvegardes sur stockage WORM ne peuvent être ni chiffrées ni modifiées par un rançongiciel, même si le système de sauvegarde lui-même est sous le contrôle d’un attaquant.

Tout cela, combiné à la conservation versionnée, crée un état de restauration difficile à infecter – à condition que la période de conservation soit suffisamment longue pour contenir l’infection initiale.

Automatisation, orchestration et hiérarchisation des tâches de restauration

Les processus de restauration manuels génèrent une variabilité difficile à gérer en situation de pression. Des guides d’intervention standardisés peuvent aider à hiérarchiser les systèmes critiques, à séquencer correctement les dépendances et à exécuter les tâches de restauration en parallèle lorsque cela est possible – sans qu’il soit nécessaire de faire appel au jugement humain à chaque étape en cas d’urgence.

Il ne s’agit pas ici de supprimer la supervision humaine, mais de veiller à ce que les décisions nécessitant un jugement humain soient prises lors de la planification plutôt que d’être improvisées sur le moment.

Facteurs humains : tester régulièrement les plans de reprise et les compétences

Un plan de reprise qui n’existe que sur le papier n’est pas aussi fiable qu’un plan qui a déjà été mis en œuvre. Les exercices sur table mettent en évidence les faiblesses en matière de communication et de prise de décision au sein d’une organisation, tandis que les tests de restauration complète soulignent les défaillances techniques potentielles : dépendances non documentées, systèmes incapables de se restaurer correctement, calendriers ne répondant pas aux attentes initiales.

Ces tests doivent avoir lieu suffisamment souvent pour suivre le rythme des changements d’infrastructure, et il est également important que ces tests imitent autant que possible des scénarios de menaces réels au lieu de se concentrer uniquement sur les pannes matérielles.

Sélectionner les bons indicateurs et KPI

Combiner RPO, RTO, MTTR et MTCR pour une vision globale

Aucun indicateur ne peut à lui seul refléter la situation dans son ensemble dans ce cas.

• Le RPO définit la perte de données acceptable et détermine la fréquence des sauvegardes
• Le RTO définit l’objectif de restauration
• Le MTTR suit les performances réelles par rapport à cet objectif
• Le MTCR ajoute la dimension d’intégrité qui importe le plus dans les scénarios de cyber-récupération

Combinés, ces indicateurs permettent à une organisation d’identifier des faiblesses spécifiques. Par exemple, une combinaison d’un RTO solide et d’un MTCR médiocre indique que l’intégrité de la sauvegarde est le principal problème. À l’inverse, un MTCR élevé associé à un MTTR non respecté signifie que le problème se situe soit au niveau des ressources, soit au niveau du processus.

Aligner les indicateurs sur les objectifs de continuité des activités et de conformité

Les indicateurs sont particulièrement utiles lorsqu’ils peuvent être liés à des résultats qui comptent réellement pour l’entreprise. Les RTO basés sur une analyse d’impact sur l’activité (mettant en évidence le coût opérationnel réel des temps d’arrêt) sont plus exploitables que les RTO définis pour correspondre aux valeurs par défaut des fournisseurs ou copiés à partir de cadres génériques.

De même, les objectifs MTCR doivent refléter les exigences pratiques d’intégrité des données en question, ainsi que les obligations réglementaires qui s’y appliquent.

Pourquoi Bacula excelle dans la restauration rapide et propre

Les problèmes décrits ci-dessus – sauvegarde compromise, restauration lente, incertitude quant à l’intégrité, variabilité des processus manuels – sont exactement ceux pour lesquels des solutions telles que Bacula Enterprise ont été conçues. Son architecture reflète clairement l’idée que la qualité de la sauvegarde et les performances de restauration ne peuvent être considérées comme des préoccupations distinctes.

L’architecture modulaire et l’évolutivité de Bacula

La conception modulaire de Bacula permet de garantir que les organisations ne présentent pas de point de défaillance unique, même lorsqu’elles gèrent des environnements vastes et distribués. La plateforme se compose de trois éléments principaux : le directeur, le démon de stockage et le démon de fichiers. Chaque composant peut évoluer de manière indépendante en fonction des besoins de débit et de capacité de l’organisation.

Cette conception permet de prendre en charge des environnements vastes et complexes (y compris les déploiements hybrides et multicloud) sans nécessiter une infrastructure monolithique susceptible de devenir un point de défaillance unique.

Restauration granulaire : restauration rapide de fichiers et de systèmes individuels

Toutes les situations ne nécessitent pas une restauration complète du système. Le plus souvent, la restauration de certains fichiers, bases de données ou services seulement constitue un moyen plus rapide de revenir à un état opérationnel que la restauration de systèmes entiers à partir de zéro.

La restauration granulaire de Bacula permet à l’administrateur système de sélectionner précisément les éléments à restaurer, ce qui limite la durée de la restauration et le risque de réintroduire des données potentiellement infectées.

Intégration avec le stockage WORM, l’immuabilité et l’analyse des logiciels malveillants

Bacula Enterprise permet l’intégration avec des périphériques de stockage WORM et des destinations de sauvegarde immuables, réduisant ainsi le risque de falsification et de chiffrement des sauvegardes. Ses capacités d’analyse des logiciels malveillants vérifient l’intégrité de la sauvegarde avant toute restauration, atténuant ainsi le risque de restaurer à partir d’un point de sauvegarde corrompu.

Ces fonctionnalités répondent directement au défi du MTCR – en aidant à vérifier si la restauration débutera à partir d’une copie de sauvegarde fiable.

Priorisation des tâches de restauration et automatisation des workflows de reprise

Les fonctionnalités de script et d’API offertes par Bacula peuvent faciliter les workflows de restauration automatisés et les runbooks séquencés. Les tâches de restauration du système peuvent être classées par ordre de priorité en fonction de leur importance pour l’activité, les dépendances du système étant gérées pour garantir que tout revienne en ligne dans le bon ordre. Cela peut contribuer à améliorer le MTTR pratique et également les RTO en cas de besoin.

Stratégies pour accélérer la reprise et améliorer la résilience

Tester régulièrement les sauvegardes et vérifier l’intégrité des données

Une tâche de sauvegarde réussie n’est pas synonyme d’une sauvegarde pouvant être restaurée sans problème. La vérification de l’intégrité consiste à effectuer des tests de restauration périodiques : il ne s’agit pas simplement de vérifier que le processus de sauvegarde fonctionne, mais de s’assurer que les données qu’il produit sont récupérables, intactes et exemptes de logiciels malveillants.

La fréquence des tests de restauration doit tenir compte de deux facteurs principaux :

• Le niveau de criticité des systèmes concernés
• Le rythme auquel l’infrastructure évolue

Utilisation d’un stockage à plusieurs niveaux et de supports à haute vitesse pour les données critiques

Toutes les données ne doivent pas nécessairement être stockées sur le support le plus rapide dont dispose l’entreprise, mais celles qui nécessitent des RTO courts doivent certainement l’être. L’adoption d’une approche à plusieurs niveaux – avec des supports à haute performance et haut débit utilisés pour les applications qui l’exigent, tandis que les données moins critiques sont placées sur un stockage plus lent et moins coûteux – aide les organisations à optimiser la vitesse de restauration là où cela compte le plus, sans avoir à supporter le coût d’un stockage haute performance à tous les niveaux.

Automatisation des procédures d’intervention en cas d’incident et de reprise après sinistre

Les procédures de reprise qui doivent être élaborées en situation d’incident sont bien moins fiables que celles qui ont été créées et testées à l’avance. L’automatisation permet de réduire la dépendance vis-à-vis du jugement en temps réel pour les décisions pouvant être prédéfinies – qu’il s’agisse de l’ordre de restauration du système, de la séquence des dépendances ou de l’exécution de tâches en parallèle. L’automatisation se traduit également par des résultats plus prévisibles, ce qui rend l’analyse et l’amélioration post-incident nettement plus utiles.

Mesurer et améliorer le MTTR et le MTCR au fil du temps

La résilience s’améliore lorsqu’elle est mesurée de manière cohérente. La surveillance du MTTR et du MTCR à la fois lors des tests et des incidents réels (au lieu de traiter chaque exercice comme un événement ponctuel) permet aux entreprises d’identifier où le temps est perdu – que ce soit au niveau de la détection, de la vérification de l’intégrité des sauvegardes, de l’ordre de restauration ou de la coordination humaine.

Ces données permettent de transformer la planification de la reprise d’un simple exercice de conformité en un programme utile aux résultats mesurables.

Conclusion : adopter une approche axée sur la reprise

Résumé des raisons pour lesquelles la vitesse de reprise définit la cyber-résilience

Si la prévention et la détection sont nécessaires, la rapidité et la qualité de la reprise déterminent toutes deux le coût réel d’un incident. Le MTCR – le temps nécessaire pour atteindre un état vérifié, non infecté et opérationnel – est un indicateur de résilience bien plus fiable que les seules mesures de posture de sécurité, et c’est également la mesure la plus contrôlable à la portée d’une organisation lors d’une attaque.

Encourager les organisations à évaluer et à améliorer leurs mesures de reprise

Les organisations ne seraient pas en mesure d’avoir une image précise de leur MTCR réel si elles n’ont pas récemment testé leurs capacités de reprise face à des scénarios réalistes, tels que des chaînes de sauvegarde compromises ou un temps de persistance prolongé.

Bacula Enterprise offre l’architecture, les contrôles d’intégrité et les capacités d’automatisation nécessaires pour réduire de manière significative cet écart, même dans les environnements les plus complexes et à grande échelle, tout en aidant à développer une posture de reprise qui peut être démontrée plutôt que simplement supposée.

Foire aux questions

La vitesse de reprise est-elle plus importante que la prévention des violations ?

Ces deux options ne s’excluent pas mutuellement. La prévention minimise le risque d’incidents ; une solide capacité de reprise minimise l’impact si un incident se produit effectivement. L’argument pratique en faveur d’accorder une plus grande importance à la reprise qu’auparavant est que la prévention a une certaine limite – les attaques complexes finiront, à un moment donné, par réussir même contre les cibles les plus robustes – tandis que la capacité de reprise est directement proportionnelle au coût global d’un incident.

Comment les assureurs cyber évaluent-ils les capacités de reprise ?

Les souscripteurs se sont récemment montrés plus rigoureux dans ce domaine. La plupart s’enquièrent désormais explicitement de la fréquence des sauvegardes, de la disponibilité de sauvegardes hors site et immuables, de la fréquence à laquelle le processus de reprise est testé, et de savoir si les sauvegardes sont isolées du réseau de production. Les organisations disposant de processus de reprise documentés et régulièrement testés, ainsi que de chaînes de sauvegarde vérifiables et intactes, ont tendance à bénéficier de conditions plus favorables que celles dont la stratégie de sauvegarde n’existe principalement que sur le papier.

Quels indicateurs de reprise les régulateurs et les auditeurs prennent-ils réellement en compte ?

Si le champ d’application réglementaire varie selon les cadres et les secteurs, les engagements et la démonstration de la faisabilité des RTO et RPO sont universellement applicables. La capacité à rétablir l’accès aux données à caractère personnel dans un délai acceptable après une violation est une exigence spécifique du RGPD et des législations comparables en matière de protection des données. Parallèlement, la directive DORA fournit des spécifications de test pour les entités financières. Les auditeurs souhaitent de plus en plus voir les résultats des tests, et pas seulement les objectifs documentés.