Protection Contre les Ransomwares

Bienvenue > Protection Contre les Ransomwares

Ces derniers temps, les attaques par ransomware visent d’abord l’infrastructure de sauvegarde, car en détruisant les options de restauration avant de lancer le chiffrement, elles ne laissent aux victimes d’autre issue que de payer la rançon. L’étude « State of Ransomware 2024 » de Sophos (réalisée à partir d’une enquête menée auprès de 5 000 professionnels de l’informatique et de la sécurité dans 14 pays) a révélé que les attaquants avaient tenté de compromettre les systèmes de sauvegarde dans 94 % des incidents, et qu’ils y étaient parvenus dans 57 % des cas. Les coûts de restauration étant environ huit fois plus élevés, les victimes étaient près de deux fois plus susceptibles de payer la rançon.

En réalité, l’ampleur du problème n’a fait que croître au cours de l’année écoulée. Le rapport 2026 de GuidePoint Security sur les ransomwares et les cybermenaces a enregistré une augmentation de 58 % du nombre de victimes de ransomwares en 2025 par rapport à l’année précédente, avec 7 515 organisations ajoutées aux sites de fuite de données au cours de l’année. Cela fait de 2025 l’année la plus active jamais enregistrée en matière d’attaques par ransomware.

Lorsque les systèmes de sauvegarde et de production partagent les mêmes identifiants, un seul compte piraté permet d’accéder aux deux. Afin de protéger les sauvegardes contre les ransomwares, l’environnement de sauvegarde doit disposer de son propre modèle d’authentification et d’un stockage auquel aucun identifiant côté production ne peut accéder.

Bacula Enterprise est conçu pour contrer la compromission des sauvegardes au niveau de l’architecture, et constitue la solution de sauvegarde de choix pour la NASA et certaines des plus grandes organisations militaires au monde. Ses composants principaux fonctionnent sous Linux, ce qui élimine toute une catégorie de vecteurs de ransomware ciblant Windows du modèle de menace.

La conception de la protection contre les ransomwares de Bacula repose sur des comptes de service isolés, un chiffrement conforme à la norme FIPS 140-3, des volumes de stockage immuables et BGuardian, un module de surveillance avancée de la sécurité et de détection des menaces, afin de préserver l’intégrité et la récupérabilité des données de sauvegarde même lorsque l’environnement de production a été entièrement compromis.

Contactez-nous Whitebook sur les ransomwares

Comment Bacula Enterprise protège les sauvegardes contre les ransomwares

Une architecture de sauvegarde conçue pour garantir la disponibilité et la rapidité se comporte très différemment en cas d’attaque active par rapport à des conditions de fonctionnement normales. Bacula Enterprise est conçu pour préserver l’intégrité des données de sauvegarde en cas d’attaque active, en exécutant ses composants principaux sur une infrastructure distincte basée sur Linux. L’accès au stockage est géré par des comptes de service indépendants, et chaque connexion réseau entre les composants est conçue en partant du principe que n’importe quel nœud du réseau peut déjà avoir été compromis.

Isolation architecturale

L’architecture de Bacula est spécialement conçue pour bloquer les deux voies d’accès les plus courantes empruntées par les ransomwares pour s’introduire dans un système de sauvegarde (accès réseau partagé et identifiants partagés avec l’environnement de production), grâce à la segmentation du réseau et à des comptes de service totalement isolés.

Noyau basé sur Linux : Le Director et le Storage Daemon de Bacula fonctionnent sous Linux. La majorité des charges utiles des ransomwares sont conçues pour s’exécuter sous Windows et parcourir des chemins d’accès aux fichiers accessibles sous Windows. Sur un hôte Linux, ces charges utiles ne disposent d’aucun environnement d’exécution.
Sens de connexion inversé : Le démon de stockage initie les connexions vers le démon de fichiers (et non l’inverse) ; les machines clientes n’ont pas besoin de ports entrants ouverts vers le système de sauvegarde. Un attaquant se trouvant sur un client compromis ne dispose d’aucun service à l’écoute auquel se reconnecter du côté de la sauvegarde.
Comptes de service isolés par défaut : L’installation par défaut de Bacula exécute chaque démon sous son propre compte de service restreint. Aucune information d’identification de production ne peut accéder au stockage de sauvegarde, et aucun compte de service de sauvegarde ne dispose de permissions allant au-delà de ce que les opérations de sauvegarde requièrent.
Segmentation du réseau : Les serveurs de sauvegarde, y compris le Director, peuvent fonctionner dans un VLAN distinct inaccessible depuis les systèmes de production. Les mouvements latéraux à partir d’un hôte de production compromis s’arrêtent à la limite du réseau.

Stockage immuable et hors ligne

L’isolation architecturale limite la portée d’un attaquant au sein de l’infrastructure de sauvegarde. De son côté, le stockage immuable et hors ligne limite les dommages qu’un attaquant peut causer aux données de sauvegarde en cas de violation de cette isolation.

Volumes de disque immuables : Bacula prend en charge les volumes de disque verrouillés en écriture qui ne peuvent être ni modifiés ni supprimés une fois écrits, même par un compte disposant des identifiants du service de sauvegarde.
Immuabilité NFS via NetApp SnapLock : Pour les organisations utilisant le stockage NetApp, Bacula s’intègre à SnapLock afin d’assurer l’immuabilité au niveau du matériel de stockage, hors de portée de toute attaque au niveau de la couche logicielle.
Immuabilité HPE StoreOnce : Bacula prend en charge la protection en écriture imposée par le matériel sur les appliances HPE StoreOnce pour les organisations évoluant dans cet écosystème de stockage.
B Bandes isolées physiquement : B Les volumes de bandes éjectés de la bibliothèque et stockés hors ligne sont physiquement inaccessibles à toute attaque réseau. La prise en charge des bandes par Bacula couvre une large gamme de changeurs automatiques et de matériel LTO, et les bandes peuvent être étiquetées, archivées et gérées via les outils intégrés de Bacula.
Tâches de copie de sauvegarde : Le mécanisme de tâche de copie de sauvegarde de Bacula écrit des points de restauration vers une cible de stockage distincte, soumise à une politique de conservation différente de celle de la tâche de sauvegarde principale. La tâche de copie s’exécute de manière indépendante, avec ses propres identifiants de stockage et son propre chemin d’accès. Un jeu de sauvegarde principal corrompu ou supprimé n’affecte pas les points de restauration de la tâche de copie.

Détection active des menaces avec BGuardian

De nos jours, les auteurs de ransomware passent des semaines au sein d’un réseau à recenser l’infrastructure de sauvegarde et à tester les identifiants avant de déclencher une charge utile de chiffrement, bien en dessous du seuil d’activité détecté par les systèmes de surveillance standard. BGuardian est un plugin Bacula Director qui effectue des analyses statistiques et de configuration sur l’ensemble de l’environnement Bacula selon une cadence de tâches d’administration planifiées. Il génère des rapports HTML et JSON grâce à un système d’alertes persistant qui distingue les problèmes nouvellement détectés de ceux déjà signalés lors des exécutions précédentes.

Détection des écarts de sauvegarde : Lorsqu’un ransomware commence à chiffrer des fichiers sur un système source avant l’exécution d’une sauvegarde, la tâche capture moins de données que ne le prévoit sa référence statistique. BGuardian détecte ce phénomène en effectuant une analyse de régression sur trois axes par tâche : le nombre d’octets traités, le nombre de fichiers et la durée de la tâche. Les résultats qui s’écartent de manière significative de la référence calculée se voient attribuer un niveau de gravité (Élevé, Moyen ou Faible) et sont signalés pour examen.
Rapports sur les tâches liées aux logiciels malveillants et aux ransomwares : Le service « infected » de BGuardian signale chaque tâche de sauvegarde au cours de laquelle la couche de protection contre les logiciels malveillants de Bacula a détecté un ransomware ou un logiciel malveillant pendant l’exécution. Chaque détection génère une alerte persistante liée au client, au nom de la tâche et à l’ID de la tâche spécifiques, la réponse recommandée étant l’isolation immédiate de l’hôte affecté du réseau avant l’exécution de toute tâche de sauvegarde ultérieure sur celui-ci.
Surveillance des événements de sécurité : Le service securityevents de BGuardian interroge le journal des événements interne de Bacula à la recherche d’entrées classées dans la catégorie « sécurité », y compris les tentatives d’authentification bconsole ayant échoué sur le Director. Une série de connexions au Director ayant échoué est un indicateur d’énumération des identifiants sur le plan de gestion des sauvegardes, et BGuardian fait apparaître ces entrées dans le même cycle de rapport que le reste de son analyse, plutôt que d’exiger un processus distinct d’examen des journaux.

Évaluation de la sécurité de la configuration : À chaque exécution, BGuardian vérifie l’intégralité de la configuration de Director par rapport à une base de référence de sécurité documentée, en recherchant des problèmes tels que des mots de passe de démons faibles ou en double, des démons s’exécutant sous l’utilisateur root et des cibles de stockage cloud non chiffrées. Chaque constatation se voit attribuer un code d’alerte afin que les administrateurs puissent escalader ou masquer des éléments individuels sans perdre la visibilité sur les autres.
Détection des échecs consécutifs : Le service failedinarow de BGuardian identifie les tâches qui ont échoué de manière consécutive plus d’un nombre configurable de fois. Les échecs consécutifs sur un client ou un démon de stockage spécifique se distinguent, sur le plan opérationnel, des erreurs transitoires aléatoires et justifient une enquête visant à déterminer si un service a été arrêté, si une cible de stockage est devenue inaccessible ou si un composant subit une interférence active.

*BGuardian est disponible à partir de Bacula Enterprise 16.0.12 et peut être déployé sur n’importe quelle plateforme sur laquelle Bacula Director peut être installé.

Chiffrement à tous les niveaux

Une interception sur le réseau ou une cible de stockage compromise ne présente d’intérêt pour un pirate que si les données ainsi exposées sont lisibles. Bacula chiffre les données de sauvegarde de manière indépendante au niveau des composants, au niveau du réseau et au niveau du stockage. La compromission d’une seule de ces couches ne permet pas à un pirate d’accéder à des données exploitables.

Conforme à la norme FIPS 140-3 : Bacula respecte la norme fédérale de chiffrement utilisée par le gouvernement américain et les organisations militaires.
AES 128, AES 192 et AES 256 : Le niveau de chiffrement est configurable pour chaque client. Les organisations peuvent appliquer des algorithmes de chiffrement plus puissants aux charges de travail les plus sensibles sans imposer uniformément la charge de calcul à l’ensemble de l’environnement.
TLS pour toutes les communications entre composants : Le trafic réseau entre le Director, le Storage Daemon et le File Daemon transite par défaut via TLS. Les données de sauvegarde en transit sont chiffrées, même sur les réseaux où d’autres types de trafic ont été interceptés.

Chiffrement par le démon de stockage : Les données écrites sur le cloud ou un support de stockage physique sont chiffrées au niveau du démon de stockage avant de quitter l’infrastructure de sauvegarde. La cible de stockage ne reçoit que du texte chiffré. Un attaquant qui parviendrait à accéder au support de stockage n’aurait aucun moyen d’accéder aux données sous-jacentes sans la clé de chiffrement.
Chiffrement granulaire vers les stockages non fiables : Pour les cibles de sauvegarde échappant au contrôle direct de l’organisation, Bacula applique un chiffrement par stockage. Un compte cloud ou un système de stockage tiers compromis n’expose aucune donnée de sauvegarde lisible.

Principales fonctionnalités de la protection contre les ransomwares par sauvegarde

Volumes de stockage immuables : Les données de sauvegarde enregistrées sur disque, sur un NAS ou dans un système de stockage objet peuvent être verrouillées au niveau du volume afin d’empêcher toute modification ou suppression. Ainsi, même un attaquant disposant d’identifiants valides pour le service de sauvegarde ne peut ni écraser ni détruire les points de restauration.
Prise en charge des bandes en mode « air-gapped » : Les volumes de bandes éjectés de la bibliothèque et stockés hors ligne sont physiquement inaccessibles à toute attaque provenant du réseau. Les entreprises disposent ainsi d’une voie de restauration qu’aucune compromission d’identifiants ni aucune intrusion réseau ne peut compromettre.
Chiffrement AES par client : Les données de sauvegarde sont chiffrées en AES 128, AES 192 ou AES 256 par client ; ainsi, une compromission d’une seule cible de stockage n’expose que les données de ce client. Le reste du parc de sauvegarde reste protégé.
Détection des menaces par BGuardian : BGuardian effectue quotidiennement une analyse des écarts statistiques, génère des rapports de détection de logiciels malveillants et évalue la sécurité des configurations. Les anomalies indiquant une activité active de ransomware ou des contrôles d’accès mal configurés apparaissent dans les rapports de BGuardian avant que le ransomware n’atteigne les données de sauvegarde.

Authentification multifactorielle et mot de passe à usage unique : L’authentification multifactorielle (MFA) protège les interfaces de gestion de Bacula, l’authentification par mot de passe à usage unique étant disponible pour l’accès à BWeb via les fonctions biométriques des smartphones. La compromission d’un mot de passe ne suffit pas à elle seule pour accéder au plan de gestion des sauvegardes.
Détection silencieuse de la corruption des données : Bacula compare les données sauvegardées existantes à leurs signatures d’origine et identifie les volumes dont les données se sont dégradées au niveau du stockage sans générer d’erreur d’écriture visible.
Intégration SIEM : Bacula transmet les événements de sécurité vers des plateformes SIEM externes. L’activité de l’infrastructure de sauvegarde devient visible au sein des workflows de surveillance de la sécurité et de réponse aux incidents de l’organisation, et n’échappe plus à la vue du SOC.
Vérification des sauvegardes SHA256 et SHA512 : Les tâches de vérification de Bacula calculent des signatures SHA256 ou SHA512 par rapport aux fichiers précédemment catalogués. Toute divergence de signature signifie qu’un fichier a été modifié entre deux exécutions de sauvegarde. Les administrateurs bénéficient d’une détection au niveau des fichiers des modifications non autorisées sans avoir à exécuter un outil d’intégrité distinct.

Bacula Enterprise : prise en charge complète des plateformes

Sécurité et conformité des sauvegardes

Bacula Enterprise intègre des contrôles de sécurité à chaque niveau de la pile de sauvegarde, du transport des données jusqu’à la destination de stockage. Ainsi, son architecture de sauvegarde résistante aux ransomwares ne nécessite aucun outil de sécurité tiers pour garantir les éléments suivants :

Copies de sauvegarde immuables. Le stockage compatible WORM verrouille les données de sauvegarde contre toute modification ou suppression une fois celles-ci écrites. Aucun chemin d’accès réseau vers les points de restauration n’est accessible à un attaquant disposant d’identifiants de service valides.
Chiffrement AES par client. Configurable en AES 128, AES 192 ou AES 256 par client, de la source à la destination de stockage. Une violation de la cible de stockage n’expose que les données de ce client, et non l’ensemble du parc de sauvegarde.
Conformité FIPS 140-3. Les modules cryptographiques répondent à la norme fédérale exigée par les organisations gouvernementales et militaires sur tous les démons pris en charge.
Contrôles d’accès granulaires. Les autorisations des utilisateurs s’appliquent à des tâches spécifiques, des workflows de restauration et des fonctions de gestion. Aucun compte ne dispose d’un accès inutile à l’ensemble de l’environnement de sauvegarde.
Audit complet des activités. Chaque sauvegarde, restauration et modification de configuration est consignée avec l’identité de l’utilisateur et l’horodatage. Les équipes de sécurité disposent d’une piste d’audit ininterrompue pour les enquêtes sur les incidents et les contrôles de conformité.
Intégration SIEM. Les événements de sécurité de l’infrastructure de sauvegarde sont transmis à des plateformes SIEM externes, intégrant ainsi la couche de sauvegarde dans les workflows de réponse aux incidents existants de l’organisation, plutôt que de la laisser comme un angle mort en dehors du SOC.
Prise en charge du cadre réglementaire. Les contrôles de la plateforme sont conformes aux exigences du RGPD, de l’HIPAA, du SOC 2, de la norme PCI DSS et du NIST grâce au chiffrement, à des politiques de conservation configurables et à des journaux d’audit détaillés.

Stockage et restauration

Une stratégie de sauvegarde contre les ransomwares échoue si la restauration elle-même est lente, n’a pas été testée ou se limite à une seule voie. Bacula offre aux administrateurs plusieurs options de restauration indépendantes, de sorte qu’aucun point de défaillance unique ne puisse empêcher la restauration :

B Bandes isolées physiquement. Les volumes de bandes éjectés de la bibliothèque et stockés hors ligne sont physiquement inaccessibles à toute attaque réseau. Aucune compromission des identifiants, aussi profonde soit-elle, ne peut atteindre une bande éjectée.
Tâches de copie de sauvegarde. Les points de restauration sont écrits sur une cible de stockage distincte, avec des identifiants indépendants et une politique de conservation différente. Un jeu de sauvegarde principal corrompu ou supprimé n’affecte pas les points de restauration de la tâche de copie.
Restauration à froid. Bacula restaure un serveur complet à partir de zéro, y compris le système d’exploitation, les applications et les données, sans nécessiter d’installation manuelle préalable. Les systèmes Linux et Windows sont pris en charge, avec le support UEFI et EFI.
Plusieurs types de cibles de stockage. Les sauvegardes s’écrivent sur disque local, NAS, SAN, bibliothèques de bandes et stockage d’objets dans le cloud, y compris S3, Azure et Google Cloud, au sein d’une seule et même politique. Les organisations mettent en œuvre la règle 3-2-1-1 sans avoir à gérer des outils distincts pour chaque destination.
Workflows de stockage hiérarchisé. Les données de sauvegarde migrent automatiquement entre les niveaux de stockage à mesure qu’elles vieillissent, conservant les points de restauration récents sur un stockage rapide tandis que les données plus anciennes sont transférées vers des destinations moins coûteuses ou hors ligne.
Réplication géographique des sauvegardes. Les jeux de sauvegarde sont copiés vers des emplacements de stockage géographiquement distincts. Une panne à l’échelle d’un site n’entraîne pas la perte des points de restauration.
Validation automatisée de la restauration. La restaurabilité est confirmée par des tests automatisés. Les administrateurs de sauvegarde savent que les points de restauration sont utilisables avant qu’un incident ne les oblige à se poser la question.

Couverture multi-environnements

Les ransomwares ne font aucune distinction entre les types de charges de travail. Bacula protège les serveurs physiques, les machines virtuelles, les conteneurs, les bases de données et les infrastructures cloud via un seul moteur de politiques et une seule piste d’audit :

Virtualisation multi-plateforme. L’intégration native couvre VMware vSphere, Hyper-V, KVM, Red Hat Virtualization, Xen, Azure VM, Proxmox, Nutanix AHV et OpenStack, avec une application cohérente des politiques sur tous les hyperviseurs.
Prise en charge des conteneurs et des environnements cloud natifs. Protection complète pour les environnements Docker, Kubernetes et OpenShift, couvrant les volumes persistants et les instantanés cohérents au niveau des applications.
Sauvegarde de bases de données. La prise en charge de la sauvegarde à chaud couvre Oracle, SQL Server, MySQL, PostgreSQL, SAP HANA, MariaDB, Percona et IBM DB2 avec une cohérence transactionnelle totale. Les sauvegardes de bases de données sont fiables pour la restauration, et pas seulement pour le stockage.
Protection des applications SaaS. Microsoft 365, Google Workspace et Exchange Online sont protégés grâce à une capacité de restauration granulaire allant jusqu’aux e-mails et entrées de calendrier individuels.
Intégration du stockage multicloud. La prise en charge native couvre les interfaces S3, Azure, Google Cloud, Oracle Cloud et Glacier. Les organisations ne sont pas liées à un seul fournisseur de cloud pour le stockage de sauvegarde.
Environnement Windows. Le système de fichiers chiffrés Windows, Microsoft VSS avec MS SQL Server et Exchange, Active Directory et les instantanés de points de montage sont tous pris en charge par un seul agent Windows.

Gestion et administration des sauvegardes

B Suite de gestion Web. L’interface graphique Web principale de Bacula permet de gérer la configuration des tâches, la surveillance, la génération de rapports et l’analyse de la sécurité sur l’ensemble de l’environnement de sauvegarde à partir d’une interface unique.
B Évolutivité sans limites. La même architecture de plateforme permet de gérer des environnements allant d’une poignée de serveurs à des déploiements comptant des milliers de serveurs, le tout sous un seul plan de gestion.
Isolation des locataires. Les MSP et les grandes entreprises divisent l’environnement de sauvegarde en unités gérées indépendamment. Chaque unité dispose de sa propre configuration, de ses propres politiques et de ses propres contrôles d’accès.
Intégration de systèmes externes. Bacula se connecte à des outils de surveillance, à des systèmes de tickets informatiques et à des services d’annuaire, notamment LDAP et Active Directory. Aucun développement sur mesure n’est nécessaire.
Licences indépendantes du volume. Les frais de licence sont basés sur la taille de l’environnement, et non sur le volume de données. La capacité de sauvegarde augmente sans entraîner de coûts supplémentaires.

Bonnes pratiques en matière de sauvegarde contre les ransomwares

Suivez la règle 3-2-1-1 : Conservez trois copies de vos données sur deux types de supports différents, dont une copie hors site et une copie hors ligne. La copie hors ligne est celle qui résiste à une compromission totale du réseau. *Bacula gère ces quatre exigences à partir d’un seul moteur de règles.
Isolez les identifiants de sauvegarde de l’environnement de production : Exécutez les démons de sauvegarde sous des comptes de service qui existent uniquement pour les opérations de sauvegarde, sans aucun chevauchement avec les identifiants de production. Un compte de production compromis ne doit avoir aucun accès au stockage de sauvegarde. Bacula le fait par défaut en exécutant chaque démon sous son propre compte de service restreint.
Ne confondez pas les instantanés de stockage avec une sauvegarde à l’épreuve des ransomwares : Les instantanés ne disposent pas d’une gestion indépendante de la conservation et stockent toutes les données sur le même système que les données principales. Toute attaque qui atteint le stockage principal atteint également les instantanés. Ceux-ci constituent un outil de récupération utile en cas de suppression accidentelle, mais ne remplacent pas des copies de sauvegarde isolées et authentifiées de manière indépendante.
Ne vous fiez jamais aux différences entre les systèmes de fichiers comme limite de sécurité : Un système de fichiers inaccessible aux ransomwares d’aujourd’hui pourrait ne pas l’être à ceux de demain. La sécurité ne doit pas reposer sur l’hypothèse qu’un attaquant ne peut pas traverser un protocole ou un type de système de fichiers particulier. Elle doit provenir du contrôle d’accès et de l’authentification.

Exécutez BGuardian selon un calendrier quotidien : BGuardian détecte les indicateurs de corruption des sauvegardes, les failles de configuration et les comportements anormaux des tâches avant qu’ils ne conduisent à un échec total de la restauration. Planifiez-le en tant que tâche d’administration Bacula pour qu’il s’exécute pendant les heures creuses et examinez ses rapports dans le cadre de votre cadence opérationnelle habituelle.
Testez régulièrement les restaurations : Une sauvegarde qui n’a jamais été restaurée n’est qu’une hypothèse non vérifiée. Exécutez périodiquement des tâches de restauration sur différents types de clients et de cibles de stockage. Le service restorefrequency de BGuardian signale les tâches dont la fréquence de restauration est tombée en dessous d’un seuil configurable, afin que les lacunes dans les tests de restauration ne passent pas inaperçues.
Chiffrez les données de sauvegarde avant qu’elles ne quittent l’infrastructure de sauvegarde : Le chiffrement par le démon de stockage garantit que la cible de stockage ne reçoit que du texte chiffré. Un compte cloud ou un système de stockage tiers compromis n’expose aucune donnée lisible. Appliquez le chiffrement à toute cible de stockage hors du contrôle direct de l’organisation.

Foire aux questions

Qu’est-ce que la protection des sauvegardes contre les ransomwares ?

La protection des sauvegardes contre les ransomwares désigne l’ensemble des mesures architecturales et opérationnelles visant à garantir la récupérabilité des données sauvegardées après une attaque par ransomware. Les auteurs de ransomwares modernes ciblent l’infrastructure de sauvegarde avant de déclencher le processus de chiffrement ; par conséquent, cette protection nécessite un stockage qui ne peut être ni modifié ni supprimé par un attaquant, une authentification indépendante des identifiants de production, ainsi qu’une surveillance active capable de détecter les indicateurs de ransomware avant qu’ils n’atteignent les données sauvegardées.

Bacula analyse-t-il les données sauvegardées à la recherche de logiciels malveillants ?

Oui. Le service « Infected » de BGuardian signale chaque tâche au cours de laquelle la couche de protection contre les logiciels malveillants de Bacula a détecté un ransomware ou un logiciel malveillant pendant l’exécution, générant une alerte persistante liée au client spécifique, au nom de la tâche et à l’ID de la tâche, afin que les administrateurs sachent exactement quel système est affecté avant que la prochaine tâche de sauvegarde ne soit exécutée sur celui-ci.

Qu’est-ce que la règle de sauvegarde 3-2-1-1 ?

La règle 3-2-1 consiste à conserver trois copies des données sur deux types de supports différents, dont une copie hors site. À l’ère des ransomwares, Bacula recommande d’ajouter une quatrième exigence : une copie doit être hors ligne et physiquement inaccessible à toute attaque réseau. Les volumes de bandes éjectés de la bibliothèque et stockés hors site satisfont à cette exigence et offrent aux organisations une voie de restauration qu’aucune compromission d’identifiants ni aucune intrusion réseau ne peut éliminer.

Que dois-je faire si mes sauvegardes sont infectées par un ransomware ?

Isolez immédiatement les systèmes affectés du réseau pour stopper la propagation avant d’effectuer toute opération de restauration. Vérifiez si votre solution de sauvegarde dispose de copies immuables ou isolées physiquement qui n’étaient pas accessibles pendant l’attaque, car ce sont vos points de restauration les plus sûrs. Vérifiez l’intégrité de la sauvegarde avant de restaurer, car la restauration à partir d’une sauvegarde compromise réintroduit l’infection. Si votre plateforme de sauvegarde inclut la détection des logiciels malveillants, examinez ses rapports pour identifier précisément les tâches et les clients affectés avant de décider quels points de restauration peuvent être utilisés en toute sécurité.

Combien de temps prend la restauration après un ransomware ?

Le temps de restauration dépend de l’étendue de la compromission de l’infrastructure de sauvegarde et de la qualité de la préparation de la voie de restauration avant l’attaque. Une étude de Sophos datant de 2024 a révélé que les organisations dont les sauvegardes avaient été compromises avaient beaucoup moins de chances de se rétablir en moins d’une semaine que celles dont les sauvegardes étaient restées intactes. Les organisations disposant de procédures de restauration à froid testées, de points de restauration hors ligne sains et d’une validation automatisée de la restauration en place se rétablissent généralement beaucoup plus rapidement que celles qui doivent reconstruire leur environnement à partir de zéro.

Un ransomware peut-il chiffrer ou supprimer des données de sauvegarde Bacula ?

Non, si un stockage immuable est configuré. Bacula prend en charge les volumes de disques verrouillés en écriture, l’immuabilité NFS via NetApp SnapLock et l’immuabilité matérielle HPE StoreOnce, qui bloquent toutes les modifications ou suppressions via toute opération accessible par le réseau, y compris celles effectuées avec des identifiants de service de sauvegarde valides. Les volumes de bandes isolés physiquement (air-gapped) éjectés de la bibliothèque ajoutent une couche physique inaccessible à toute attaque réseau, quelles que soient les informations d’identification détenues par un attaquant.

Comment Bacula identifie-t-il l’activité d’un ransomware avant qu’il ne corrompe les données de sauvegarde ?

BGuardian effectue une analyse statistique des écarts sur chaque tâche de sauvegarde, en mesurant le nombre d’octets traités, le nombre de fichiers et la durée de la tâche par rapport à la base de référence historique de chaque tâche. Une baisse du nombre d’octets traités est un indicateur pré-chiffrement documenté : les fichiers sur le système source étaient déjà chiffrés avant l’exécution de la tâche, de sorte que celle-ci a capturé moins de données que ne le prévoit la base de référence. BGuardian signale l’écart avec un niveau de gravité et génère une alerte persistante horodatée.

Un serveur de production compromis permet-il à un attaquant d’accéder à Bacula ?

Non. Le démon de stockage initie les connexions vers le démon de fichiers ; ainsi, un client compromis ne dispose d’aucun service d’écoute côté sauvegarde auquel se connecter. Chaque démon s’exécute sous son propre compte de service isolé, ce qui signifie que les identifiants de production ne confèrent aucune autorisation au sein de l’environnement de sauvegarde.

Bacula Enterprise est-il conforme à la norme FIPS 140-3 ?

Oui. Les modules cryptographiques de Bacula sont conformes à la norme FIPS 140-3 sur tous les démons pris en charge. BGuardian surveille activement l’état de conformité FIPS sur le Director, les démons de stockage et les démons de fichiers, et signale tout démon sur lequel le mode FIPS n’est pas actif.

Les sauvegardes Bacula peuvent-elles résister à une menace interne ?

Oui. Chaque accès et chaque modification de configuration sont consignés avec l’identité de l’utilisateur et l’horodatage. Cela fournit aux équipes de sécurité une piste d’audit détaillée leur permettant d’identifier exactement quel compte a effectué quelle action et à quel moment. Les contrôles d’accès granulaires de Bacula limitent les autorisations à des tâches et des workflows de restauration spécifiques, de sorte qu’aucun compte administrateur ne dispose d’un accès inutile à l’ensemble de l’environnement de sauvegarde.

Bacula s’intègre-t-il à des outils externes de surveillance de la sécurité ?

Oui. Bacula transmet les événements de sécurité aux plateformes SIEM, en intégrant les événements du Director, les tentatives d’authentification échouées et les alertes BGuardian aux workflows de réponse aux incidents existants de l’organisation. L’infrastructure de sauvegarde est souvent un angle mort dans la couverture du SOC, et cette intégration permet de le combler.

Vous pouvez également être intéressé par :

sauvegarde vm

sauvegarde esxi

sauvegarde cloud

Sauvegardes à l'épreuve des ransomwares : protégez vos sauvegardes contre les ransomwares avec Bacula Enterprise