Face aux menaces actuelles, de type ransomware, nous constatons que les Très Petites Entreprises (TPE) et les Petites et Moyennes Entreprises (PME) n’ont pas toujours les moyens de lutter efficacement. Nous allons voir dans cet article qu’il est néanmoins possible de déployer des solutions permettant de rétablir l’activité de l’entreprise touchée par un cyberincident. Ces solutions de dernier recours sont appelées Plan de Reprise d’Activité (PRA) ou Plan de Continuité d’Activité (PCA), dans la langue de Shakespeare « Business Continuity Plan » (BCP). Voici comment une PME peut bénéficier d’un PRA pour moins de 200 € !
par Jean CARETTE
Laboratoire (C + V) O – Laboratoire de Cryptologie et Virologie Opérationnelles – Esiea
Qu’est-ce qu’un PRA/PCA ?
Ce type de plan de secours implique une importante réflexion en amont. Dans un premier temps, il est nécessaire de définir les risques que nous souhaitons couvrir :
• perte ou vol d’un équipement ;
• incendies ou inondations ;
• menaces provenant de l’espace cyber comme les ransomwares ;
• …
Connaître les menaces actuelles n’est pas trivial. Les entreprises ne sont pas toutes matures dans ce domaine et ne sont généralement pas encore encadrées par des organismes les conseillant dans ce domaine. De plus, elles n’ont pas toutes le temps d’effectuer de la veille technologique ou des audits de sécurité.
Après avoir listé les différents risques auxquels la société peut être confrontée, elle va devoir faire l’inventaire de ses valeurs numériques à protéger. Cela comprend les documents, les logiciels et les équipements qui lui permettent d’assurer son activité quotidienne. Un PRA/PCA est constitué d’un ensemble d’équipements informatiques permettant de sauvegarder les valeurs à protéger ainsi que les détails et procédures de récupération. Il est généralement conseillé de réaliser régulièrement des tests pour valider le plan déployé. Préserver les valeurs d’une entreprise lors d’une catastrophe va donc être l’objectif du PCA afin d’être capable de reprendre son activité après un incident.
Exemple – Définition des valeurs
Pour illustrer ces propos, nous pouvons prendre comme exemple une petite entreprise de 5 salariés dont l’activité principale serait du commerce en ligne. La détermination de ses valeurs n’est pas la même pour tous les employés : chacun doit participer à les énoncer. Étant donné la taille réduite de l’entreprise, le nombre de postes informatiques est restreint. Nous allons considérer que chaque employé exploite des équipements informatiques fournis par l’entreprise sur lesquels il traite des documents propres à sa fonction : liste de clients, fiches produits, comptabilité, fichiers administratifs… Ces fichiers sont donc « vitaux » pour l’activité. Ils sont alors identifiés comme « valeurs à préserver ».
Comment sauvegarder les valeurs ? Combien cela va-t-il coûter ?
Dans le cas d’une TPE/PME, il est rare qu’un budget PRA/PCA ait été dégagé dès le départ. De plus, celui-ci doit rester compatible avec les ressources disponibles. Cependant n’est-il pas vital de s’équiper d’un dispositif qui permettra à la société en cours de développement de poursuivre sur cette voie en évitant ainsi de disparaître au premier cyberincident ? Investir dès le départ, pour se prémunir des problèmes majeurs réels comme les ransomwares ou les catastrophes naturelles, devrait faire partie des conseils donnés aux entreprises naissantes.
Concrètement, dans cet article, nous proposons une procédure permettant de sauvegarder ses valeurs numériques pour un investissement inférieur à 500 €. L’équipement principal suggéré pour répondre à la problématique s’appelle un NAS (Network Attached Storage). C’est un système de stockage intelligent et pouvant interagir en réseau avec d’autres équipements. Nous l’utiliserons ici pour gérer de façon autonome les sauvegardes. Les constructeurs de NAS les plus connus sont : QNAP, Synology ou encore Netgear. Ces constructeurs proposent des NAS d’entrée de gamme pour une centaine d’euros. Pour être exploité, cet équipement a besoin d’un disque dur adapté à la quantité de données que l’on souhaite sauvegarder. En résumé, pour mettre en place un premier PRA/PCA, il faut un NAS d’entrée de gamme intégrant un disque dur dimensionné pour recevoir les données constituant les valeurs numériques de l’entreprise.
Exemple – Déploiement du PRA/PCA
L’entreprise, que nous prenons en exemple a donc déterminé dans un premier temps quelles étaient ses valeurs à protéger. La deuxième étape consiste à déployer le NAS et configurer une sauvegarde des documents numériques utilisés par les collaborateurs. La charte informatique doit stipuler que les données professionnelles sont à traiter dans un répertoire particulier qui sera sauvegardé sur le NAS. Identifier un dossier dédié au travail, pour chaque collaborateur, fait partie des bonnes pratiques à adopter en entreprise et organise simplement la gestion des données. Le NAS va donc recevoir les données professionnelles provenant des différents postes présents sur le réseau de l’entreprise. Ce travail est réalisé automatiquement par des utilitaires (agents de sauvegarde) très conviviaux et intuitifs généralement fournis avec le NAS. La sauvegarde peut être configurée de plusieurs façons afin de correspondre à l’organisation de la structure dans laquelle elle est déployée :
• quotidiennement en fin de journée ;
• hebdomadaire le vendredi soir ;
• deux fois par jour ;
• …
Une fois la configuration effectuée et le déploiement des agents de sauvegarde réalisé, une première sauvegarde peut être lancée. Celle-ci validera les paramètres choisis en conditions réelles.
Sur le schéma ci-dessus, on peut voir que les sauvegardes s’effectuent depuis les postes des collaborateurs dits « clients » du système de sauvegarde. Le NAS a pour rôle de commander le dispositif et d’accueillir les valeurs numériques de l’entreprise.
Maîtriser ses sauvegardes
Avoir mis en place un système automatisé ne signifie pas s’affranchir de la supervision de celui-ci. Au moins une fois par semaine, le responsable du PRA/PCA doit vérifier l’intégrité des sauvegardes et des alertes que peuvent remonter les utilitaires des NAS. Cela signifie aussi qu’il faut avoir la main sur l’espace accordé à la préservation des documents numériques. Un « nettoyage » ou tri peut s’opérer de manière automatique ou être supervisé par l’administrateur. En effet, la quantité de données à protéger a tendance à augmenter au rythme de la croissance de l’entreprise.
Restauration
Admettons qu’un employé soit victime d’un vol de sa machine lors d’un déplacement. Il aura donc perdu son travail récent, mais sait que dans son entreprise, il existe un moyen de récupérer ses données. Revenant au bureau, il se tourne donc vers l’administrateur qui va lui fournir un nouveau poste de travail et restaurer les documents sauvegardés sur le NAS à leurs versions les plus récentes possibles. Il ne faudra pas oublier de reconfigurer l’agent de sauvegarde sur la nouvelle machine.
Archivage sur le disque dur externe
Être protégé des menaces cyber ne permet pas d’être protégé face aux catastrophes naturelles. Un incendie ou une inondation pourraient détruire le matériel informatique présent dans l’entreprise et ainsi bloquer le PRA/PCA et les sauvegardes. La principale source pour les restaurations serait alors hors d’usage. À échéance régulière, nous conseillons d’effectuer une copie des données sauvegardées (appelée archivage) sur un disque dur externe. La copie est confiée à un collaborateur de confiance (généralement le directeur) qui le conserve en lieu sûr à son domicile jusqu’à la prochaine échéance. Cette copie peut être hebdomadaire ou mensuelle en fonction de l’activité de l’entreprise. Cela permet de prévenir les catastrophes qui impacteraient le NAS (vol, incendie, panne, etc.).
Exemple d’archivage de la sauvegarde sur un support externe. Le disque dur est ensuite déplacé dans un endroit de confiance.
Le cas du serveur de fichiers
Certains équipements réseau, comme les serveurs de fichiers, offrent la possibilité d’héberger le répertoire de travail des utilisateurs. Ils permettent aussi de partager certains des répertoires entre plusieurs collaborateurs. Ceux-ci bénéficient alors d’un espace commun de dépôt de fichiers. Le contrôle d’accès à ces répertoires est un paramètre à maîtriser pour garantir un bon cloisonnement des données.
Comme ce serveur détient de manière centralisée toutes les données importantes de l’entreprise, il devra être inclus prioritairement dans le PRA/PCA. Un agent de sauvegarde devra donc être installé sur ce serveur de fichiers afin que le NAS le prenne en compte. Dans cette configuration, le NAS pourrait ne posséder qu’un seul client : le serveur de fichiers.
En utilisant un serveur de fichiers, le dispositif gagne en sécurité et la bande passante utilisée pour le processus de sauvegarde est réduite. L’installation de l’agent n’est nécessaire que sur le serveur de fichiers.
Aller plus loin : investir dans un second NAS
Si les fonds attribués au plan de sauvegarde sont suffisants, il est possible d’aller au-delà de l’installation d’un seul NAS. L’évolution vise à acquérir un second NAS pour effectuer l’archivage des sauvegardes du premier (à la place du disque dur externe). Les deux avantages sont la redondance des contenus sauvegardés et l’automatisation du processus d’archivage. L’utilisateur n’a plus à intervenir. Le choix de l’emplacement du second NAS est important :
• dans le même bâtiment que le NAS principal, pour simplifier la gestion matérielle ;
• dans un second bâtiment, si l’entreprise est suffisamment dimensionnée pour couvrir certains risques « naturels » (inondations, incendies) ;
• chez un prestataire informatique via des connexions sécurisées (VPN) ;
• chez un collaborateur de l’entreprise (administrateur, directeur). Cela nécessitera de paramétrer l’équipement d’accès à Internet (Box, routeur…) afin d’autoriser la connexion et le dialogue entre les deux NAS.
L’apport du second NAS est important d’un point de vue sécurité si le premier devient hors service et qu’un besoin de restauration apparaît. Il est conseillé de choisir des NAS de même marque et de même modèle pour simplifier les actions d’administration.
Exemple – Installation d’un second NAS chez le directeur
Après avoir utilisé pendant quelque temps un disque dur externe d’archivage, le directeur a choisi d’automatiser ce processus. L’administrateur s’est rendu au domicile de son directeur pour installer et configurer le NAS d’archivage. La connexion entre les deux NAS a nécessité de modifier légèrement la configuration de la Box du directeur (mise en place d’une règle de PAT). Le coût estimé pour la mise en place de ce PCA est d’environ 400 euros. Cela comprend les deux NAS d’entrée de gamme ainsi que deux disques durs d’une capacité de 2TB.
L’entreprise est capable de récupérer ses documents selon deux manières : avec le NAS de sauvegarde ou sur le NAS d’archivage en cas de problème plus grave.
Dans le cas ci-dessus, l’archivage est effectué à travers Internet vers un site distant de confiance. Il a fallu spécifier des règles dans la box du dirigeant. Le NAS de sauvegarde synchronise ses données vers le NAS d’archivage.
Aller encore plus loin – Protection contre les problèmes électriques
Sécuriser les données de manière redondante ne signifie pas être totalement à l’abri des problèmes électriques comme les coupures ou les microcoupures. Pour y remédier, il existe des petits onduleurs qui permettent, via une batterie interne, d’éviter bien des déboires. La plupart des NAS récents sont capables d’interagir avec les onduleurs via un câble USB ou une liaison réseau. Dans une telle configuration, l’onduleur envoie au NAS des informations comme la présence ou non du secteur, le taux de charge de sa batterie ou encore le temps qu’il reste avant l’arrêt complet. Le NAS peut alors judicieusement provoquer son arrêt et ne pas subir les conséquences d’une absence brutale d’alimentation secteur. Plusieurs marques de NAS possèdent un système d’arrêt en « mode sécurisé » (coupure progressive des services avant arrêt maîtrisé du disque). De même, plusieurs marques d’onduleurs proposent cette fonctionnalité dans leurs produits d’entrée de gamme (150 euros pour l’onduleur et la batterie). Ces onduleurs permettent d’éviter les microcoupures et maintiennent une alimentation secteur pendant quelques dizaines de minutes.
Exemple – Ajout de l’onduleur
La petite entreprise d’e-commerce, ayant déjà subi des pannes d’origines électriques, a décidé d’investir une fois de plus dans l’évolution de son PRA/PCA. L’objectif est de travailler en toute sérénité. Une fois l’onduleur chargé, il pourra judicieusement alimenter le NAS principal et le serveur de fichiers. L’onduleur n’est pas exclusivement destiné à protéger l’équipement des sauvegardes, mais peut accueillir certains équipements jugés importants (box, serveur de fichiers, commutateur Ethernet…). Un test semestriel doit être effectué pour vérifier que l’onduleur fonctionne et que sa batterie reste adaptée à la charge demandée. Pour les équipements des collaborateurs, il peut être judicieux de choisir des PC portables qui restent autonomes en cas de coupure de courant.
Voici un exemple de câblage pour préserver le matériel des risques liés à l’alimentation. On a activé la fonctionnalité de répéteur du NAS de sauvegarde afin qu’il transmette les informations de l’onduleur (reçues par câble USB) vers l’ensemble des équipements protégés par l’onduleur.
Conclusion
Cet article démontre qu’il est possible de mettre en place un PRA/PCA pour un budget raisonnable. Comme le répètent plusieurs articles de presse, la sauvegarde reste le dernier rempart contre les ransomwares, les pannes matérielles, les catastrophes naturelles et le vol. Cette sauvegarde n’est efficace que si elle est faite à échéance régulière et de manière sécurisée (par un système d’archivage).
Nous avons écrit cet article après avoir constaté plusieurs catastrophes à l’occasion d’audits de sécurité. Nous pensons que pour un budget de moins de 200 €, une TPE/PME peut se doter d’un PCA/PRA simple lui permettant de couvrir un bon nombre de risques. L’acteur principal de ce PCA/PRA est constitué d’un ou deux NAS.
Si vous ne souhaitez pas déployer de solution à base de NAS, il existe des logiciels comme VEEAM BACKUP, Bacula, BACKUP EXEC… dont la prise en main nécessite parfois d’avoir recours à une personne extérieure avec des compétences précises. Autrement, vous pouvez toujours configurer votre sauvegarde avec l’utilitaire de votre système d’exploitation s’il en fournit un.
Liens commerciaux pour évaluer le coût matériel du PRA/PCA :
http://www.ldlc.com/informatique/reseau/serveur-nas/c4314/p1e48t3o0a1.html
http://www.ldlc.com/informatique/pieces-informatique/disque-dur-ssd/cint4297/
http://www.darty.com/nav/achat/hifi_video/home_cinema/onduleurs_multiprises/filtre__onduleur_parafoudre__191128.html