Лист за преговор: Techniques Avancées de Sauvegarde et Sécurité

📋 Plan du Cours

1. Sauvegarde de données
2. Ransomware Jigsaw
3. Stratégie de sauvegarde 3-2-1
4. Sauvegarde immuable WORM
5. Air-Gap de sécurité
6. Vulnérabilités matérielles
7. RPO et RTO
8. Restauration système Windows
9. Sauvegarde sur appareils mobiles
10. Mécanismes de sauvegarde Windows

📖 1. Sauvegarde de données

🔑 Notions clés & Définitions

• Sauvegarde (définition) : Recopie des données sur un support indépendant pour assurer leur sécurité et leur restauration en cas de défaillance, comme le précise AUTEUR (date).
• Ransomware Jigsaw : Malware diffusé par spam en avril 2016, qui chiffre les fichiers et demande une rançon en Bitcoin, détruisant progressivement les données si la rançon n’est pas payée (source).
• Support immuable (WORM) : Support de stockage où, après écriture, les données ne peuvent ni être modifiées ni supprimées durant une période définie, selon le principe WORM (Write Once, Read Many).
• Object Lock : Fonctionnalité cloud permettant de verrouiller les objets pour empêcher leur suppression ou modification, même par un administrateur, renforçant la sécurité contre les ransomwares (source).
• Air-Gap : Technique de sécurité consistant à déconnecter physiquement ou logiquement un support de sauvegarde du réseau de production pour le protéger contre les attaques (source).
• Marqueur d'archivage : Attribut d’un fichier indiquant s'il doit être sauvegardé ou non, utilisé dans les méthodes de sauvegarde incrémentale, différentielle et complète sous Windows (source).

📝 Points essentiels

• La sauvegarde consiste à copier les données sur un support indépendant pour garantir leur disponibilité après une défaillance ou une attaque. La restauration permet de récupérer ces données rapidement, essentielle pour la continuité d’activité (source).
• La stratégie 3-2-1 (trois copies, deux supports différents, une hors site) est la norme industrielle pour limiter les risques liés aux défaillances matérielles, aux catastrophes ou aux ransomwares (source).
• Les sauvegardes peuvent être complètes, différentielles ou incrémentales, selon la fréquence de modification des fichiers et la nécessité de minimiser l’espace disque et le temps de sauvegarde. La gestion du marqueur d’archivage est cruciale pour ces méthodes (source).
• Les sauvegardes immuables (WORM, Object Lock, snapshots) empêchent toute modification ou suppression durant la période de rétention, protégeant contre les ransomwares modernes qui ciblent également les sauvegardes (source).
• Le mécanisme de sauvegarde sur appareils mobiles utilise des applications ou le cloud, mais comporte des risques accrus avec le BYOD, nécessitant des bonnes pratiques de sécurité (source).
• La restauration du système Windows permet de revenir à un état antérieur via des points de restauration, facilitant la récupération après une attaque ou une erreur (source).
• Les notions de RPO (Recovery Point Objective) et RTO (Recovery Time Objective) permettent d’aligner la stratégie de sauvegarde avec les besoins métier, en déterminant la fréquence de sauvegarde et la rapidité de restauration (source).

💡 À retenir

La sauvegarde de données, intégrée dans une stratégie de continuité d’activité, doit combiner techniques de sauvegarde régulières, supports immuables et méthodes de protection comme l’air-gap pour faire face efficacement aux menaces modernes telles que les ransomwares.

📖 2. Ransomware Jigsaw

🔑 Notions clés & Définitions

• Ransomware Jigsaw (avril 2016) : type de malware diffusé via pièces jointes dans des spams, qui chiffre les fichiers de l’utilisateur et menace de les détruire progressivement si la rançon n’est pas payée, en augmentant la vitesse de destruction à chaque heure (source : contenu source).
• Chiffrement des fichiers avec enregistrement dans le MBR : processus où le malware chiffre les fichiers de l’utilisateur et enregistre son code dans le Master Boot Record pour s’assurer de son exécution lors du démarrage (source : contenu source).
• Popup de demande de rançon : fenêtre surgissante qui apparaît pour exiger le paiement en Bitcoin, souvent via un navigateur ou le gestionnaire des tâches, pour déchiffrer les fichiers (source : contenu source).
• Mécanisme de destruction progressive : à chaque heure non payée, le malware supprime un certain nombre de fichiers, jusqu’à vider le disque au bout de 72 heures, avec une suppression massive en cas de redémarrage ou d’arrêt du processus (source : contenu source).
• Objectif du ransomware : bloquer l’accès à l’ordinateur pour extorquer une rançon, en rendant la restauration des données difficile ou impossible si aucune sauvegarde n’est disponible (source : contenu source).
• Sauvegarde immuable (WORM) : technologie où les données une fois écrites ne peuvent être modifiées ou supprimées avant une période définie, protégeant contre la suppression malveillante ou accidentelle (source : contenu source).
• Object Lock : solution cloud permettant de verrouiller les sauvegardes pour empêcher toute modification ou suppression, même par un administrateur (source : contenu source).
• Air-Gap (fossé protecteur) : méthode de sécurité consistant à déconnecter physiquement ou logiquement les supports de sauvegarde du réseau de production, empêchant la propagation de ransomwares (source : contenu source).
• Snapshots immuables : instantanés de stockage empêchant leur suppression pendant une période de rétention, renforçant la protection contre les attaques (source : contenu source).
• Récupération du système Windows : ensemble d’outils permettant de restaurer l’état antérieur d’un ordinateur suite à une attaque ou une défaillance, via points de restauration ou images système (source : contenu source).

📝 Points essentiels

• Le ransomware Jigsaw exploite la vulnérabilité des sauvegardes en détruisant progressivement les fichiers si la rançon n’est pas payée, avec une destruction accélérée au fil du temps (avril 2016).
• La propagation se fait par pièces jointes dans des spams, utilisant des techniques de chiffrement et d’enregistrement dans le MBR pour assurer son exécution persistante.
• La demande de rançon s’effectue en Bitcoin, avec une menace de suppression de fichiers à chaque heure non payée, pouvant entraîner la perte totale des données en 72 heures.
• La sauvegarde régulière et immuable, combinée à des mécanismes comme l’Object Lock ou l’Air-Gap, constitue une défense essentielle contre ces attaques.
• La stratégie de récupération repose sur la mise en place de points de restauration Windows, de sauvegardes hors ligne, et de solutions de stockage immuables pour garantir la continuité d’activité (voir aussi RPO/RTO dans la section 8).
• La protection contre les ransomwares modernes nécessite aussi une sensibilisation des utilisateurs et la mise en œuvre de bonnes pratiques de sécurité, notamment la désactivation des macros et la vérification des pièces jointes (source : contenu source).

💡 À retenir

Le ransomware Jigsaw illustre l’importance cruciale de sauvegarder régulièrement ses données sur des supports immuables ou isolés, afin de garantir la récupération en cas d’attaque, tout en combinant des stratégies techniques et humaines pour renforcer la cybersécurité.

📖 3. Stratégie de sauvegarde 3-2-1

🔑 Notions clés & Définitions

• Principe 3-2-1 : La règle standard en sauvegarde recommandant de conserver trois copies des données, sur deux supports différents, dont une hors site, pour assurer la résilience face aux défaillances ou attaques (source : contenu source).
• Support immuable (WORM) : Support de stockage où les données, une fois écrites, ne peuvent ni être modifiées ni supprimées durant une période définie, garantissant l'intégrité face aux ransomwares (source : contenu source).
• Object Lock : Fonctionnalité cloud permettant de verrouiller une sauvegarde pour empêcher toute modification ou suppression, même par un administrateur, via un verrou logiciel (source : contenu source).
• Air-Gap : Technique de sécurité consistant à déconnecter physiquement ou logiquement un support de sauvegarde du réseau de production, empêchant toute propagation de malware (source : contenu source).
• Marqueur d’archivage (bit d'archivage) : Attribut système indiquant si un fichier a été créé ou modifié depuis la dernière sauvegarde, utilisé pour déterminer les fichiers à sauvegarder dans différentes méthodes (source : contenu source).
• RPO (Recovery Point Objective) : La perte maximale de données acceptable, exprimée en temps, qui détermine la fréquence des sauvegardes (source : contenu source).
• RTO (Recovery Time Objective) : La durée maximale d’indisponibilité acceptable pour restaurer le système après une défaillance, influençant la stratégie de restauration (source : contenu source).
• Sauvegarde différentielle : Copie des fichiers modifiés ou créés depuis la dernière sauvegarde complète, permettant une restauration rapide tout en limitant l’espace utilisé (source : contenu source).
• Sauvegarde incrémentale : Copie uniquement des fichiers modifiés ou créés depuis la dernière sauvegarde, qu’elle soit complète ou incrémentale, optimisant la rapidité et l’espace (source : contenu source).
• Support déconnecté / Air-Gap Logique : Méthode de stockage où le support est déconnecté du réseau après la sauvegarde, ou une passerelle ferme la connexion après transfert, pour renforcer la sécurité contre les ransomwares (source : contenu source).

📝 Points essentiels

• La stratégie 3-2-1 est essentielle pour assurer la continuité d’activité face aux menaces internes, externes et vulnérabilités matérielles ou logicielles, en particulier contre les ransomwares modernes qui ciblent aussi les sauvegardes connectées (source : contenu source).
• La sauvegarde immuable (WORM) et le concept d’Object Lock permettent de rendre les sauvegardes infalsifiables, même en cas d’attaque ou de compromission des identifiants, en s’appuyant sur le principe WORM (source : contenu source).
• Le principe d’Air-Gap, qu’il soit physique ou logique, constitue une barrière supplémentaire contre la propagation de malware, en isolant totalement ou temporairement le support de sauvegarde du réseau principal (source : contenu source).
• La planification des sauvegardes doit respecter le RPO et le RTO, qui traduisent respectivement la tolérance à la perte de données et le délai maximal d’indisponibilité acceptable pour l’entreprise, afin d’adapter la fréquence et la méthode de sauvegarde (source : contenu source).
• La gestion des attributs d’archivage (bit d'archivage) permet de différencier les fichiers à sauvegarder selon leur état, facilitant la mise en œuvre des sauvegardes différentielles et incrémentales (source : contenu source).
• La sauvegarde sur poste client, souvent utilisée par les petites entreprises, doit être complétée par des sauvegardes sur machine distante pour respecter la règle 3-2-1 et garantir la sécurité des données critiques (source : contenu source).

💡 À retenir

La stratégie 3-2-1, combinant plusieurs copies, supports différents, et stockage hors site, constitue la meilleure défense contre la perte ou la corruption des données, notamment face aux ransomwares qui ciblent aussi les sauvegardes. La mise en place de sauvegardes immuables et d’Air-Gap renforce cette résilience.

📖 4. Sauvegarde immuable WORM

🔑 Notions clés & Définitions

• WORM (Write Once, Read Many) : principe selon lequel une donnée, une fois écrite sur un support, ne peut être ni modifiée, ni supprimée, ni renommée pendant une durée déterminée, même par un administrateur. (Source : contenu source)

• Object Lock : fonctionnalité cloud permettant de verrouiller un objet pour une période donnée, empêchant toute modification ou suppression, même par un administrateur. Utilisé notamment avec S3 ou Azure Blob. (Source : contenu source)

• Snapshots immuables : instantanés de stockage qui empêchent la suppression ou la modification durant une période de rétention définie, garantissant l'intégrité des sauvegardes. (Source : contenu source)

• Air-Gap (fossé protecteur) : méthode de sécurité consistant à créer une coupure physique ou logique entre le réseau de production et le support de sauvegarde, pour empêcher toute contamination ou suppression malveillante. (Source : contenu source)

• Air-Gap Physique : méthode traditionnelle où le support de sauvegarde (bande, disque dur externe) est déconnecté physiquement du réseau après la sauvegarde, empêchant toute propagation de virus ou ransomware. (Source : contenu source)

• Air-Gap Logique : utilisation de passerelles ou de mécanismes qui n'ouvrent la connexion qu'au moment du transfert, puis la ferment immédiatement, limitant ainsi le risque d'infection ou de suppression malveillante. (Source : contenu source)

📝 Points essentiels

• La sauvegarde immuable repose sur le principe WORM, garantissant que les données une fois écrites ne peuvent être modifiées ou supprimées avant la fin de la période de rétention, même par des acteurs malveillants ou des pirates. (Source : contenu source)

• Les solutions cloud comme Object Lock (ex : S3, Azure Blob) permettent d'appliquer une immutabilité logicielle, renforçant la sécurité contre les attaques de ransomwares qui cherchent à supprimer ou altérer les sauvegardes. (Source : contenu source)

• Les instantanés immuables sur NAS/SAN empêchent toute suppression ou modification durant une période définie, assurant la disponibilité de sauvegardes fiables en cas d'attaque ou de défaillance. (Source : contenu source)

• La méthode Air-Gap, qu'elle soit physique ou logique, constitue une barrière supplémentaire contre la propagation de logiciels malveillants, en isolant physiquement ou logiquement les sauvegardes du réseau de production. (Source : contenu source)

• La combinaison de sauvegardes immuables et de l'Air-Gap constitue une stratégie robuste pour protéger les sauvegardes contre les ransomwares modernes, qui tentent de supprimer ou de chiffrer ces dernières pour paralyser la restauration. (Source : contenu source)

💡 À retenir

La sauvegarde immuable WORM, associée à la méthode Air-Gap, offre une protection renforcée contre la suppression ou la modification malveillante des sauvegardes, garantissant la disponibilité des données en cas d'attaque ou de défaillance.

📖 5. Air-Gap de sécurité

🔑 Notions clés & Définitions

• Air-Gap (fossé protecteur) : Méthode de sécurité consistant à isoler physiquement ou logiquement un système de sauvegarde du réseau de production, empêchant toute communication directe. (Source : contenu source)

• Air-Gap Physique : Technique traditionnelle où le support de sauvegarde (bande magnétique, disque dur externe) est déconnecté physiquement du réseau après utilisation, évitant toute contamination par des virus ou ransomwares. (Source : contenu source)

• Air-Gap Logique : Approche utilisant des passerelles ou des dispositifs de transfert temporaires, qui s’ouvrent uniquement lors du transfert de données, puis se ferment pour isoler la sauvegarde. (Source : contenu source)

• Immuabilité (WORM - Write Once, Read Many) : Support ou sauvegarde où les données, une fois écrites, ne peuvent ni être modifiées, ni supprimées, durant une période définie, renforçant la sécurité contre la suppression malveillante. (Source : contenu source)

• Object Lock : Fonctionnalité cloud permettant de verrouiller un objet pour une durée déterminée, empêchant toute modification ou suppression même par un administrateur. (Source : contenu source)

• Snapshots immuables : Instantanés de stockage qui, durant une période de rétention, empêchent toute suppression ou modification, protégeant contre la suppression malveillante ou accidentelle. (Source : contenu source)

📝 Points essentiels

• L’Air-Gap constitue une barrière physique ou logique essentielle pour la sécurité des sauvegardes, notamment face aux ransomwares modernes qui tentent de supprimer ou de chiffrer les sauvegardes connectées (voir aussi la section sur la sauvegarde immuable WORM). La méthode physique consiste à déconnecter le support de sauvegarde après utilisation, tandis que la méthode logique utilise des passerelles temporaires pour limiter l’accès.

• La sauvegarde immuable (WORM) repose sur le principe que les données, une fois écrites, ne peuvent être modifiées ni supprimées durant la période de rétention, même par un administrateur. Les solutions comme Object Lock (cloud) ou les snapshots immuables (NAS/SAN) renforcent cette protection.

• La combinaison de ces mécanismes permet de garantir l’intégrité et la disponibilité des sauvegardes, en évitant leur suppression malveillante ou accidentelle, ce qui est crucial face aux attaques sophistiquées comme les ransomwares.

• La distinction entre Air-Gap Physique et Logique est importante : la première offre une sécurité maximale en déconnectant physiquement le support, la seconde permet une gestion plus flexible mais nécessite une discipline stricte pour éviter toute connexion non autorisée.

• La mise en œuvre de ces stratégies doit s’intégrer dans une politique globale de sauvegarde et de sécurité, en complément des autres mécanismes (ex : sauvegarde régulière, stockage hors site, immuabilité).

💡 À retenir

L’Air-Gap, qu’il soit physique ou logique, est une barrière essentielle pour protéger efficacement les sauvegardes contre les attaques malveillantes, notamment les ransomwares, en assurant leur intégrité et leur disponibilité.

📖 6. Vulnérabilités matérielles

🔑 Notions clés & Définitions

• Vulnérabilité matérielle : Défaut ou faiblesse inhérente à un composant physique d’un système informatique pouvant être exploité pour compromettre la sécurité ou la disponibilité du matériel (source : contenu source).
• Défaut de conception : Caractéristique d’un matériel qui présente une faiblesse intrinsèque, comme la RAM vulnérable à l’attaque "Rowhammer" (source : contenu source).
• Rowhammer : Exploit logiciel malveillant qui exploite un défaut de conception de la RAM pour récupérer ou altérer des données sensibles (source : contenu source).
• Support immuable (WORM) : Support de stockage où les données, une fois écrites, ne peuvent ni être modifiées ni supprimées durant une période définie, selon le principe "Write Once, Read Many" (WORM) (source : contenu source).
• Object Lock : Fonctionnalité cloud permettant de verrouiller une sauvegarde pour empêcher toute modification ou suppression, même par un administrateur (source : contenu source).
• Air-Gap : Méthode de sécurité consistant à isoler physiquement ou logiquement un système ou un support de sauvegarde du réseau de production pour éviter toute contamination ou attaque (source : contenu source).
• Snapshot immuable : Instantané de stockage qui ne peut être modifié ou supprimé durant une période de rétention, garantissant l’intégrité des sauvegardes (source : contenu source).
• Support déconnecté (Air-Gap Logique) : Technique consistant à déconnecter physiquement ou logiquement un support de sauvegarde du réseau, souvent via des passerelles temporaires (source : contenu source).
• Marqueur d’archivage : Attribut d’un fichier indiquant s’il doit être sauvegardé ou non, utilisé dans la gestion des sauvegardes incrémentielles/différentielles sous Windows (source : contenu source).

📝 Points essentiels

• La vulnérabilité matérielle peut résider dans la conception même du matériel, comme la RAM vulnérable à l’attaque "Rowhammer", permettant de récupérer ou manipuler des données sensibles (AUTEUR : contenu source).
• La sauvegarde immuable selon le principe WORM (Write Once, Read Many) garantit que les données ne peuvent être modifiées ou supprimées durant une période donnée, protégeant contre les attaques de type ransomware (source : contenu source).
• Le mécanisme d’Air-Gap, qu’il soit physique ou logique, constitue une barrière efficace contre la propagation de malware ou virus vers les supports de sauvegarde, en isolant physiquement ou logiquement ces derniers du réseau principal (source : contenu source).
• Les instantanés immuables (snapshots) sur certains NAS/SAN empêchent la suppression ou modification des sauvegardes durant la période de rétention, renforçant la sécurité des données sauvegardées (source : contenu source).
• La conception matérielle défaillante ou vulnérable, comme la RAM, peut être exploitée par des logiciels malveillants pour compromettre la confidentialité ou l’intégrité des données, soulignant l’importance de la gestion des vulnérabilités matérielles (source : contenu source).

💡 À retenir

Les vulnérabilités matérielles, qu’elles soient liées à la conception ou exploitées par des attaques comme Rowhammer, nécessitent des mécanismes de sauvegarde immuables et des stratégies d’isolation (Air-Gap) pour assurer la sécurité et la disponibilité des données critiques.

📖 7. RPO et RTO

🔑 Notions clés & Définitions

• RPO (Recovery Point Objective) : La perte maximale de données acceptable en termes de temps, c’est-à-dire la durée maximale durant laquelle des données peuvent être perdues lors d’un incident. Selon AUTEUR (date), il détermine la fréquence des sauvegardes pour limiter la perte de données à un seuil acceptable.

• RTO (Recovery Time Objective) : La durée maximale d’interruption admissible pour restaurer le système après un incident, permettant à l’activité de reprendre dans un délai défini. Selon AUTEUR (date), il guide la rapidité des mécanismes de restauration.

• Fréquence de sauvegarde (relation avec RPO) : La cadence à laquelle les sauvegardes doivent être effectuées pour respecter le RPO. Par exemple, un RPO de 1 heure nécessite des sauvegardes incrémentielles toutes les heures, selon AUTEUR (date).

• Miroir en temps réel (relation avec RPO) : Technique de réplication instantanée des données pour un RPO de 0, permettant une continuité quasi immédiate, comme le souligne AUTEUR (date).

• Stratégie de restauration (relation avec RTO) : Ensemble des moyens et procédures pour remettre en service un système dans le délai imparti par le RTO. La rapidité dépend des supports et des méthodes de restauration, selon AUTEUR (date).

📝 Points essentiels

• Le RPO détermine la fréquence des sauvegardes : plus le RPO est faible, plus la sauvegarde doit être fréquente, voire en temps réel pour un RPO de 0, comme dans la réplication continue. Par exemple, une entreprise avec un RPO de 24h peut se contenter d’une sauvegarde quotidienne, tandis qu’une autre avec un RPO de 1h nécessite des sauvegardes incrémentielles horaires.

• Le RTO définit le délai maximal pour restaurer le système après une panne : si le RTO est court (ex : 4h), il faut des supports locaux et des procédures de restauration rapides. Si le RTO est plus long (ex : 48h), des solutions comme la récupération à distance ou la location de matériel peuvent être envisagées.

• La relation entre RPO et techniques de sauvegarde : un RPO faible impose des sauvegardes fréquentes ou en temps réel, ce qui peut augmenter la complexité et le coût de la stratégie de sauvegarde.

• La relation entre RTO et moyens de restauration : un RTO court nécessite des infrastructures de restauration performantes, telles que des sauvegardes locales ou des solutions de reprise rapide.

• La mise en œuvre efficace de RPO et RTO permet de transformer une simple sauvegarde en une véritable stratégie de continuité d’activité, en limitant la perte de données et le temps d’indisponibilité.

💡 À retenir

Le RPO et le RTO sont essentiels pour aligner la stratégie de sauvegarde avec les besoins métier, en garantissant une reprise rapide et une perte de données contrôlée en cas d’incident.

📖 8. Restauration système Windows

🔑 Notions clés & Définitions

• Point de restauration : Fichier ou ensemble de fichiers créés par Windows pour sauvegarder l’état du système à un instant donné, permettant de revenir à cet état en cas de problème (Microsoft, 2000).
• Image système : Sauvegarde complète de toutes les partitions utilisées par Windows, incluant le système d’exploitation, les applications et les données, permettant une restauration totale du système (Microsoft, 2000).
• Marqueur d’archivage (bit d’archivage) : Attribut du fichier sous Windows qui indique si le fichier a été modifié depuis la dernière sauvegarde, utilisé pour déterminer quels fichiers sauvegarder lors d’une sauvegarde différentielle ou incrémentale.
• Restauration du système : Fonction de Windows permettant de restaurer l’état du système à un point antérieur, sans affecter les fichiers personnels, en utilisant des points de restauration ou des images système (Microsoft, 2000).
• Support de réparation système : Disque ou média bootable contenant l’environnement Windows RE, utilisé pour réparer ou restaurer le système en cas de défaillance, via des outils intégrés (Microsoft, 2000).
• Immuabilité (WORM) : Principe selon lequel une sauvegarde ne peut être modifiée ou supprimée avant une période définie, protégeant contre la suppression malveillante ou accidentelle (voir section 10).

📝 Points essentiels

• La restauration système sous Windows repose sur la création régulière de points de restauration, qui sauvegardent l’état du système et des fichiers système critiques.
• L’image système permet une restauration complète, incluant le système d’exploitation, les applications et les données, utile en cas de défaillance majeure ou de corruption du système.
• La création d’un disque de réparation système est recommandée pour accéder aux outils de récupération en cas d’incident, notamment la restauration à partir d’un point ou d’une image.
• La restauration du système ne modifie pas les fichiers personnels, mais peut supprimer ou restaurer certains fichiers système ou applications.
• La planification régulière de points de restauration et la sauvegarde d’images système sont essentielles pour une stratégie efficace de continuité d’activité, notamment en contexte de cybersécurité face aux ransomwares (voir section 10).
• La récupération via Windows RE peut être effectuée en démarrant sur un support bootable, permettant d’accéder aux outils de restauration ou de réparation.
• La différence entre points de restauration et images système réside dans leur portée : les premiers sont plus légers et ciblés, les seconds offrent une restauration totale du système.

💡 À retenir

La restauration système Windows, combinée à la création régulière d’images système et de supports de réparation, constitue une étape clé pour assurer la continuité d’activité face aux défaillances ou attaques, en permettant une récupération rapide et efficace du système.

📖 9. Sauvegarde sur appareils mobiles

🔑 Notions clés & Définitions

• Marqueur d'archivage (bit d'archivage) : Attribut associé à chaque fichier, indiquant s'il a été modifié ou créé depuis la dernière sauvegarde. Lors d'une sauvegarde complète, il est remis à zéro ; lors d'une sauvegarde différentielle ou incrémentale, il reste activé pour signaler les fichiers à sauvegarder (voir aussi "sauvegarde complète/différentielle/incrémentale"). (source : contenu)

• Sauvegarde immuable (WORM - Write Once, Read Many) : Support ou mécanisme garantissant que les données écrites ne peuvent ni être modifiées, ni supprimées, ni renommées pendant une période définie, même par un administrateur. Elle repose sur le principe WORM, assurant l'intégrité et la pérennité des sauvegardes face aux ransomwares (voir aussi "Object Lock", "Snapshots immuables"). (source : contenu)

• Object Lock : Fonctionnalité cloud permettant de verrouiller un objet de sauvegarde pour une durée déterminée, empêchant toute modification ou suppression, même en cas d'attaque ou de compromission des identifiants administratifs. Utilisé notamment dans Azure Blob ou S3. (source : contenu)

• Air-Gap (fossé de sécurité) : Technique de protection consistant à déconnecter physiquement ou logiquement le support de sauvegarde du réseau de production, empêchant la propagation de malware ou ransomware. Se divise en Air-Gap physique (support déconnecté physiquement) et logique (connexion temporaire et contrôlée). (source : contenu)

• Sauvegarde sur appareils mobiles : Processus de copie et de stockage des données sur smartphones, tablettes ou PC portables, via applications (ex : iTunes, Smart Switch), cloud (Google Sync, iCloud) ou sauvegarde manuelle (glisser-déposer). Elle doit prendre en compte la montée en puissance du BYOD et ses risques associés. (source : contenu)

• Marqueur d'archivage (attribut d'archivage) : Même notion que "bit d'archivage", utilisé pour signaler si un fichier doit être inclus dans la prochaine sauvegarde. Lors d'une sauvegarde complète, il est remis à zéro ; lors d'une sauvegarde incrémentale, il reste activé pour les fichiers modifiés ou créés depuis la dernière sauvegarde (voir aussi "sauvegarde complète/différentielle/incrémentale"). (source : contenu)

📝 Points essentiels

• La sauvegarde sur appareils mobiles utilise des applications ou le cloud pour automatiser ou manualiser la copie des données, avec des outils comme iTunes, Smart Switch ou Google Sync, permettant une synchronisation entre appareils et sauvegardes en ligne.

• La montée en puissance du BYOD augmente les risques de sécurité : infection, perte ou vol de données, d’où la nécessité de politiques strictes (verrouillage par PIN, double authentification, antivirus, mises à jour).

• La sauvegarde immuable (WORM) garantit que les données ne peuvent être modifiées ou supprimées avant la fin de la période de rétention, protégeant contre les ransomwares. Elle peut être implémentée via Object Lock dans le cloud ou par snapshots immuables dans certains NAS/SAN.

• Le mécanisme de sauvegarde repose sur le marqueur d'archivage : chaque fichier possède un attribut qui indique s'il doit être sauvegardé. Lors d'une sauvegarde complète, tous les fichiers sont sauvegardés et leur attribut est remis à zéro ; lors d'une sauvegarde différentielle ou incrémentale, seuls les fichiers avec l'attribut activé sont copiés.

• Le concept d'Air-Gap, qu'il soit physique ou logique, est essentiel pour isoler les sauvegardes des attaques réseau, notamment face aux ransomwares modernes qui tentent de supprimer ou de crypter les sauvegardes connectées.

• La stratégie de sauvegarde sur appareils mobiles doit inclure des bonnes pratiques telles que l'activation du verrouillage, la désactivation des connexions automatiques, l'installation d'antivirus, et la sauvegarde régulière sur différents supports.

💡 À retenir

La sauvegarde sur appareils mobiles, combinée à des mécanismes immuables et à la mise en place d'Air-Gap, constitue une défense essentielle contre les attaques modernes, notamment les ransomwares, en assurant la pérennité et l'intégrité des données critiques.

📖 10. Mécanismes de sauvegarde Windows

🔑 Notions clés & Définitions

• Attribut d'archivage (bit d'archivage) : Marqueur associé à chaque fichier, positionné à "vrai" lors de la création ou modification, indiquant qu'il doit être inclus dans la prochaine sauvegarde (voir "Sauvegarde complète"). (source : contenu source)

• Sauvegarde incrémentale : Technique qui sauvegarde uniquement les fichiers modifiés ou créés depuis la dernière sauvegarde, qu'elle soit complète ou incrémentale, en décourageant la duplication inutile (voir "Sauvegarde incrémentale ou incrémentielle"). (source : contenu source)

• WORM (Write Once, Read Many) : Principe de stockage immuable où une donnée, une fois écrite, ne peut être ni modifiée ni supprimée pendant une période définie, assurant la protection contre la suppression malveillante ou accidentelle (voir "Le concept d'Immuabilité (WORM)"). (source : contenu source)

• Object Lock : Fonctionnalité cloud permettant de verrouiller une sauvegarde pour empêcher toute modification ou suppression, même par un administrateur, en appliquant un verrou logiciel sur l'objet stocké (voir "Object Lock"). (source : contenu source)

• Air-Gap (Fossé protecteur) : Méthode de sécurité consistant à déconnecter physiquement ou logiquement le support de sauvegarde du réseau de production, empêchant toute propagation de malware ou ransomware (voir "Le 'Air-Gap' (Le fossé protecteur)"). (source : contenu source)

• Point de restauration : Snapshot ou copie d’état du système Windows permettant de revenir à une configuration antérieure en cas de problème, essentiel pour la continuité d’activité (voir "Restauration du système"). (source : contenu source)

📝 Points essentiels

• La sauvegarde consiste à recopier les données sur un support indépendant pour assurer leur restauration en cas de défaillance ou attaque (virus, ransomware, erreur humaine). La restauration permet de retrouver un état antérieur du système ou des fichiers.

• La stratégie 3-2-1 (trois copies, deux supports différents, une hors site) est la norme industrielle pour limiter les risques liés à la perte ou à la corruption des sauvegardes, notamment face aux ransomwares modernes qui ciblent les sauvegardes connectées (voir "Stratégie de sauvegarde").

• La sauvegarde complète est la méthode la plus fiable mais la plus coûteuse en espace et en temps. La sauvegarde différentielle ne sauvegarde que les fichiers modifiés depuis la dernière sauvegarde complète, tandis que la sauvegarde incrémentale ne sauvegarde que les fichiers modifiés depuis la dernière sauvegarde, quelle qu’elle soit.

• Pour contrer les ransomwares, il est recommandé d’utiliser des supports immuables (WORM) ou des mécanismes d’air-gap, empêchant toute modification ou suppression non autorisée des sauvegardes.

• La restauration du système Windows permet de revenir à un état antérieur via des points de restauration, en utilisant l’interface graphique ou des scripts en ligne de commande.

• Les notions de RPO (Recovery Point Objective) et RTO (Recovery Time Objective) permettent d’aligner la stratégie de sauvegarde avec les besoins métier : le premier définit la perte maximale acceptable en données, le second le délai maximal d’indisponibilité.

💡 À retenir

Les mécanismes de sauvegarde Windows, combinés à une stratégie adaptée (3-2-1, immuabilité, air-gap), assurent la continuité d’activité face aux menaces internes, externes et aux vulnérabilités matérielles ou logicielles. La maîtrise de ces outils est essentielle pour une cybersécurité efficace.

📊 Tableaux de Synthèse

⚠️ Pièges & Confusions Fréquentes

1. Confondre sauvegarde complète, différentielle et incrémentale : la différence réside dans la fréquence et la méthode de sauvegarde des fichiers modifiés.
2. Sous-estimer l'importance de supports immuables (WORM, Object Lock) face aux ransomwares modernes.
3. Croire que la sauvegarde seule suffit : il faut aussi une stratégie de restauration efficace (RTO, RPO).
4. Confondre air-gap physique et logique : l'air-gap implique une déconnexion physique ou logique totale.
5. Négliger la gestion du marqueur d'archivage dans Windows, qui est crucial pour la différenciation des sauvegardes.
6. Ignorer la nécessité de sauvegardes hors site dans la stratégie 3-2-1, essentielle pour la résilience.
7. Penser que la sauvegarde sur appareils mobiles est sans risque : elle nécessite des bonnes pratiques de sécurité.

✅ Checklist Examen

1. Connaître la définition de la sauvegarde selon AUTEUR (date) et ses objectifs principaux.
2. Expliquer le fonctionnement du ransomware Jigsaw, y compris la destruction progressive des fichiers.
3. Définir le principe 3-2-1 et ses avantages pour la résilience des données.
4. Identifier les techniques de sauvegarde immuable : WORM, Object Lock, snapshots.
5. Décrire la technique de l’air-gap et son rôle dans la sécurité des sauvegardes.
6. Comprendre la différence entre sauvegarde complète, différentielle et incrémentale, et leur gestion via le marqueur d'archivage.
7. Connaître les mécanismes de restauration système sous Windows, notamment les points de restauration.
8. Savoir comment sécuriser la sauvegarde sur appareils mobiles, notamment dans un contexte BYOD.
9. Expliquer le rôle de RPO (Recovery Point Objective) et RTO (Recovery Time Objective) dans la planification de la sauvegarde.
10. Identifier les vulnérabilités matérielles pouvant affecter la sécurité des sauvegardes.
11. Connaître les mécanismes de sauvegarde spécifiques à Windows (sauvegarde intégrée, mécanismes de restauration).
12. Vérifier la maîtrise du vocabulaire clé : ransomware, immuable, air-gap, snapshot, Object Lock, support WORM.