Beat Ransomware Education Implementation Remediation

Contrer les
ransomware :
formation,
implémentation et
remédiation avec
Veeam
Rick Vanover
Directeur, Stratégie produits
Veeam Software
Contrer les ransomware : formation, implémentation et remédiation avec Veeam
Table des matières
Le point sur la menace aujourd’hui . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Trois stratégies inégalables pour assurer la résilience en cas de ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Formation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Formation basée sur l’identification des vecteurs d’attaque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Formation basée sur la préparation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Implémentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Protection des composants du serveur Veeam Backup & Replication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Stockage de sauvegarde ultra-résilient et règle du 3-2-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Configuration de plusieurs techniques de restauration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Protection des terminaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Protection NAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Implémentation des fonctionnalités Veeam pour détecter les ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Chiffrement Veeam des données de sauvegarde. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Investissements dans l’automatisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
Remédiation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Conclusion : préparez-vous maintenant, sinon préparez-vous au pire !. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
À propos de l’auteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
À propos de Veeam Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
© 2020 Veeam Software. Informations confidentielles. Tous droits réservés. Toutes les marques déposées sont la propriété de leurs détenteurs respectifs. 2
Le point sur la menace aujourd’hui

À grande échelle, la menace des ransomware peut s’assimiler à une panne dont serait victime une entreprise
et qui ferait les gros titres. Selon un article publié récemment sur ZDNet, les attaques de ransomware
gagnent en ampleur et ne vont cesser de s’aggraver.1 Il est indispensable que les entreprises prêtent
attention à cette menace. Reconnaître son existence va leur permettre de prendre les mesures nécessaires
pour se préparer, se défendre et mettre en œuvre des solutions. Entreprendre cette démarche maintenant
est essentiel pour éviter de devoir trouver plus tard une réponse non planifiée, et probablement inefficace,
une fois que le ransomware aura frappé.
Lorsque j’aborde le sujet des ransomware pendant des conférences, je demande souvent aux participants
de lever la main s’ils ont déjà été confrontés à ce genre d’incident. Je suis impressionné à chaque fois
de constater le nombre de mains qui se lèvent. Si vous n’y avez pas encore été confronté, vous êtes
chanceux. Vous trouverez dans ce document des informations utiles pour assurer la sécurité de vos
données en cas d’attaque de ransomware.
1
Sur ZDNet : https://www.zdnet.com/article/the-ransomware-crisis-is-going-to-get-a-lot-worse/
Trois stratégies inégalables pour assurer la résilience en cas de ransomware
Trois stratégies peuvent vous garantir la résilience dont vous avez besoin pour remporter la bataille face aux
ransomware : la formation, l’implémentation et la remédiation.
À chacune de ces stratégies correspondent des disciplines propres auxquelles s’ajoute la nécessité
de réévaluer et d’ajuster en permanence les implémentations pour accroître la résilience. à chaque domaine
correspondent également des disciplines, des outils et, dans nombre de services informatiques, différents
profils à impliquer. Pour qu’une approche de la résilience réussisse, elle doit être à l’image du service
informatique et soutenue par la direction. Ce document illustre ces trois stratégies en s’appuyant sur
des conseils pratiques basés sur la technologie Veeam et sur des techniques informatiques au sens large.
L’objectif : offrir le nécessaire à l’implémentation d’une résilience pour aujourd’hui et pour demain.
Ceux qui ont survécu à une attaque de ransomware sont nombreux à détailler les mesures qu’ils auraient
pu prendre pour éviter l’incident ou pour accélérer le retour à la normale. Leurs commentaires figurent
également dans ce document, adaptés sous forme de conseils largement applicables.
Formation
Le parcours de formation débute une fois identifiés les risques que représentent les acteurs de la menace.
la motivation devrait être suffisante pour mettre en place des pratiques IT destinées à vous éviter une posture
de réaction face à la surprise d’une attaque de ransomware.
La stratégie de formation s’adresse principalement à deux publics : l’équipe IT et les collaborateurs

de l’entreprise. Il est important de former ces deux groupes, car les menaces sont susceptibles d’être
introduites par ces deux profils. Une étude montre qu’au quatrième trimestre 20192, les vecteurs d’attaque
de ransomware sont à plus de 57 % des sessions RDP (Remote Desktop Protocol) corrompues, à plus de 26 %
des tentatives de phishing et à plus de 12 % des vulnérabilités logicielles.
Formation basée sur l’identification des vecteurs d’attaque
Côté formation, il est extrêmement utile d’avoir identifié que les sessions RDP, le phishing et les mises à jour
logicielles étaient les trois principaux mécanismes d’entrée. Cela permet de savoir où concentrer les initiatives
pour être résilient face aux ransomware du point de vue des vecteurs d’attaque.
La plupart des administrateurs IT se connectent en RDP au quotidien. la question de la séparation des comptes
pour les composants de sauvegarde sera abordée dans la section suivante consacrée à l’implémentation.
Concernant l’accès via RDP, l’opportunité se présente ici de renforcer la sécurité de ce puissant point d’entrée.
Il est en effet difficile de concevoir que le monde de l’IT compte encore tant de serveurs RDP directement
connectés à Internet. la réalité est pourtant celle-ci : les sessions RDP connectées via Internet doivent cesser3.
Certes, les administrateurs IT peuvent mettre en place des stratagèmes en utilisant des adresses IP spéciales,
des redirections de port RDP, des mots de passe complexes, etc., mais les données ne mentent pas. le fait que
plus de la moitié des ransomware s’introduisent via RDP nous indique que cette exposition à Internet n’est pas
en phase avec une stratégie de résilience innovante face aux ransomware. Nous partagerons plus loin avec
vous quelques recommandations en matière de RDP pour vous permettre d’accroître votre résilience dans ce
domaine.
Les e-mails de phishing constituent un autre mode d’entrée très courant. Nous avons tous déjà reçu des
e-mails dont le contenu n’avait aucun sens ou paraissait bancal. Les supprimer est la seule chose à faire, mais
tous les utilisateurs ne réagissent pas de la même manière dans ce genre de situation. Il existe deux outils
bien connus pour évaluer l’exposition au risque de phishing dans les entreprises : Gophish et KnowBe4.
KnowBe4 (https://www.knowbe4.com) permet d’étendre la prise de conscience de la sécurité au-delà

de la formation des utilisateurs et des administrateurs. En effet, ce service présente l’avantage d’offrir des
formations dans ce domaine qui simulent les attaques par phishing.
Outre KnowBe4, il existe des ressources open source pour lutter contre le phishing. Gophish (https://
getgophish.com/), par exemple, permet de créer des tableaux de bord et d’envoyer des messages pour
vérifier si les destinataires cliqueront finalement sur ces e-mails de phishing. Quelques minutes suffisent pour
paramétrer un test de phishing.
Une fois la campagne lancée, vous disposez d’une visibilité sur le nombre d’e-mails envoyés, combien ont
été ouverts, le nombre de destinataires à avoir cliqué sur le lien, etc. C’est un excellent moyen de tester
rapidement le niveau de formation des utilisateurs au sein de votre entreprise. Voici comment se présente
le tableau de bord de Gophish :
2
Source : rapport Coveware - https://www.coveware.com/blog/2020/1/22/ransomware-costs-double-in-q4-as-ryuk-sodinokibi-proliferate
3
Source : ESET - https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-internet/
Ces outils peuvent être efficaces pour mesurer la compétence d’une entreprise à auto-évaluer le risque d’e-
mails de phishing, pièces jointes, etc.
Autre facteur à prendre en considération : le risque d’exploitation des vulnérabilités. la mise à jour des
systèmes relève depuis toujours de la responsabilité de l’équipe IT et elle est plus importante aujourd’hui que
jamais. Cette tâche n’est certes pas palpitante, mais c’est un bon investissement au cas où un ransomware
tenterait d’exploiter une vulnérabilité identifiée pour laquelle il existe un patch. Sans oublier la nécessité
d’actualiser des catégories d’actifs IT : systèmes d’exploitations, applications, bases de données et firmware
des appareils. Plusieurs souches de ransomware exploitaient d’anciennes vulnérabilités qui ont été corrigées
depuis : WannaCry, Petya et Sodinokibi4, par exemple. Parmi ces vulnérabilités figurent également des services
extérieurs aux systèmes d’exploitation, comme Adobe Flash avec le cheval de Troie njRAT5.
Il est également recommandé d’adopter une position tout aussi agressive concernant les mises à jour
de terminaux. En effet, en tant que vecteurs d’attaque, les terminaux peuvent être tout aussi exposés aux
risques que les systèmes de datacenter, en particulier concernant les menaces qui attendent de rassembler
des informations sur leur cible. Leur durée d’attente est de trois jours en moyenne6.
Formation basée sur la préparation
Il existe plusieurs autres étapes de préparation à prévoir, comme l’apprentissage des outils en place. Par
exemple, si la restauration des données est la réponse à une attaque de ransomware, l’équipe IT doit s’y
préparer en se familiarisant avec différents scénarios de restauration. C’est l’occasion pour ces professionnels
de l’IT de se familiariser avec le processus, d’anticiper raisonnablement sa durée et, surtout, de se rassurer sur
son bon fonctionnement. Voici quelques exemples succincts de ces étapes de formation :
4
Source : ZDNet - https://www.zdnet.com/article/sodinokibi-ransomware-is-now-using-a-former-windows-zero-day/
5
Source : TrendMicro - https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/lord-exploit-kit-rises-delivers-
njrat-and-eris-ransomware
6
Source : ZDNet - https://www.zdnet.com/article/most-ransomware-attacks-take-place-during-the-night-or-the-weekend/
• Fonctionnalité Secure Restore (restauration sécurisée) de Veeam : pendant la restauration sécurisée,

Veeam Backup & Replication™ monte les disques de la machine que vous souhaitez restaurer. Il déclenche
ensuite un antivirus pour analyser les fichiers présents sur ces disques. Si l’antivirus détecte un malware,
Veeam Backup & Replication abandonne le processus de restauration ou restaure la machine ou ses disques
en appliquant des restrictions basées sur des paramètres de restauration sécurisée. Cette étape n’est pas
majeure dans le processus de restauration, mais elle peut vous rassurer sur votre capacité à ne pas ouvrir
la voie à une menace basée sur des définitions plus récentes.
• Veeam DataLabs™ : il s’agit d’une tâche SureBackup® qui exploite la sauvegarde d’une VM (machine
virtuelle) dans un environnement isolé. L’objectif de cette fonctionnalité est de s’assurer qu’un système
peut être restauré, mais elle peut aussi servir à exécuter des tests, par exemple de mise à jour des
applications ou du système d’exploitation. à partir d’un point de restauration, Veeam DataLabs peut
déterminer si le système fonctionne comme prévu avant la restauration. Autre cas d’utilisation : s’appuyer
sur un ou plusieurs systèmes dans Veeam DataLabs pour procéder à d'éventuelles actions correctives sans
accéder au réseau.
Nous recommandons généralement que vous vous familiarisiez avec Veeam SureBackup. En effet,
cette fonctionnalité vous informe de la possibilité qu’un système ne puisse pas être restauré en raison
d’une menace de ransomware, entre autres nombreux scénarios. Dans une situation de remédiation
face à un ransomware, il est facile d’exécuter la tâche SureBackup pour s’assurer que le système peut
être restauré correctement et que les applications fonctionneront comme prévu. Vous avez également
la possibilité de laisser les tâches SureBackup continuer de s’exécuter une fois qu’elles sont terminées
pour vérifier manuellement la présence d’une menace de ransomware dans le système avant de le
restaurer. Vous trouverez des informations supplémentaires sur Veeam DataLabs dans la section consacrée
à l’implémentation.
• Plusieurs scénarios de restauration : la restauration recommandée peut varier selon le type d'incident.
Par exemple, la manière la plus logique de contrer un ransomware peut sembler consister à basculer sur
un réplica, alors qu’une restauration au niveau fichier pourrait être plus sensée. Dans d’autres scénarios,
la solution passera plutôt par une restauration de la VM entière ou par Veeam Agent. Se familiariser
avec les différents scénarios de restauration est utile pour gagner en confiance quant à la réussite de la
remédiation en cas de ransomware.
Il faut prendre la formation au sérieux. Qu’il s’agisse d’évaluer le risque de phishing dans l’entreprise,
de supprimer les vecteurs d’attaque les plus courants ou de mettre à jour les systèmes et les applications,
ces étapes sont essentielles. à défaut, le risque lié aux ransomware s’accroît. L'un des moyens d'évaluer cet
investissement dans la formation consiste à l’opposer aux risques, aux coûts et à la pression d’une lutte sans
préparation contre un ransomware.
Dans toutes les situations, la restauration des données est la seule action à entreprendre en présence d’un
ransomware. Du point de vue de la formation, cette approche détermine le sérieux des sections suivantes
autour de l’implémentation et de la remédiation avec les produits de sauvegarde Veeam. Ni la perte
de données ni le paiement d’une rançon ne sont envisageables. L’issue souhaitée est celle d’une restauration
fiable. Les conseils qui suivent visent à assurer aux entreprises leur résilience face au menaces qui planent.
Implémentation
Les produits de sauvegarde Veeam sont réputés simples, flexibles et fiables. Ils offrent un ensemble
d’attributs de premier plan pour tester de nouvelles fonctionnalités. Concernant la résilience face aux
ransomware, l’implémentation d’une solution de backup s’apparente énormément à un audit de conformité.
En effet, un produit n’est pas d’emblée conforme ou non conforme à un standard. Sa conformité dépend
totalement de la manière dont il est implémenté et audité. Concernant la lutte contre les ransomware,
la résilience dépend entièrement du mode d’implémentation de la solution de sauvegarde, du comportement
de la menace et du déroulement de la remédiation.
Composant essentiel de la résilience face aux ransomware, l’implémentation de votre infrastructure de sauvegarde
Veeam est une étape cruciale dont les éléments constitutifs sont développés dans les sections suivantes :
• Protection des composants du serveur Veeam Backup & Replication
• Implémentation des fonctionnalités Veeam pour détecter les ransomware
• Stockage de sauvegarde ultra-résilient et règle du 3-2-1
• Configuration de plusieurs techniques de restauration
• Protection des postes de travail
• Protection NAS
• Chiffrement Veeam des données de sauvegarde
• Restaurations orchestrées des sauvegardes et des réplicas
Protection des composants du serveur Veeam Backup & Replication
Le serveur Veeam Backup & Replication est un composant essentiel du point de vue de la résilience face aux
ransomware. Pour que celle-ci existe, la séparation doit être la plus importante possible. Voici quelques-unes
des techniques majeures d’implémentation à envisager :
Serveurs Veeam sans accès à Internet : cette technique est primordiale, car isoler le serveur de sauvegarde du
réseau Internet protège contre l'introduction ou la propagation des menaces. En cas d’utilisation de Veeam
Cloud Tier ou de Veeam Cloud Connect, il est recommandé de prévoir un accès explicite aux ressources cloud.
Comptes de déploiement Veeam : l’approche la plus résiliente consiste à séparer le plus possible les comptes
utilisés pour les déploiements Veeam. Considérez les connexions aux proxys de sauvegarde Veeam, aux
cibles, aux accélérateurs WAN et aux autres composants comme un compte explicite à mapper pour mettre en
œuvre les autorisations nécessaires. Certaines entreprises peuvent opter pour un ensemble de comptes isolés
(détachés du domaine). D’autres préféreront disposer pour Veeam d'un domaine Microsoft Active Directory
distinct et d’outils d’infrastructure correspondants qui soient les plus séparés possible. Il est spécifiquement
recommandé de ne pas partager de comptes entre les sources de données en production et l’infrastructure
de sauvegarde. la pire pratique consisterait à effectuer toutes les connexions via DOMAIN\Administrator et
à accorder à ce compte les autorisations sur des ressources d’infrastructure essentielles telles que Veeam,
vSphere et Hyper-V. Si ce compte était corrompu et qu’il était utilisé via des composants Veeam, cela mettrait
en danger de nombreuses techniques de résilience.
Lecture conseillée
Les autorisations requises pour tous les produits Veeam sont documentées avec précision (ainsi que les
ports requis pour les différents rôles) sur la page https://helpcenter.veeam.com
Vous pouvez également consulter le guide des meilleures pratiques Veeam consacré au renforcement
de la sécurité de l’infrastructure :
https://www.veeambp.com/infrastructure_hardening
Paramétrer l’accès explicite aux cibles : pour renforcer encore la recommandation précédente, les cibles
de sauvegarde sont les ressources de stockage les plus stratégiques du point de vue de la résilience face
aux ransomware. Il est conseillé d’interdire l’accès et l’exploration de ce composant Veeam spécifique
dans l’entreprise tout entière (pour éviter les éventuelles fuites à partir des sauvegardes). Il est possible
de renforcer la protection grâce à la micro-segmentation et à un réseau interne protégeant avec des pare-feux
le trafic (et les autorisations) explicitement autorisé vers les sources et les cibles requises.
Utiliser intentionnellement Veeam Backup Enterprise Manager : recourir à Veeam Backup Enterprise
Manager (BEM) pour effectuer des tâches adaptées permet de réduire considérablement l’accès au niveau
de contrôle principal de l’infrastructure Veeam. Ces tâches courantes sont les restaurations au niveau
fichier ou de VM entières, les sauvegardes rapides, le clonage et la modification de tâches, la demande
de sauvegardes « active full », etc. BEM offre la caractéristique essentielle et puissante de permettre ces
actions sur l’ensemble des serveurs Veeam Backup & Replication déployés dans l’entreprise. L’illustration
ci-dessous présente l’écran principal de BEM.
Les rôles intégrés sont une autre technique permettant de réduire la fréquence des connexions sur le serveur
de sauvegarde Veeam avec des autorisations complètes. Ces rôles peuvent également être utilisés avec BEM
ainsi qu’avec Veeam Backup & Replication lui-même. Il s’agit des rôles d’opérateur de sauvegarde, d’utilisateur
du portail et d’administrateur du portail. Vous trouverez plus d’informations sur les rôles dans le guide
de l’utilisateur de Veeam Backup & Replication ou dans le centre d’assistance Veeam (https://helpcenter.
veeam.com/docs/backup/hyperv/users_roles.html?ver=100).
Exiger l’authentification à deux facteurs pour accéder à Veeam en mode RDP : il est recommandé d’exiger
l’authentification à deux facteurs pour démarrer une session RDP sur les systèmes qui exécutent les rôles
de console Veeam Backup & Replication. Les sessions RDP constituent généralement l’un des vecteurs
d’attaque les plus fréquents (57,4 %7). Ce type d’attaque doit être envisagé, même sur un réseau sans accès
à Internet. Les outils natifs Microsoft, ou un outil externe comme Duo, sont des approches d’authentification
à deux facteurs courantes.
Authentification multifacteur de Microsoft pour les services de bureau à distance :

https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-plan-mfa
Authentification multifacteur de Duo :

https://duo.com/product/multi-factor-authentication-mfa
Stockage de sauvegarde ultra-résilient et règle du 3-2-1
Si vous ne deviez retenir qu’une seule recommandation essentielle dans ce document, ce serait de vous
doter d’un stockage de sauvegarde ultra-résilient. Ce type de stockage nécessite que vous disposiez d’une ou
plusieurs copies des données de sauvegarde sur les supports suivants :
• bande ;
• stockage objet S3 ou compatible S3 (sauvegardes inaltérables ou immuables) ;
• support hors ligne avec isolation physique (lecteur amovible, disque rotatif) ;
• Veeam Cloud Connect avec protection contre les menaces internes.
Les sauvegardes effectuées sur un stockage ultra-résilient constituent l’une des défenses les plus essentielles
d’une stratégie de résilience face aux ransomware. Chaque entreprise devrait sélectionner l’approche
la plus pertinente en fonction de ses caractéristiques et de sa situation propre. Au-delà de la menace des
ransomware, ces options peuvent ouvrir sur d’autres techniques de protection pour assurer la résilience des
données de sauvegarde, par exemple pour limiter les menaces internes et les pertes dues à une suppression
accidentelle. Chacun de ces types de support ultra-résilients est expliqué ci-après :
Bandes : chaque service informatique a sa propre opinion concernant le stockage sur bande, mais ce type
de support reste difficile à battre du point de vue du coût d’acquisition, de la capacité à fonctionner hors ligne et
de la portabilité. Une bande qui est éjectée ou sortie d’une bibliothèque devient automatiquement hors ligne (à
moins d’une lecture/écriture en cours). Pour plus de résilience en cas de ransomware, Veeam prend en charge les
supports WORM (Write Once Read Many : écriture unique, lectures multiples). Veeam assure également une large
prise en charge des supports de stockage sur bande, comme l'écriture de fichiers et de sauvegardes complètes.
Voici une présentation simplifiée de la prise en charge des sauvegardes de VM et de serveurs physiques :
7
https://www.coveware.com/blog/2020/1/22/ransomware-costs-double-in-q4-as-ryuk-sodinokibi-proliferate
Veeam permet une prise en charge flexible des bandes dans la plupart des configurations de périphériques
à bande et de bibliothèques modernes compatibles LTO. Cette prise en charge des bandes offre différentes
manières de renforcer la résilience en cas de ransomware. L’une d’entre elles consiste à placer simplement
un volume fixe de données pendant une durée plus courte sur le stockage sur bande (quelques semaines
de données de sauvegarde, par exemple). On envisage communément une infrastructure de stockage sur bande
comme un moyen de conserver des années de données dans des bibliothèques très volumineuses. Pourtant, ces
bandes peuvent servir de support ultra-résilient pour des points de restauration relativement proches. Cette
illustration présente des ensembles de supports quotidien, hebdomadaire et mensuel avec Veeam :
Stockage objet S3 ou compatible S3 pour des sauvegardes inaltérables : Veeam Cloud Tier prend en charge
la puissante technique des sauvegardes inaltérables pour assurer la résilience contre les ransomware et
d’autres menaces. Cela passe par la fonctionnalité de cible de sauvegarde évolutive SOBR (Scale-Out Backup
Repository™) de Veeam, avec activation du tier de capacité (Capacity Tier, également appelé Cloud Tier).
le tier de capacité est une fonctionnalité par stratégie qui écrit les données de sauvegarde sur un stockage
objet. Sont pris en charge : IBM Cloud, Azure, AWS et les stockages objet compatibles AWS S3. Toutefois,
seuls le système de stockage public AWS S3 et une sélection de systèmes compatibles S3 permettent
le verrouillage des objets dans le mode de conformité adapté pour placer les données de sauvegarde Veeam
dans un seau et créer ainsi une sauvegarde inaltérable.
Atout majeur des sauvegardes inaltérables avec S3 : elles sont simplissimes à configurer dans Veeam Backup
& Replication. Deux propriétés sont à configurer pour garantir l’utilisation la plus résiliente possible du tier de capacité
Veeam. la première est le seau AWS S3 ou compatible S3 qui doit sélectionner l'option permettant de rendre les
sauvegardes inaltérables pendant un nombre de jours spécifié. Cela concerne toutes les données de sauvegarde
dirigées vers le seau depuis le processus de tiering SOBR qui survient une fois la sauvegarde terminée (mode copie) ou
après un intervalle (mode déplacement). Voici le paramétrage de la période d’immuabilité d’un seau :
Le paramètre d’immuabilité est une propriété du seau de stockage objet. Pour utiliser encore plus
efficacement le stockage objet dans une approche de résilience face aux ransomware, il faut paramétrer une
autre propriété de la fonctionnalité SOBR. Cela permet au stockage objet du tier de capacité de recevoir les
données de sauvegarde en les déplaçant vers le stockage objet pour les fichiers de sauvegarde plus anciens
qu’une fenêtre de restauration opérationnelle spécifiée (14 jours ou plus, par exemple). Il est également
possible de copier les sauvegardes vers le stockage objet dès leur création (mode copie).
Le mode copie est une étape supplémentaire essentielle pour la résilience en cas de ransomware : une
copie des données de sauvegarde est réalisée immédiatement dans le stockage objet à l’issue d’une tâche
de sauvegarde. Au rythme de l’ancienneté des sauvegardes, le mode copie continue de supprimer (tiering)
les données de sauvegarde sur les extensions locales dans le tier de performance. Dans l’intervalle de temps
entre la création de la sauvegarde et la fenêtre de restauration opérationnelle, les sauvegardes seront
présentes à la fois en local et dans le stockage objet. Associer cette fonctionnalité au paramètre d’immuabilité
permet de mettre en place une technique de résilience efficace face aux ransomware.
C’est d’autant plus important qu’il est courant que les points de restauration les plus récents soient les plus
recherchés puisque leur RPO (délai optimal de reprise d’activité) est le plus proche. la figure ci-dessous
illustre la configuration du mode copie avec la fonctionnalité SOBR :
Cette figure illustre également la possibilité de chiffrer les données de sauvegarde dans le stockage objet.
Cela va sans dire, mais il s’agit de la configuration recommandée pour sauvegarder les données dans le cloud.
Lecture conseillée
Pour en savoir plus sur la fonctionnalité de sauvegarde inaltérable de Veeam, consultez la page http://vee.
am/s3immutable
Support hors ligne avec isolation physique : les disques rotatifs et les lecteurs amovibles sont d’autres types
de support à offrir des caractéristiques hors ligne comme les bandes. Les plus gros volumes de données
peuvent devenir plus difficiles à gérer dans la mesure où la taille des lecteurs uniques utilisables hors ligne
est généralement limitée (même si elle tend à s’accroître). Cette approche peut en outre être adoptée selon
les situations, par exemple pour les terminaux et les sites en périphérie, comme les ROBO. Veeam Backup
& Replication prend en charge les cibles qui alternent les supports dans des processus interchangeables.
Par exemple, Veeam Agent for Microsoft Windows prend en charge les cibles sur support amovible. Pour
les terminaux, il existe une fonctionnalité supplémentaire permettant d’éjecter le support une fois la tâche
de sauvegarde terminée pour mettre le support amovible hors ligne. Cette option est illustrée ci-dessous :
Veeam Cloud Connect avec protection contre les menaces internes : technologie reconnue sur le marché,
Veeam Cloud Connect offre le stockage des sauvegardes Veeam en tant que service ainsi que la DR (reprise
après incident) en tant que service (DRaaS) optimisée par la réplication Veeam. Proposée par des fournisseurs
de services basés sur les solutions Veeam, elle existe sous forme d’offre « Veeam Cloud Connect for the
Enterprise » pour les entreprises de plus grande envergure désireuses de l’utiliser en interne.
La fonctionnalité de protection contre les menaces internes a été créée pour renforcer la résilience des données
de sauvegarde face au risque de ransomware, d’activité malveillante d’un d’administrateur ou de suppression
accidentelle. Grâce à elle, une copie supplémentaire, hors bande, est conservée par le fournisseur de services
pour pouvoir être exploitée lors d’une intervention (un appel au support, par exemple). Ce processus permet
de re-transférer les données de sauvegarde vers la cible Veeam Cloud Connect pour effectuer des restaurations
en local. Voici comment fonctionne la sauvegarde avec Veeam Cloud Connect :
Consultez cette page pour trouver un fournisseur de services proposant Veeam Cloud Connect avec
la protection contre les menaces internes : http://vee.am/splookup
Règle du 3-2-1 : Veeam préconise depuis de nombreuses années la règle du 3-2-1 comme stratégie globale
de gestion des données. Selon la règle du 3-2-1, l’entreprise doit disposer de trois copies de ses données
importantes, sur au moins deux types de support différents, l’une au moins de ces copies se trouvant hors
site. L’atout majeur de cette règle du 3-2-1 est de ne pas exiger de type de matériel particulier et d’être
suffisamment polyvalente pour répondre à quasiment tous les scénarios de panne.
Face à l’amplification de la menace des ransomware, Veeam insiste sur l’importance de l’ultra-résilience
de la copie conservée hors site (qui doit être isolée physiquement, hors ligne ou inaltérable). Cette
recommandation est impérative pour devenir résilient face aux ransomware.
Configuration de plusieurs techniques de restauration
Le processus d’implémentation de Veeam Backup & Replication suppose de se connecter à divers autres
systèmes. Il peut s’agir d’environnements virtuels comme VMware vSphere, Microsoft Hyper-V ou
Nutanix AHV, d’environnements physiques comme Windows, Linux, AIX et Solaris, et de systèmes de baie
de stockage. le conseil pratique dans cette situation consiste à avoir l’ensemble des options de restauration
à sa disposition. Les types de processus les plus courants sont la restauration d’un système entier (une VM
ou un serveur), au niveau fichier ou au niveau application. En dehors de ceux-ci, il existe quelques
recommandations exposées ci-après.
Intégration aux snapshots de baie de stockage : l’utilisation d’un système de stockage principal avec une prise
en charge des snapshots de baie de stockage intégrée dans Veeam constitue une technique de restauration
ultrarapide incroyablement polyvalente. Veeam Explorer™ for Storage Snapshots restaure rapidement les VM
depuis des snapshots de baie de stockage programmés. Veeam Explorer for Storage Snapshots est illustré ici :
La technique ci-dessus consiste à disposer de données en production (c’est-à-dire de VM) pour permettre une
restauration depuis un snapshot de stockage principal. Il est néanmoins également recommandé de procéder à une
sauvegarde hors du système de stockage principal. Veeam prend également en charge les techniques de snapshot
de baie de stockage en lecture seule, comme les snapshots NetApp SnapVault et Pure Storage SafeMode.
Réplication Veeam : de nombreuses entreprises utilisent les solutions Veeam pour sauvegarder et
restaurer leurs workloads stratégiques, mais la puissante technique du moteur de réplication peut
s’inscrire dans une remédiation en cas de ransomware. la réplication de VM vers le même site ou vers un
site de DR constitue une technique de restauration ultrarapide permettant d'éliminer rapidement une
menace. Voici la vue simplifiée d’une VM répliquée par Veeam :
Gardez toutefois à l’esprit qu’un scénario de réplication n’exclut pas qu’un ransomware puisse également
s’introduire via sa cible. Voici quelques conseils et remarques d’ordre général essentiels pour la résilience en
cas de ransomware :
• utilisez des contextes de sécurité différents à la fois côté source et cible, avec des hyperviseurs et des
logiciels de gestion tels que vCenter ou System Center ;
• les points de restauration des réplicas s’apparentent largement au moteur de sauvegarde et représentent
la VM au moment de l’exécution de la tâche de réplication ;
• en environnement VMware, il est possible de créer des tâches SureBackup pour les réplicas Veeam afin
de s’assurer qu’ils s’activent et fonctionnent comme prévu avant de lancer la restauration en cas d’attaque
de ransomware.
Autre produit Veeam, Veeam Availability Orchestrator met à votre disposition un moteur d'orchestration et
d’automatisation fiable, évolutif et facile à utiliser, spécifiquement conçu pour répondre aux besoins actuels
des entreprises d'assurer la continuité de leur activité et la reprise après incident (ou BDCR pour Business
Continuity and Disaster Recovery). En éliminant les processus manuels de test et de restauration — à la fois
inefficaces, longs et source d'erreurs —, il offre une stratégie de DR planifiée, expérimentée et éprouvée (basée
sur les réplicas et les sauvegardes) qui rend les opérations IT plus résilientes. Veeam Availability Orchestrator
assure en outre que les réplicas et les sauvegardes respectent automatiquement les RTO (objectifs de temps
de restauration) et les RPO. Cela contribue à installer une confiance incroyable dans la stratégie de DR,
complète, et à prouver que vos SLA de disponibilité peuvent être atteints. Dans une situation de résilience
face aux ransomware, disposer d’une DR fiable est un moyen puissant pour rétablir une exploitation normale.
Multiplication des options : selon la nature du ransomware, il n’y a pas toujours une seule manière
d’envisager le retour à la normale. Il est souvent très efficace de restaurer des VM entières ou un système
entier, mais il est conseillé de faire appel à des experts pour effectuer d’autres types de restauration qui font
éventuellement migrer les données utiles sélectionnées. Il s’agit de restaurations au niveau fichier, au niveau
application ou basées sur des lecteurs sélectionnés, comme un fichier VHDX ou VMDK.
Protection des terminaux
Veeam est réputé pour sauvegarder les serveurs physiques, les VM, etc. dans des datacenters. Mais les
Veeam Agents permettent également de sauvegarder les ordinateurs fixes et portables et les tablettes
Windows. Quand il s’agit de terminaux Linux et Windows, les entreprises peuvent ajouter un niveau
supplémentaire de résilience en cas de ransomware.
La stratégie de sauvegarde des terminaux offre de manière certaine une technique de résilience qui assure
la reprise depuis les sauvegardes en cas d’attaque de ransomware. de plus, il existe d’autres avantages lorsque
l’API d’intégration des données de Veeam est envisagée pour les sauvegardes de terminaux. Sans compter
l’opportunité d’effectuer des analyses des systèmes sur les terminaux à l’issue des sauvegardes pour limiter
le temps qui s'écoule entre l’introduction de la menace et son exécution.
Comme mentionné précédemment, Veeam Agent for Microsoft Windows prend en charge l'éjection des
supports amovibles pour les mettre hors ligne à l’aide de deux techniques essentielles de résilience face aux
ransomware. la première consiste à disposer simplement d’une sauvegarde et la seconde, à disposer d'une
sauvegarde hors ligne. Cette technique est possible sur les systèmes Linux ainsi que sur les ordinateurs fixes
et portables et les tablettes Windows.
Protection NAS
Les systèmes NAS sont également des cibles privilégiées des attaques de ransomware. Si l’on ajoute à cela les
menaces internes et les suppressions accidentelles, les raisons sont nombreuses de considérer les données
des fichiers comme une cible pour les menaces. la prise en charge des sauvegardes NAS dans Veeam Backup
& Replication offre des options de restauration efficaces en cas de ransomware mettant en danger le contenu
d'un partage de fichiers.
Le moteur de sauvegarde de fichiers de Veeam permet trois types de restauration. le premier s’adresse aux
situations isolées dans lesquelles la restauration des fichiers et des dossiers est basée sur la dernière exécution
de la sauvegarde. le deuxième faire revenir le partage entier à un point de restauration spécifié. le troisième
consiste à restaurer le partage entier vers un nouveau périphérique dans un scénario où l’ancien serait perdu.
À chaque scénario correspond un cas d’utilisation de restauration face à un ransomware, mais le deuxième est
de loin le plus efficace. En effet, si la menace est écartée, mais qu’une partie du partage de fichiers NAS a été
chiffrée ou supprimée, ce type de restauration permet de restituer le contenu tel qu’il était au moment de la
sauvegarde spécifiée. Concernant les systèmes NAS contenant des millions de fichiers avec de très nombreux
niveaux d’arborescence, la cible en cache Veeam du partage effectuera un suivi des modifications apportées
aux fichiers et aux dossiers dans celui-ci. Cela permet une restauration à un instant précis sans se soucier des
altérations du contenu du partage. Les options de restauration NAS sont les suivantes :
Implémentation des fonctionnalités Veeam pour détecter les ransomware
Détecter une menace de ransomware le plus tôt possible offre aux services IT un atout considérable dont
la puissance ne doit pas être sous-estimée. Veeam a mis en place deux techniques de détection des activités
potentielles des ransomware :
Alerte en cas d’activité potentielle de ransomware (Possible ransomware activity) : cette alerte
de Veeam ONE™ signale une activité intense de la CPU couplée à un grand nombre d’E/S d’écriture sur un
lecteur. Elle est illustrée ci-dessous :
Cette alerte est également personnalisable. Les paramètres par défaut constituent un bon point de départ
face à une activité de ransomware potentielle, mais ils peuvent être adaptés pour rendre plus stricts les
facteurs déclencheurs de l’alerte. Cette personnalisation est illustrée ci-dessous :
Aux services IT qui utilisent Veeam ONE : le prochain conseil est essentiel pour réagir au déclenchement
de cette alerte. Je recommande en effet des actions spécifiques intégrées dans l’alerte pour renforcer les
notifications envoyées à l’équipe. Cela passe par des SMS, la transmission de l’alerte à l’équipe chargée
de la sécurité et même des procédures extrêmes consistant à éteindre la VM ou à déconnecter l’interface
réseau via l’étape des actions dans l’alerte de Veeam ONE. Si vous disposez à la fois de systèmes VMware et
Hyper-V, assurez-vous de mener ces actions pour ces deux environnements.
Taille suspecte des sauvegardes incrémentielles : cette alerte de Veeam ONE concerne la supervision
de Veeam Backup & Replication dans la vue de protection des données. Elle permet de signaler une
sauvegarde incrémentielle d’une taille anormalement importante. la logique s’appuie sur un taux
de modification normal et la possibilité que les données source soient chiffrées, ce qui retirerait la plupart des
opportunités de disposer d’un stockage efficace. à l’instar de la majorité des alertes de Veeam ONE, il existe
des règles configurables pour déterminer la profondeur de l’analyse. Par défaut, trois points de restauration
sont analysés. Lorsque le taux de modification atteint 150 %, un avertissement est signalé, lorsqu’il
atteint 200 %, c’est une erreur. L’alerte est illustrée ci-dessous :
API d’intégration des données : composant de Veeam Backup & Replication v10, l’API d’intégration des
données de Veeam s’utilise idéalement via PowerShell. Grâce à cette fonctionnalité, les données des fichiers
de sauvegarde sont présentées sous forme de dossier Windows et vous avez accès aux données disponibles dans
la sauvegardée créée par Veeam Backup & Replication. Cette nouvelle technique est une arme redoutable contre
les ransomware et il est possible d’effectuer des analyses supplémentaires des données déjà sauvegardées.
Ces analyses supplémentaires pour détecter les menaces incluent d’autres outils plus invasifs qui ne peuvent
pas être utilisés sur les workloads en production. En outre, si les sauvegardes des terminaux se trouvent dans
des cibles Veeam, cela offre une surface incroyable pour analyser l’introduction potentielle de menaces.
L’API d’intégration des données démarrera avec les sauvegardes dans une cible Veeam. L’exemple de script
PowerShell appellera la sauvegarde d’un système (TPM00-DT-RV) à monter via le cmdlet Publish-
VBRBackupContent. Cela est illustré dans la figure ci-dessous :
Une seule sauvegarde est montée dans cet exemple de script PowerShell, mais le cmdlet permet d’en monter
plusieurs. Une tâche de publication de disque instantanée sera exécutée dans Veeam Backup & Replication.
Cette action particulière s’apparente à la fonctionnalité de restauration de VM (Instant VM Recovery®),
à ceci près qu’au lieu de s’effectuer vers l’environnement VMware ou Hyper-V, la publication du stockage
de la VM ou de l’agent de sauvegarde se fait vers le serveur Veeam Backup & Replication. Cette publication est
transparente, via iSCSI, à partir du cmdlet. le serveur Veeam Backup & Replication présente ainsi la sauvegarde
publiée sous forme de disque :
Après l’exécution, le contenu des lecteurs sauvegardés se présente sous forme de dossiers localement sur
le serveur Veeam Backup & Replication :
C’est là que vous exploitez toute la puissance de votre infrastructure de sauvegarde. En effet, les systèmes
sauvegardés avec Veeam se prêtent à des analyses avancées. Pour illustrer la détection, je vais présenter
succinctement deux exemples spécifiques qui utilisent un outil d’analyse ESET ou Total Commander.
Dans le premier exemple, ESET permet d’analyser seulement le chemin VeeamFLR où se trouvent les
sauvegardes publiées.
L’analyse personnalisée peut démarrer dès que le chemin VeeamFLR est sélectionné avec l’outil ESET. Pour
actualiser les informations utilisées pour l’analyse, celui-ci télécharge ensuite le dernier fichier de définition
correspondant à la menace avant de lancer l’analyse. Voici une illustration du déroulement de l’analyse :
L’autre exemple de détection avec l’API d’intégration des données utilise Total Commander. Cet outil est
essentiel pour nombre d’administrateurs IT qui utilisent des fonctions de stockage avancées. Caractéristique
intéressante : il permet d’explorer les fichiers chiffrés dans le chemin VeeamFLR, comme illustré ci-dessous.
La fragmentation inhérente aux menaces de ransomware peut toutefois empêcher de trouver les fichiers chiffrés
par une menace. le potentiel de l’API d’intégration des données de Veeam conjugué aux outils de prédilection
des services IT adaptés à leur domaine d’expertise renforce de manière spectaculaire la visibilité des menaces
avant que celles-ci se déploient à grande échelle. Les opportunités offertes par l’API d’intégration des données
sont également incroyables dans des scénarios d’automatisation de plus grande envergure. Vous pouvez
envisager de mettre en œuvre des workflows qui exécutent des tâches SureBackup sur les sauvegardes et
utilisent automatiquement l’API d’intégration des données pour effectuer des tâches d’analyse plus intensives
à l’issue des sauvegardes, impossibles à réaliser sur les workloads de production. Cela représente une
opportunité de limiter le temps qui s’écoule entre l’introduction de la menace et son exécution.
Approfondir ses connaissances sur l’API d’intégration des données
Pour plus d’informations sur l’API d’intégration des données et les cmdlets correspondants, consultez
le document suivant : http://vee.am/vdapi
Veeam DataLabs : à la fois technique de détection et de remédiation, Veeam DataLabs vous aide à gagner en
résilience face aux ransomware. la tâche SureBackup exécute Veeam DataLab pour :
• garantir la capacité de restauration d’un système sauvegardé ;
• tester sur un système des mises à jour, des modifications apportées à une application, etc. ;
• utiliser les technologies de restauration par phases (Staged Restore) et de restauration sécurisée (Secure Restore).
Dans un contexte de détection de ransomware, si une menace doit s’introduire lors du prochain démarrage
système, une tâche SureBackup pourra identifier un problème empêchant le démarrage système ou l’exécution
des applications. Les tâches SureBackup garantissent que les applications s’exécutent comme prévu, depuis
des sauvegardes (ou des réplicas en environnement VMware). le reporting fera état d’une restauration réussie
depuis le point de restauration.
Contribuant à sa polyvalente, la tâche SureBackup présente la caractéristique de laisser se poursuivre

l’exécution une fois qu’elle a démarré. Par défaut, elle s’exécute pour effectuer les vérifications configurées.
Si la tâche est paramétrée pour que son exécution se poursuive, des vérifications supplémentaires peuvent
être effectuées sur le système, à partir du point de restauration de la sauvegarde. Celles-ci peuvent consister
en une inspection manuelle pour déterminer si la menace de ransomware est toujours présente, si certains
fichiers spécifiques existent, sont chiffrés, ou pour extraire éventuellement des données sélectionnées.
Chiffrement Veeam des données de sauvegarde
Dans la lutte contre les ransomware, la recommandation de chiffrer les sauvegardes Veeam pourrait
sembler contre-intuitive. Il s’agit pourtant d’un type de chiffrement efficace et nous le conseillons pour plus
de résilience en cas ransomware et de menaces internes.
Nous recommandons en réalité de chiffrer les sauvegardes Veeam autant que possible, y compris la première.
Celle-ci est habituellement réalisée sur le même site, à proximité des données source et généralement dans
une cible locale. Les autres instances des données de sauvegarde Veeam, comme celles présentes dans une
tâche de copie de sauvegarde ou un traitement vers Veeam Cloud Tier, devraient également être chiffrées.
Grâce au chiffrement de la première sauvegarde puis de toutes les copies des données de sauvegarde suivantes,
la protection des fichiers de sauvegarde Veeam est assurée contre tout nouveau type de ransomware. Certains
acteurs malveillants exigent une rançon pour éviter les fuites de données et non simplement pour les déchiffrer.
la rançon annule alors la fuite des données hors de l’entreprise. Personne ne souhaiterait en effet qu’un lien
menant à des fichiers de sauvegarde contenant des données confidentielles aille au plus offrant. Idéalement,
les précédentes recommandations empêcheraient que cela se produise, mais il s’agit là d'une protection
supplémentaire. le chiffrement Veeam est pris en charge pour les tâches de sauvegarde, les tâches de copie
de sauvegarde, les tâches de sauvegarde sur bande, VeeamZIP et les bandes.
Investissements dans l’automatisation
L’automatisation est une arme de plus dans la lutte contre les ransomware et nous la recommandons. Dans
d'éventuelles situations de remédiation, elle peut s’avérer particulièrement utile si l’infrastructure d’origine
n’est plus sécurisée. Les technologies développées par Veeam, Microsoft, VMware et d’autres incluent
de nombreuses techniques d’automatisation de la gestion de l’infrastructure grâce au code informatique ou
« ’Infrastructure as Code ».
Ces outils peuvent provisionner l’infrastructure, la configuration et les services essentiels.
La création d'une plateforme totalement nouvelle sur laquelle automatiser la restauration occupe une
place de choix dans un scénario de reprise potentiel. Il s’agit bien sûr d'une nouvelle plateforme pour
la restauration, sachant que vous disposez de données de sauvegarde Veeam de qualité. Envisagez ces
outils comme des opportunités de déploiement rapide si la nécessité d’un scénario de reprise complète se
présentait. Voici quelques ressources pour vous familiariser avec ces technologies :
Session Veeam sur VMworld 2018 :

https://videos.vmworld.com/global/2018/videoplayer/26243
Déploiements Veeam avec la méthode « CHEF » (1re partie) :

https://vzilla.co.uk/vzilla-blog/cooking-up-some-veeam-deployment-with-chef-automation-part-1
Déploiements Veeam avec la méthode « CHEF » (2e partie) :

https://vzilla.co.uk/vzilla-blog/cooking-up-some-veeam-deployment-with-chef-automation-part-2
Exemples d’outil IaC (Infrastructure as Code) :

https://vzilla.co.uk/vzilla-blog/summerproject-infrastructure-as-code-example-tools
Opérations Windows et utilisation de Chocolatey pour gérer le package Windows avec Veeam Agent :
https://vzilla.co.uk/vzilla-blog/windowsoperationsusingchocolateyforveeamdeployment
Remédiation
Malgré l’ensemble des techniques de formation et d’implémentation utilisées pour assurer la résilience en cas
de ransomware, les entreprises devraient se préparer à opérer une remédiation si la menace se concrétisait.
Chez Veeam, nous sommes convenus de l’approche de remédiation suivante face aux ransomware :
• aucun versement de rançon ;
• une seule solution : la restauration des données.
En appliquant les recommandations présentées dans ce document, les entreprises devraient disposer
de suffisamment de couches de résilience pour se défendre face aux ransomware. Il leur reste peut-être
à s’interroger spécifiquement sur la marche à suivre lorsque la menace devient réelle.
Voici donc quelques conseils de remédiation :
Support Veeam : il existe un groupe spécial au sein du support Veeam chargé d’assister les clients qui
doivent restaurer leurs données en cas d’attaque de ransomware. Vous devez tout faire pour sécuriser vos
sauvegardes, car elles sont essentielles pour rétablir une exploitation normale.
Priorité à la communication : quel que soit le type d’incident, maintenir la communication est l’un des
premiers défis à relever. Vous devez élaborer un plan pour pouvoir communiquer avec les personnes
impliquées, dans toutes les conditions. Cela peut passer par le biais de messages collectifs envoyés à un
groupe, d’appels téléphoniques et d’autres moyens communément utilisés pour les astreintes, mais étendus
à l’ensemble du groupe chargé des opérations IT.
Experts : constituez une liste d’experts de la sécurité, de la gestion des incidents et des identités, etc.,
prêts à être contactés en cas de besoin. Il peut s’agir de collaborateurs en interne ou d’experts extérieurs
à l’entreprise. Si vous faites appel à un fournisseur de services Veeam, il peut vous proposer de compléter son
offre de base avec des services à valeur ajoutée (comme Veeam Cloud Connect avec la protection contre les
menaces internes).
Chaîne de décision : la prise de décision est l’un des aspects les plus difficiles de la reprise en cas d’incident.
à qui incombe la décision de la restauration, du basculement, etc. ? Vous devez en discuter au préalable.
Préparation à la restauration : lorsque les conditions adéquates sont réunies pour procéder à la restauration,
mettez en œuvre des vérifications de sécurité supplémentaires avant de rétablir les systèmes sur le réseau.
Ces conseils ont déjà été évoqués plus haut, mais une autre étape peut consister à effectuer la restauration en
désactivant l’accès au réseau pour effectuer une dernière vérification, par exemple.
Options de restauration : selon la situation, une restauration de VM entière peut être la meilleure solution.
Ou bien une restauration au niveau fichier peut suffire. Il est très utile de se familiariser avec les différentes
possibilités de restauration.
Restauration en toute sécurité : comme expliqué précédemment, la fonctionnalité de restauration sécurisée

Secure Restore de Veeam déclenche une analyse antivirus de l’image avant la fin de la restauration. Vous
devez utiliser les dernières définitions anti-virus et anti-malware plus, peut-être, un autre outil pour vous
assurer qu’une menace ne s’est pas réintroduite.
Imposer le renouvellement des mots de passe : cette contrainte n’est pas appréciée des utilisateurs, mais
prévoyez de la généraliser, car elle réduit la surface de propagation des menaces.
Conclusion : préparez-vous maintenant, sinon

préparez-vous au pire !
La menace est réelle et se préparer à la contrer ne dépend que de nous. Quelles sont les étapes nécessaires
pour assurer la résilience face aux ransomware ? Ce document fournit quelques conseils en matière
de formation, d’implémentation et de remédiation. Une préparation adaptée permettra à votre entreprise
d’accroître sa résilience face aux ransomware pour éviter de perdre des données, de l’argent, sa réputation sur
le marché, etc.
Pour plus d’informations sur la résilience face aux ransomware avec Veeam, consultez les ressources
suivantes : http://vee.am/ransomwareseriespapers
À propos de l’auteur
Rick Vanover (Cisco Champion, vExpert) est directeur de la stratégie produits chez
Veeam Software. Spécialiste de l’administration des systèmes et de la gestion IT,
il a récemment réorienté sa carrière vers la virtualisation. Suivez Rick Vanover sur
Twitter @RickVanover ou @Veeam.
À propos de Veeam Software

Veeam® est le leader des solutions de sauvegarde pour la gestion des données dans le cloud (Cloud Data
Management™). Veeam offre une plateforme unique afin de moderniser la sauvegarde, d’accélérer le cloud
hybride et de sécuriser les données. Avec plus de 375 000 clients dans le monde entier, dont 82% des
entreprises du Fortune 500 et 67% des Forbes Global 2 000, les scores de satisfaction client de Veeam sont
3,5 fois supérieures à la moyenne de l’industrie — les plus élevés de l’industrie. Son écosystème de distribution
100% indirect compte des partenaires internationaux, ainsi que HPE, NetApp, Cisco et Lenovo comme
revendeurs exclusifs. Veeam a des bureaux dans plus de 30 pays. Pour en savoir plus, visitez le site www.
veeam.com ou suivez Veeam sur Twitter @veeam.
Proteção contra ataques internos para Veeam Cloud & Service Providers
Cloud
Data
Backup
for what’s next
5 Stages of Cloud Data Management —
start your journey today!
Learn more: veeam.com
APENAS PARA USO INTERNO DA VEEAM
© 2019 Veeam Software. Informações confidenciais. Todos os direitos reservados. Todas as marcas comerciais são de propriedade dos respectivos titulares. 14

Beat Ransomware Education Implementation Remediation

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Beat Ransomware Education Implementation Remediation

Transféré par

Droits d'auteur :

Formats disponibles

Contrer les

Table des matières

Le point sur la menace aujourd’hui . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Trois stratégies inégalables pour assurer la résilience en cas de ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Formation basée sur l’identification des vecteurs d’attaque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Formation basée sur la préparation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Protection des composants du serveur Veeam Backup & Replication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Stockage de sauvegarde ultra-résilient et règle du 3-2-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Configuration de plusieurs techniques de restauration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Protection des terminaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Implémentation des fonctionnalités Veeam pour détecter les ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Chiffrement Veeam des données de sauvegarde. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Investissements dans l’automatisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

Conclusion : préparez-vous maintenant, sinon préparez-vous au pire !. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

À propos de Veeam Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Le point sur la menace aujourd’hui

Trois stratégies inégalables pour assurer la résilience en cas de ransomware

La stratégie de formation s’adresse principalement à deux publics : l’équipe IT et les collaborateurs

Formation basée sur l’identification des vecteurs d’attaque

KnowBe4 (https://www.knowbe4.com) permet d’étendre la prise de conscience de la sécurité au-delà

Formation basée sur la préparation

• Fonctionnalité Secure Restore (restauration sécurisée) de Veeam : pendant la restauration sécurisée,

• Protection des composants du serveur Veeam Backup & Replication

• Implémentation des fonctionnalités Veeam pour détecter les ransomware

• Stockage de sauvegarde ultra-résilient et règle du 3-2-1

• Configuration de plusieurs techniques de restauration

• Protection des postes de travail

• Chiffrement Veeam des données de sauvegarde

• Restaurations orchestrées des sauvegardes et des réplicas

Protection des composants du serveur Veeam Backup & Replication

Authentification multifacteur de Microsoft pour les services de bureau à distance :

Authentification multifacteur de Duo :

Stockage de sauvegarde ultra-résilient et règle du 3-2-1

• stockage objet S3 ou compatible S3 (sauvegardes inaltérables ou immuables) ;

• Veeam Cloud Connect avec protection contre les menaces internes.

Configuration de plusieurs techniques de restauration

Protection des terminaux

Implémentation des fonctionnalités Veeam pour détecter les ransomware

Approfondir ses connaissances sur l’API d’intégration des données

• garantir la capacité de restauration d’un système sauvegardé ;

Contribuant à sa polyvalente, la tâche SureBackup présente la caractéristique de laisser se poursuivre

Chiffrement Veeam des données de sauvegarde

Investissements dans l’automatisation

Ces outils peuvent provisionner l’infrastructure, la configuration et les services essentiels.

Session Veeam sur VMworld 2018 :

Déploiements Veeam avec la méthode « CHEF » (1re partie) :

Déploiements Veeam avec la méthode « CHEF » (2e partie) :

Exemples d’outil IaC (Infrastructure as Code) :

• aucun versement de rançon ;

• une seule solution : la restauration des données.

Voici donc quelques conseils de remédiation :

Restauration en toute sécurité : comme expliqué précédemment, la fonctionnalité de restauration sécurisée

Conclusion : préparez-vous maintenant, sinon

À propos de Veeam Software

Learn more: veeam.com

APENAS PARA USO INTERNO DA VEEAM

Vous aimerez peut-être aussi