Qu'est-ce que la rétention des sauvegardes ?
La rétention des sauvegardes est la pratique consistant à conserver des copies de données critiques pendant des périodes définies, conformément aux exigences réglementaires, légales et de cybersécurité. Elle détermine la durée de conservation des points de restauration, leur emplacement de stockage et les mesures de protection contre les attaques susceptibles de compromettre votre environnement de production.
Les enjeux sont réels. Lors de l'incident de ransomware de MGM Resorts en 2023, l'entreprise a déclaré un impact d'environ 100 millions de dollars sur l'EBITDA ajusté dans un dépôt auprès de la SEC. Lorsque les attaquants atteignent ou corrompent vos sauvegardes, l'impact pour l'entreprise dépasse le simple temps d'arrêt informatique et devient un événement financier à l'échelle de l'organisation.
De nombreuses entreprises considèrent encore la rétention des sauvegardes comme un simple problème logistique de stockage. La différence entre les organisations qui se rétablissent et celles qui paient des rançons réside dans la conception, la mise en œuvre et l'application de leurs politiques de rétention des sauvegardes.
Le guide CISA #StopRansomware désigne la rétention des sauvegardes comme l'objectif de performance cybersécurité intersectoriel 2.R : maintenir des sauvegardes hors ligne, chiffrées, des données critiques et tester régulièrement leur disponibilité et leur intégrité. Il s'agit d'un socle fédéral en cybersécurité.
Les groupes de ransomware ciblent désormais l'infrastructure de sauvegarde comme objectif principal. Votre politique de rétention des sauvegardes est le plan directeur qui détermine si ces sauvegardes survivront.
.jpg)
Relation entre la politique de rétention des sauvegardes et la cybersécurité
La politique de rétention des sauvegardes est un contrôle défensif. Le NIST Cybersecurity Framework 2.0 la codifie sous la sous-catégorie PR.DS-11, exigeant que les sauvegardes soient créées, protégées, maintenues et testées. Cela place la rétention des sauvegardes dans votre architecture de contrôle de protection, aux côtés de la protection des endpoints, de la gestion des accès et de la segmentation réseau.
La pertinence en cybersécurité devient évidente lorsqu'on examine le comportement des attaquants. Selon le NIST SP 800-209, les attaquants peuvent interférer avec le processus de sauvegarde lui-même, empoisonnant progressivement les copies futures jusqu'à ce que les seules sauvegardes disponibles soient déjà corrompues. La durée de rétention détermine directement si vous disposez d'un point de restauration sain antérieur à la compromission.
Lors de l'incident de ransomware Colonial Pipeline en 2021, le département de la Justice américain a décrit un paiement de rançon de 4,4 millions de dollars dans son communiqué DOJ. La rétention des sauvegardes ne stoppe pas le ransomware à elle seule, mais elle détermine si vous pouvez restaurer et reprendre l'activité sans négociation.
Votre politique de rétention des sauvegardes définit jusqu'où vous pouvez remonter pour restaurer, la rapidité de récupération et si les attaquants peuvent éliminer votre capacité à refuser une demande de rançon.
Fonctionnement des politiques de rétention des sauvegardes
Une politique de rétention des sauvegardes régit le cycle de vie de chaque copie de sauvegarde créée par votre organisation. Elle précise la fréquence de création, les emplacements de stockage, les mécanismes de protection, la durée de rétention et les procédures d'élimination pour chaque niveau de classification des données.
Le cadre 3-2-1-1-0
La norme du secteur a évolué de la règle 3-2-1 vers le cadre 3-2-1-1-0 pour répondre aux tactiques actuelles des ransomwares.
Le cadre impose :
- 3 copies de sauvegarde en plus des données de production
- 2 types de supports différents pour se protéger contre différentes classes de risques
- 1 copie stockée hors site pour une séparation géographique
- 1 copie immuable ou isolée (air-gapped), plus 0 erreur lors des tests de vérification des sauvegardes
L'application de toutes ces exigences réduit la probabilité qu'une seule compromission élimine toutes les options de récupération.
Niveaux de rétention et durée
Votre politique de rétention des sauvegardes doit définir les périodes de conservation en fonction de la classification des données, des exigences réglementaires et des objectifs de restauration. Selon la Peer Community de Gartner, les praticiens distinguent généralement les copies de sauvegarde pour la reprise après sinistre (30 à 90 jours) et les données archivées pour la conformité (régies par des obligations sectorielles).
Deux objectifs temporels guident chaque décision de rétention :
- Recovery Point Objective (RPO) : L'ancienneté maximale acceptable des données à restaurer. Un RPO de quatre heures signifie que vous ne pouvez pas perdre plus de quatre heures de données.
- Recovery Time Objective (RTO) : Le temps d'indisponibilité maximal acceptable. Cela détermine la rapidité avec laquelle votre infrastructure de rétention doit fournir des points de restauration exploitables.
Ensemble, RPO et RTO déterminent la fréquence de création des sauvegardes et la rapidité avec laquelle votre infrastructure de rétention doit les servir lors d'un incident.
Immutabilité et contrôles d'accès
Les sauvegardes immuables utilisent la technologie WORM (Write Once Read Many) pour empêcher toute modification ou suppression, même par des administrateurs disposant de tous les privilèges. NIST SP 1800-25 établit que les systèmes de sauvegarde doivent restreindre l'accès à un seul compte de service sur des machines connues, appliquer le contrôle d'accès basé sur les rôles, MFA et séparer les cadres d'authentification de la production.
Ces mécanismes posent les bases, mais la façon dont vous structurez vos sauvegardes détermine l'efficacité de votre politique de rétention pour chaque niveau de données.
Types de sauvegardes et stratégies de rétention
Votre politique de rétention des sauvegardes doit prendre en compte les différentes méthodes de sauvegarde utilisées par votre organisation. Chaque type crée une chaîne de restauration différente, avec des compromis en termes de stockage, de rapidité et de risques.
- Sauvegardes complètes : Une sauvegarde complète copie toutes les données sélectionnées en une seule opération. NIST SP 800-34 recommande que les politiques précisent la fréquence des sauvegardes en fonction de la criticité des données et du rythme d'introduction de nouvelles informations. Les sauvegardes complètes se restaurent plus rapidement car un seul jeu de sauvegarde est nécessaire, mais elles consomment plus de stockage et prennent plus de temps à réaliser.
- Sauvegardes incrémentielles : Une sauvegarde incrémentielle capture uniquement les données modifiées depuis la dernière sauvegarde, quel qu'en soit le type. Chaque incrémentiel est petit et rapide, mais la restauration nécessite la dernière sauvegarde complète ainsi que tous les incrémentiels successifs. Si un maillon de cette chaîne est corrompu, vous perdez l'accès à tous les points de restauration suivants.
- Sauvegardes différentielles : Une sauvegarde différentielle capture toutes les modifications depuis la dernière sauvegarde complète, quel que soit le nombre de différentielles effectuées depuis. Les différentielles grossissent chaque jour mais se restaurent plus rapidement que les incrémentielles car seules deux sauvegardes sont nécessaires : la dernière complète et la dernière différentielle.
- Combinaison des méthodes avec la rotation GFS : La plupart des entreprises combinent ces méthodes via une rotation Grand-père-Père-Fils (GFS) : sauvegardes complètes hebdomadaires conservées plusieurs mois, différentielles ou incrémentielles quotidiennes conservées plusieurs semaines, et copies d'archives mensuelles ou annuelles conservées pour la conformité. Votre calendrier de rétention doit spécifier des durées différentes pour chaque niveau. Par exemple, les incrémentielles quotidiennes peuvent expirer après 14 jours, les complètes hebdomadaires après 90 jours, et les copies d'archives mensuelles après un à sept ans selon les exigences réglementaires.
Le type de sauvegarde choisi affecte également votre RPO. Les incrémentielles horaires offrent un RPO plus serré que les différentielles quotidiennes, mais créent des chaînes de restauration plus longues qui augmentent votre RTO. Associez chaque niveau de classification des données à la méthode de sauvegarde et à la durée de rétention qui équilibre ces objectifs.
Bonnes pratiques pour la politique de rétention des sauvegardes
Une politique de rétention des sauvegardes n'est efficace que si elle est appliquée. Chaque bonne pratique ci-dessous répond à un mode de défaillance observé lors d'incidents réels, de l'empoisonnement des sauvegardes et la compromission d'identité aux restaurations non testées et à la surveillance insuffisante.
1. Appliquer un stockage de sauvegarde immuable pour une durée minimale de 30 à 90 jours
Configurez des périodes de rétention immuables en fonction du temps moyen de présence des menaces dans votre organisation. L' avis CISA LockBit exige que toutes les données de sauvegarde soient chiffrées, immuables et couvrent l'ensemble de l'infrastructure de données de l'organisation.
Une fenêtre de 90 jours tient compte des compromissions lentes et persistantes que le NIST SP 800-209 décrit comme l'empoisonnement des sauvegardes, où les attaquants corrompent progressivement les copies sur plusieurs semaines avant de déclencher le chiffrement sur les systèmes de production. Des fenêtres plus courtes de 30 jours protègent contre les attaques détectées rapidement mais peuvent ne pas couvrir les temps de présence prolongés.
2. Mettre en œuvre un stockage isolé ou air-gapped
Vos sauvegardes immuables perdent leur valeur si les attaquants peuvent y accéder via les mêmes chemins réseau que ceux utilisés pour compromettre la production. Les recommandations du NIST NCCoE insistent sur une isolation complète via un air-gap physique (bande hors ligne ou support amovible sans aucune connectivité réseau) ou un air-gap logique (stockage en ligne avec politiques de rétention au niveau objet et séparation forte des identités). Dans tous les cas, les attaquants ne doivent pas pouvoir pivoter de votre plan d'identité de production vers votre plan de contrôle des sauvegardes.
3. Tester la restauration avec une tolérance zéro erreur
Le "0" du 3-2-1-1-0 signifie tolérance zéro pour les procédures de restauration non testées. Le NIST Cybersecurity Framework 2.0 exige explicitement que les sauvegardes soient testées, élevant cette exigence d'une bonne pratique à une obligation formelle de cybersécurité.
Établissez une cadence de tests adaptée à votre profil de risque :
- Validez la restauration des systèmes critiques chaque mois
- Effectuez des tests complets de restauration simulant des scénarios de ransomware chaque trimestre
- Réalisez des exercices de restauration complète de façon semestrielle ou annuelle pour la préparation à l'audit ISO 27001
Chaque test doit mesurer le temps réel de restauration par rapport à votre RTO et vérifier l'intégrité des données via des sommes de contrôle. Considérez tout test échoué comme un incident P1 et corrigez avant le cycle suivant.
4. Déployer des environnements de restauration isolés
Les recommandations du NIST NCCoE préconisent des environnements de restauration isolés (IRE) avec des coffres-forts de données immuables (IDV). Ce sont des environnements sécurisés et isolés où vous restaurez et analysez les données de sauvegarde sans réintroduire de logiciels malveillants. Votre IRE doit disposer de cadres d'authentification séparés, de segments réseau dédiés et de chemins d'accès administratifs indépendants.
5. Chiffrer les sauvegardes et séparer la gestion des clés
Appliquez le chiffrement AES-256 au repos et TLS 1.3 en transit selon les recommandations ISO 27001. Stockez les clés de chiffrement séparément des données de sauvegarde avec des attributions de rôles distinctes. Exigez la MFA pour toute opération de suppression de clé. Si un attaquant compromet à la fois vos données de sauvegarde et vos clés de chiffrement via le même accès, le chiffrement ne protège plus rien.
6. Intégrer la télémétrie des sauvegardes aux opérations de sécurité
Votre infrastructure de sauvegarde génère des signaux que votre SOC doit surveiller. NIST SP 800-61 établit que les systèmes de sauvegarde doivent s'intégrer aux capacités de réponse aux incidents. Alimentez la télémétrie des sauvegardes dans votre SIEM ou votre XDR et surveillez :
- Changements soudains de taille ou de durée des sauvegardes
- Tâches de sauvegarde sautées ou échouées
- Modèles de connexion inhabituels sur l'infrastructure de sauvegarde
- Tentatives inattendues de modification ou de suppression
Ces anomalies apparaissent souvent avant que le ransomware ne déclenche le chiffrement. La plateforme Singularity de SentinelOne peut corréler cette télémétrie avec les signaux des endpoints et du cloud, offrant à vos analystes une visibilité sur toute la chaîne d'attaque.
7. Maintenir des images maîtres et des sauvegardes d'infrastructure-as-code
Le guide CISA #StopRansomware recommande de maintenir des images maîtres des systèmes critiques et d'utiliser l'infrastructure-as-code (IaC) pour déployer les ressources cloud, en conservant les sauvegardes de modèles hors ligne. Gérez les versions de vos modèles IaC et auditez les modifications pour permettre une reconstruction complète de l'environnement.
8. Mettre en place une approbation par quorum pour les opérations destructrices
Aucun administrateur ne doit pouvoir supprimer ou modifier seul des sauvegardes immuables. Exigez une approbation par quorum (plusieurs personnes autorisées) pour toute opération réduisant le nombre de copies de sauvegarde, raccourcissant les périodes de rétention ou désactivant l'immutabilité. Cela protège à la fois contre les menaces internes et les comptes privilégiés compromis.
Une fois ces contrôles mis en œuvre, cartographiez les périodes de rétention et les preuves de tests à vos référentiels de conformité.
Exigences réglementaires de conformité pour la rétention des sauvegardes
Les périodes de rétention des sauvegardes ne sont pas que des décisions de sécurité. Ce sont des obligations de conformité avec des conséquences en matière d'audit et de droit. Le défi réside dans le fait que différents référentiels imposent des exigences différentes, et de nombreuses organisations relèvent de plusieurs d'entre eux. En cas de conflit entre référentiels, appliquez la période de rétention la plus longue tout en documentant la justification pour chaque niveau de classification des données.
HIPAA
HIPAA ne précise pas de durée de rétention pour les données de sauvegarde mais impose des procédures pour créer et maintenir des copies exactes récupérables des informations de santé électroniques protégées (ePHI) selon 45 CFR § 164.308(a)(7). La série HHS HIPAA exige une période minimale de conservation de six ans pour la documentation de sécurité.
RGPD
Les lignes directrices 4/2019 de l'EDPB exigent la suppression des données personnelles lorsqu'elles ne sont plus nécessaires. Le RGPD considère les sauvegardes comme un traitement selon les lignes directrices 9/2022 de l'EDPB, les soumettant à toutes les exigences de protection des données. Documentez la justification métier de chaque période de rétention.
PCI-DSS
PCI-DSS Exigence 10.7 impose une rétention d'un an des journaux d'audit avec trois mois immédiatement disponibles. L'exigence 3.1 impose une vérification trimestrielle de la suppression sécurisée des données stockées au-delà des périodes de rétention.
SOC 2
SOC 2 ne prescrit pas de périodes de rétention. Définissez les vôtres, documentez-les, appliquez-les de façon cohérente et démontrez l'efficacité des contrôles lors des audits.
Référentiel | Rétention des données de sauvegarde | Rétention de la documentation | Tests requis | Chiffrement requis |
HIPAA | Basé sur le risque (non spécifié) | 6 ans minimum | Oui | Spécification adressable |
RGPD | Limité à la finalité avec justification documentée | Selon le principe de responsabilité | Oui (restauration rapide) | Obligatoire selon l'article 32 |
PCI-DSS | Selon justification métier, vérification trimestrielle | 1 an de journaux d'audit (3 mois en ligne) | Implicite | Obligatoire pour les données de titulaires de carte |
SOC 2 | Défini et documenté par l'organisation | Selon la politique organisationnelle | Oui (critère de disponibilité) | Obligatoire (critère de sécurité) |
L'alignement sur la conformité est nécessaire mais insuffisant. Il faut aussi anticiper les modes de défaillance qui compromettent la rétention des sauvegardes en pratique.
Défis et limites des politiques de rétention des sauvegardes
Même les politiques de rétention bien conçues rencontrent des obstacles à la mise en œuvre qui apparaissent lors d'incidents réels plutôt qu'à l'étape de la planification. Les échecs les plus courants suivent un schéma : les organisations élaborent correctement la politique mais sous-estiment la façon dont les attaquants, les lacunes d'infrastructure et les angles morts opérationnels en réduisent l'efficacité au fil du temps.
Les groupes de ransomware ciblent d'abord les sauvegardes
Les attaquants recherchent les identifiants de sauvegarde, exploitent les solutions de sauvegarde non corrigées et corrompent délibérément l'infrastructure de restauration avant de déclencher le chiffrement sur les systèmes de production. Si votre infrastructure de sauvegarde partage le même référentiel d'identité que la production, un seul compte d'administrateur de domaine compromis peut éliminer toute votre capacité de restauration.
L'angle mort de l'infrastructure d'identité
Si Active Directory, les systèmes d'authentification et la gestion des accès privilégiés ne sont pas inclus dans votre périmètre de rétention, vous faites face à un paradoxe de restauration : des sauvegardes immuables existent, mais vous ne pouvez pas y accéder. Votre politique de rétention des sauvegardes doit inclure l'infrastructure d'identité comme cible de sauvegarde prioritaire.
Conflits de conformité entre référentiels
Le principe de minimisation des données du RGPD peut entrer en conflit avec des exigences de rétention plus longues imposées par HIPAA ou PCI-DSS. La gestion de ces conflits nécessite des calendriers de rétention granulaires et spécifiques aux données, avec une base légale documentée et une veille juridique continue.
Lacunes de surveillance et défaillances silencieuses
Si personne ne consulte les journaux ou alertes de sauvegarde, les défaillances passent inaperçues pendant des mois. Le stockage se remplit, des tâches de sauvegarde sont sautées sans notification, et la corruption n'est découverte qu'au moment de la restauration effective. L'intégration de la télémétrie des sauvegardes dans votre pile de surveillance de sécurité comble ce manque de visibilité.
Attaques programmées le week-end et les jours fériés
Les attaquants exploitent les fenêtres de surveillance réduite. Les groupes de ransomware programment délibérément leurs attaques pendant les périodes où la couverture du personnel informatique est la plus faible, augmentant la durée pendant laquelle les compromissions de sauvegarde passent inaperçues. Les capacités de surveillance et de réponse autonomes traitent cette vulnérabilité plus efficacement que la supervision manuelle seule.
Ces défis révèlent un point commun : les politiques de rétention des sauvegardes nécessitent une application continue, pas seulement une documentation. Combler cette lacune requiert une plateforme de sécurité autonome offrant une visibilité sur l'ensemble de votre environnement de restauration.
Améliorez la rétention des sauvegardes avec SentinelOne
Votre politique de rétention des sauvegardes définit les règles. Votre plateforme de sécurité détermine si ces règles tiennent face à une attaque. La plateforme Singularity de SentinelOne renforce la rétention des sauvegardes en stoppant le ransomware avant qu'il n'atteigne votre infrastructure de sauvegarde et en offrant à votre SOC la visibilité nécessaire pour détecter en temps réel les comportements ciblant les sauvegardes.
Rollback autonome contre le ransomware
SentinelOne utilise l'IA comportementale pour identifier et stopper l'activité ransomware à l'exécution, réduisant la probabilité que le chiffrement atteigne les systèmes critiques, y compris les serveurs de sauvegarde. Lorsque le ransomware chiffre des fichiers sur des endpoints Windows, la fonction de rollback de la plateforme utilise les clichés Volume Shadow Copy pour restaurer les fichiers affectés à leur état antérieur à l'attaque.
Protection de l'infrastructure de sauvegarde
Singularity Cloud Workload Security étend la protection en temps réel aux VM, serveurs, conteneurs et clusters Kubernetes hébergeant votre infrastructure de sauvegarde. La plateforme fournit une prévention des menaces à l'exécution et une réponse autonome sur les clouds publics, privés et les datacenters sur site, isolant les systèmes affectés et revenant à un état sûr sans intervention d'analyste.
Intégration AWS Backup
SentinelOne s'intègre à AWS Backup pour simplifier les workflows de restauration cloud. Lorsque Singularity Cloud Workload Security identifie une instance EC2 compromise, il interroge AWS Backup pour obtenir les informations de restauration et présente un lien de restauration directement depuis la console SentinelOne.
Purple AI pour l'investigation des anomalies de sauvegarde
Purple AI permet à vos analystes d'enquêter sur les accès suspects aux sauvegardes via des requêtes conversationnelles, réduisant le temps nécessaire à la validation des options de restauration lors de la réponse à incident. Les premiers utilisateurs rapportent que Purple AI accélère la chasse aux menaces et les investigations jusqu'à 80 % plus rapidement.
Singularity™ AI SIEM
Le Singularity™ AI SIEM de SentinelOne pour le SOC autonome est la plateforme ouverte la plus rapide du secteur pour toutes vos données et workflows. Elle est construite sur notre data lake et vous offre une protection IA en temps réel pour l'ensemble de l'entreprise. Vous bénéficiez d'une évolutivité illimitée et d'une rétention de données sans limite. Accélérez vos workflows avec l'Hyperautomation. Protégez vos endpoints, clouds, réseaux, identités, emails et plus encore. Diffusez vos données pour une détection en temps réel et activez une protection à la vitesse machine grâce à l'IA autonome. Vous bénéficiez également d'une visibilité accrue pour les investigations et détections avec la seule expérience console unifiée du secteur. Faites la visite.
Demandez une démo SentinelOne pour découvrir comment la protection autonome des sauvegardes s'intègre à votre environnement.
Cybersécurité alimentée par l'IA
Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.
Obtenir une démonstrationPoints clés à retenir
La rétention des sauvegardes est un contrôle de cybersécurité qui détermine si votre organisation se remet d'un ransomware ou paie. Mettez en œuvre le cadre 3-2-1-1-0 avec des copies immuables et isolées. Testez la restauration chaque trimestre avec une tolérance zéro erreur.
Alignez les calendriers de rétention des sauvegardes sur HIPAA, RGPD, PCI-DSS et SOC 2. Intégrez la télémétrie des sauvegardes à votre SOC. La plateforme Singularity de SentinelOne renforce ces stratégies grâce à une réponse autonome et une visibilité en temps réel sur votre environnement de restauration.
FAQ
Une politique de rétention des sauvegardes est un ensemble de règles qui définit la durée de conservation des copies de sauvegarde des données par votre organisation, l'emplacement de stockage de ces copies et le moment de leur suppression. Elle couvre la fréquence de création, les emplacements de stockage, les exigences d'immutabilité et les procédures d'élimination.
Les politiques de rétention sont régies par les exigences de cybersécurité, les obligations réglementaires telles que HIPAA et GDPR, ainsi que par les objectifs de reprise de votre organisation pour le RPO et le RTO.
Le cadre 3-2-1-1-0 s'appuie sur la règle traditionnelle 3-2-1 avec deux ajouts conçus pour la résilience face aux ransomwares. Le "1" supplémentaire exige une copie immuable ou isolée que les attaquants ne peuvent pas modifier, même avec des identifiants administrateur volés.
Le "0" impose une tolérance zéro pour les restaurations non vérifiées afin d'éviter de découvrir une corruption lors d'un incident actif. Cela transforme la rétention des sauvegardes d'une simple hygiène de stockage en un contrôle de reprise.
Les groupes de ransomwares volent des identifiants, souvent en vidant la mémoire sur les terminaux administrateur, puis accèdent aux consoles et référentiels de sauvegarde. Ils exploitent les logiciels de sauvegarde non corrigés, modifient les plannings de tâches pour créer des failles de couverture et tentent de supprimer ou de réduire les paramètres de rétention.
Certains acteurs empoisonnent également les sauvegardes au fil du temps afin que la restauration réintroduise la persistance. Votre objectif est de bloquer les chemins d'accès, d'appliquer l'immutabilité et de vérifier régulièrement les restaurations.
L'empoisonnement des sauvegardes se produit lorsque des attaquants corrompent progressivement les sauvegardes pendant leur temps de présence, de sorte que chaque point de restauration récent est compromis. Lorsque le chiffrement est finalement déclenché, vous restaurez et réintroduisez l'attaquant.
Les fenêtres de rétention immuable doivent dépasser le temps de présence typique dans votre environnement. De nombreuses entreprises commencent avec 30 à 90 jours d'immutabilité, puis ajustent en fonction de leur vitesse de détection et de leur tolérance au risque globale.
Si des attaquants compromettent Active Directory ou votre fournisseur d'identité, vous pouvez perdre la capacité de vous authentifier sur les systèmes qui hébergent vos sauvegardes. Les données existent, mais vous ne pouvez pas y accéder en toute sécurité ni prouver leur intégrité.
Sans sauvegardes d'identité, il faut souvent reconstruire le domaine, les comptes de service et les relations d'approbation avant de restaurer les applications de production. Ce délai peut transformer une restauration de quelques heures en plusieurs jours.
