Sulley
/
grimboite
1
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity
grimboite/articles/home/sauvegardes-la-regle-de-tro...

4.9 KiB
Raw Blame History

Sauvegardes: la règle de trois

Liens supplémentaires:

TL; DR

Chaque fichier indispensable doit se trouve a minima sur trois solutions de sauvegarde: deux en local, une à distance.

Pour les solutions en local:

  • Choisissez une solution autorisant un RAID 1. Ce n'est pas une solution de sauvegarde, juste une prévention au cas où un disque meurt.
  • Investissez dans un disque externe

Pour les solutions à distance:

  • Trouvez une personne en qui vous pouvez avoir confiance et qui pourra héberger vos données.

En détails

Petite histoire du vendredi soir: Papa m'appelle pour taper la discute et m'annonce au milieu de la conversation qu'il y a un truc bizarre à l'écran: Vos fichiers ont été chiffrés, payez-nous pour récupérer la clé. Berf. Bouge pas, j'arrive.

Le gros stress. Le truc que je garde dans un coin de mon esprit, pour essayer de trouver une solution complète qui couvre tous les cas de foirage. Et j'étais sûr d'avoir oublié quelque chose, mais je ne savais pas quoi. Est-ce que j'ai bien configuré les sauvegardes? Est-ce qu'elles sont complètes? Est-ce qu'elles sont toujours accessibles ?

Deux-trois considérations à prendre en compte:

  1. Cette saloperie ne fait pas que chiffrer les fichiers: elle détruit également les sauvegardes et l'historique des fichiers Windows, pour peu qu'ils soient accessibles par l'utilisateur (et elles l'étaient). Concrètement il suffit qu'un des fichiers de conf' soit chiffré pour que Windows n'arrive plus à restaurer quoi que ce soit.
  2. Les dernières versions des ransomwares sont encore plus fourbes: elles chiffrent les fichiers et la MBR (et forcent un reboot de la machine; seule solution: avoir des sauvegardes à l'extérieur).

Pour ma part, j'ai installé un #Synology. L'avantage de ce genre de brol, est que cela fonctionne presque out-of-the-box, avec un installeur en mode clicodrôme (next-next-finish). Le désavavantage, c'est qu'il faut aller un cran plus loin pour avoir une protection réelle. Explications.

Cloud Station Backup / Cloud Station Sync

Un des premiers trucs à activer sur les postes clients: Cloud Station Backup. Après création des répertoires utilisateurs sur le NAS, cette application permet de sélectionner certaines répertoires et fichiers, pour qu'ils soient automatiquement sauvegardés vers le répertoire /volumeX/homes/<user>/Backup.

Le problème, c'est que la synchronisation intervient en presque-temps-réel: il suffit de réaliser un chouia trop tard que la machine a été infectée pour que la synchronisation ait déjà eut lieu. Ce cas se présente également si on utilise [Cloud Station Drive][https://www.synology.com/fr-fr/dsm/6.1/cloud_file_syncing], qui est grosso-modo un ersatz de Dropbox, OneDrive et consorts. Par rapport à ces solutions privées, il n'y a en effet aucun historique de versions, à moins que...

Synology Hyper Backup

... à moins d'avoir activer une règle de sauvegarde via Hyper Backup. L'idée ici est d'utiliser une solution propriétaire (beurk) qui s'occupera de créer un snapshot à partir d'autres informations présentes sur le disque.

Techniquement, ces snapshots sont supposés se trouver sur un autre volume que les données. En pratique, ce n'est pas toujours faisable. L'avantage d'Hyper Backup est de proposer une solution de roulement intelligent. On a en fait deux possibilités:

  1. Soit un backup est réalisé à intervalle régulier (tous les lundis, quotidiennement, à 19h, etc.), et on ne conserve que les X dernières versions.
  2. Soit les sauvegardes sont conservées sur [...]

Sauvegarde à distance

Pour la sauvegarde à distance, on a à nouveau plusieurs possibilités. La plus simple étant de partir d'office des données présentes sur le NAS, et de le laisser faire ses transferts en dehors des heures de bureau. Il n'est en effet pas nécessaire de plomber votre connexion Internet à un moment où vous pourriez en avoir besoin. Faites ça lui nuit :)

Outils

En résumé, on a besoin des outils suivants:

  1. Une sauvegarde en local, par le système d'exploitation: Windows Restore, File History, whatever.
  2. Une sauvegarde à distance vers un serveur accessible, si possible au travers d'un réseau rapide (Ethernet Cat5 minimum - visez le Gigabit)
  3. Un système de réplicat / snapshots
  4. Un envoi à intervalle régulier de ces snapshots.

Au niveau de la sécurité, pensez à vérifier les points suivants:

  1. Les utilisateurs locaux n'ont pas besoin d'un accès à toute la machine. Essayez de les identifier en tant qu'utilisateurs normaux.
  2. Que les processus de sauvegarde soient exécutés par des utilisateurs isolés.

Petit schéma qui poutre: