Binary code data flows through the cracked seal of a vault.

Ce que j’ai appris en étendant zéro confiance à la couche de stockage

Lucas Morel

Vous pensez que vos sauvegardes sont sûres? Les attaquants ne le font pas. Zéro confiance pour le stockage peut être la seule chose entre vous et la catastrophe.

Lorsque j’ai commencé à réfléchir sérieusement à l’application de principes de confiance zéro à la couche de stockage, ce n’était pas à cause de la présentation de papier blanc ou de fournisseur. C’est à cause de ce que j’ai vu se produire lors d’un incident de ransomware qui me tient toujours debout la nuit. Les attaquants n’ont pas seulement ciblé les systèmes de production; Ils sont également allés après des sauvegardes. À ce moment-là, j’ai réalisé que nous nous trompions sur ce à quoi ressemblait la vraie résilience.

Cette expérience de pointe intestinale m’a appris quelque chose de crucial: si votre couche de stockage n’est pas prête pour la confiance, tout ce que vous avez construit est debout sur des sables mouvants. Ce n’est plus théorique. Regardons ce qui est arrivé à changer de santé en février 2024. Les assaillants ne se sont pas arrêtés avec le chiffrement de leurs données; Ils ont également systématiquement détruit la capacité de l’organisation à récupérer en ciblant des sauvegardes qui n’étaient pas correctement isolées. Mois de chaos. Milliards de pertes. Tout cela parce que le stockage a été traité comme une réflexion après coup de confiance.

Les chiffres peuvent être effrayants. Les attaques de ransomwares continuent de devenir plus fréquentes et plus dévastatrices. Nous ne faisons pas seulement face à plus d’attaques – nous avons affaire à des attaques plus intelligentes. Le ransomware d’aujourd’hui ne se contente pas de crypter vos fichiers. Des souches comme Qilin sont spécialement conçues pour traquer et détruire vos sauvegardes. Dire Wolf va encore plus loin, rendant la restauration techniquement impossible. Les criminels ont industrialisé leur approche avec des plates-formes de ransomwares en tant que service, telles que MEDUSA, et ciblent spécifiquement la seule chose sur laquelle nous avons toujours compté: notre capacité à récupérer.

Pourquoi le stockage reste notre talon d’Achille

Après des années à aider les organisations à mettre en œuvre zéro confiance pour les réseaux, les identités et les applications, j’observe systématiquement le même modèle: le stockage est souvent négligé. Chaque. Célibataire. Temps.

J’ai identifié trois raisons qui continuent de se produire:

  1. Le stockage est invisible. La plupart des équipes le considèrent comme une «infrastructure back-end»; quelque chose de passif qui se trouve simplement là. Cependant, la réalité est que les techniques d’attr & CK de l’agent telles que T1485 (destruction des données) et T1490 (récupération du système inhibit) sont spécifiquement ciblées au stockage. Les attaquants savent exactement où nous frapper, et nous pensons toujours au stockage comme des paysages au lieu d’un champ de bataille.
  2. C’est vraiment complexe. Essayez d’appliquer des politiques cohérentes entre plusieurs fournisseurs de cloud, régions et systèmes sur site. J’ai vu des équipes passer des mois à cartographier leur empreinte de stockage, sans parler de la sécuriser.
  3. Nous avons hérité de mauvaises hypothèses. Pendant des années, nous avons traité les données comme «de confiance» simplement parce que l’application l’accès était sécurisée. Mais que se passe-t-il lorsqu’un attaquant contourne complètement l’application et va directement aux API de stockage? Jeu terminé.

3 principes qui fonctionnent réellement

Après avoir mis en œuvre la fiducie zéro de la couche de stockage dans plusieurs organisations, j’ai réalisé l’importance de charger ce défi autour de trois principes de leadership pour s’assurer que les résultats stratégiques sont compris par les dirigeants.

1. Contrôler où les données peuvent être touchées

Les commandes de périmètre pour le stockage nécessitent la définition de limites de stratégie claires afin que seuls les réseaux et les environnements de confiance puissent utiliser des API de stockage, plutôt que de compter sur un seul pare-feu.

Dans un déploiement que j’ai LED, nous avons utilisé des limites de réseau pour empêcher l’étalement interrogé dans un environnement cloud multi-locataire. Le résultat a été immédiat: même avec des informations d’identification valides, un attaquant à l’extérieur du périmètre n’avait pas de voie vers des ensembles de données sensibles.

La leçon importante ici? Faites «nier par défaut» la norme organisationnelle et traiter chaque demande d’exception comme une décision de risque.

2. Contrôlez qui peut le toucher et quand

La gestion de l’identité et de l’accès (IAM) pour le stockage doit aller au-delà des affectations de rôles statiques. Cela signifie:

  • Le moins privilège: Seules les autorisations nécessaires, seulement aussi longtemps qu’elles sont nécessaires.
  • Séparation des tâches: Différentes personnes contrôlent les droits d’accès et les paramètres de rétention.
  • Accès juste à temps: Privilèges accordés pour une tâche spécifique, puis révoqué automatiquement.

Ce changement a été difficile – les développeurs craignaient que la perte de vitesse et les opérations n’aime pas les étapes d’approbation supplémentaires. Mais lier le JIT à des privilèges clairs et à des réductions d’audit a fait l’adoption.

3. Rendre des données intouchables

L’immuabilité écrite-once-read-many (worm) n’est pas seulement une case à cocher de conformité; C’est une sauvegarde stratégique. Une fois appliqué, un verrouillage de rétention garantit que même les initiés privilégiés ne peuvent pas modifier ou supprimer les données protégées tant que le verrouillage expire.

J’ai vu la différence que cela fait. Dans une simulation, un «attaquant» avec des références administratifs a pu essuyer des ensembles de données entiers à l’exception des sauvegardes immuables. C’était la différence entre une crise à part entière et une récupération rapide.

Pour les dirigeants, le point à retenir est clair: l’immuabilité vous achète, qui sont les deux choses que vous voudrez le plus au milieu d’un incident.

Quand le stockage n’était pas prêt: des cours du monde réel

Chaque brèche majeure nous apprend quelque chose. Ces attaques partagent toutes une communauté terrifiante – les attaquants ont ciblé les points de récupération aussi agressivement que les systèmes primaires.

Maersk (2017) a eu de la chance de la pire façon possible. Lorsque NotPetya a éliminé son infrastructure mondiale, y compris les sauvegardes du contrôleur de domaine, les seules données survivantes proviennent d’un seul serveur au Ghana qui avait été hors ligne en raison d’une panne de courant. Une panne de courant. C’est ce qui se tenait entre un géant du transport maritime et une annihilation numérique complète.

JBS Foods (2021) avait des sauvegardes qui ont survécu à l’attaque de Revil. Ils ont quand même payé une rançon de 11 millions de dollars. Pourquoi? Parce que le rétablissement aurait pris plus de temps que leur entreprise pourrait survivre. Avoir des sauvegardes ne suffit pas – vous avez besoin d’une récupération assez rapide pour maintenir votre entreprise en vie.

Miljödata (2025) illustre l’évolution des attaques de la chaîne d’approvisionnement. Un fournisseur informatique suédois a été touché et, soudain, 200 municipalités n’ont pas pu traiter la masse salariale. Si vos fournisseurs critiques ne suivent pas les principes de fiducie zéro pour le stockage, leurs vulnérabilités deviennent également vos vulnérabilités.

DaVita (2025) a fait face au cauchemar à double expression – 1,5 To de données sur les patients volées et des systèmes cryptés. Le groupe interlock a demandé une rançon pour les deux menaces. Une architecture complète de la fiducie zéro contrecarre directement: les contrôles de périmètre rendent l’exfiltration des données plus difficile à atteindre non, tandis que les sauvegardes immuables suppriment l’effet de levier des exigences basées sur le cryptage.

En regardant à travers l’objectif de gouvernance

Lorsque je présente ces principes aux équipes de direction, je me concentre sur trois résultats clairs pour les dirigeants: réduction des risques, résilience et conformité. Les dirigeants doivent s’assurer que la surface d’attaque de la couche de données se rétrécit, que les points de récupération survivront si les défenses en amont échouent et que les politiques de rétention et d’accès sont mappées à des réglementations clés, telles que Sec 17A-4 (F) ou HIPAA.

La politique en tant que code a changé la donne ici – non pas parce qu’elle est «DevOps-Cool», mais parce qu’elle offre aux dirigeants un historique de changement véritable et révisable pour chaque contrôle critique. Pour le conseil d’administration, cela signifie que nous pouvons répondre à des questions comme: «Comment savez-vous que les sauvegardes sont verrouillées?» En soulignant directement le journal de validation de la politique, en démontrant la transparence et la responsabilité.

Leçons des tranchées

Extension de zéro confiance au stockage n’est pas un projet de week-end. Voici ce que je souhaite que quelqu’un m’ait dit avant de commencer:

  • Attendez-vous à un recul sur la vitesse et la complexité, mais l’automatisation, simple Les flux de travail et les métriques d’exception peuvent démontrer que la réduction des risques n’a pas besoin de nuire à la productivité.
  • Les simulations comptent plus que vous ne le pensez. L’exécution d’une table ransomware sans tester votre récupération de stockage, c’est comme effectuer un foret d’incendie sans vérifier que les sorties sont fonctionnelles. Vous ne savez pas si votre stratégie résiste jusqu’à ce que vous le testiez sous pression.
  • Les chefs de finance peuvent devenir vos plus grands alliés. J’ai appris à amener tôt les directeurs financiers dans le processus de conception. Une fois qu’ils ont compris comment les politiques de rétention se sont traduites par l’assurance du rétablissement et la protection contre les paiements de rançon de plusieurs millions de dollars, ils sont devenus champions pour le financement.

La question difficile

Si vous êtes responsable de la cyber-résilience de votre organisation, demandez-vous ceci: si un attaquant avait des informations d’identification valides et un accès au réseau en ce moment, pourraient-ils compromettre vos points de récupération?

Si vous avez répondu «oui» ou «je ne suis pas sûr», alors votre stratégie de frustres zéro est incomplète.

N’attendez pas que les attaquants soient à l’intérieur pour trouver des lacunes de stockage. Zero Trust for Storage est un impératif commercial pour la survie, pas seulement une mise à niveau technique.

Nous devons arrêter de traiter le stockage comme une infrastructure invisible et commencer à le traiter comme la surface d’attaque active que c’est vraiment. Parce que lorsque tout le reste échoue, la vitesse et la certitude de votre rétablissement seront la seule chose qui se situe entre votre organisation et votre catastrophe.

Cet article est publié dans le cadre du réseau de contributeurs d’experts Foundry.
Vous voulez rejoindre?

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

A young man in a white hat and a white and blue striped shirt juggles balls on a white background
La cybersécurité n’est pas sous-financée, elle est sous-gérée
Qui livre le Darknet | Chouette noire
Qui livre le Darknet | Chouette noire
Comment justifier vos investissements en sécurité
Comment justifier vos investissements en sécurité