Sauvegarde et récupération d'Active Directory

Accélérer AD Forest Recovery après une cyberattaque

Réduisez les temps d'arrêt et augmentez la résilience opérationnelle grâce à une restauration rapide, automatisée et sans logiciels malveillants de la forêt Active Directory après une cyberattaque.

Gagner du temps en récupérant AD après une cyberattaque

Lorsque votre Active Directory est détruit par une cyberattaque, le temps presse pour rétablir l'accès aux applications et services critiques de l'entreprise. Les sauvegardes de données traditionnelles qui incluent AD ne sont d'aucune utilité : ces sauvegardes contiendront probablement des logiciels malveillants. Pour vous remettre complètement d'une cyber-catastrophe, vous avez besoin d'une récupération automatisée de la forêt AD vers un état de sécurité connu. Sans une technologie et des processus de récupération des cyberattaques spécifiques à AD, votre entreprise est en danger.

Rapport Microsoft Digital Defense :
76%
des organisations ne disposent pas de plans efficaces de récupération et de gestion des cyberattaques
Rapports d'enquête Semperis
68%
des organisations n'ont que peu ou pas du tout confiance dans leur plan de reprise d'activité
Rapports de Maersk :
300 millions de dollars
de coûts liés à la récupération de l'attaque NotPetya, y compris la récupération d'AD

Récupération de la forêt AD sans logiciel malveillant

Parce que 9 attaques sur 10 impliquent AD d'une manière ou d'une autre, vous avez besoin d'un plan de sauvegarde et de récupération de la forêt AD testé et adapté à la cybernétique afin de réduire le risque de temps d'arrêt invalidant pour l'entreprise après une attaque.

Sauvegarde sans logiciels malveillants

Assurez-vous que votre sauvegarde AD est exempte de logiciels malveillants pour prévenir les attaques futures.

Récupération automatisée

Réduisez les temps d'arrêt en automatisant l'ensemble du processus de récupération de la forêt AD.

Analyse post-incident

Accélérez l'analyse post-incident et fermez les portes dérobées.

Récupérer AD après une cyberattaque n'est pas chose aisée

Les sauvegardes traditionnelles ne facilitent pas la récupération des forêts Active Directory

Bien que de nombreuses organisations s'appuient sur des solutions traditionnelles de protection des données ou de restauration à l'état brut, ces approches n'aideront pas à la restauration d'AD dans le cas d'une cyberattaque. Nik Simpson, analyste chez Gartner, a déclaré dans son rapport « How to Protect Backup Systems from Ransomware Attacks » (Comment protéger les systèmes de sauvegarde des attaques de ransomware) que les dirigeants qui se concentrent sur la sécurisation de l'infrastructure des centres de données devraient « accélérer la récupération après les attaques en ajoutant un outil dédié à la sauvegarde et à la récupération de Microsoft Active Directory ». En l'absence d'une restauration spécifique à AD, les entreprises risquent de subir des pertes de revenus, des temps d'arrêt, des atteintes à leur réputation et des litiges pendant qu'elles s'efforcent de restaurer AD et de rétablir l'accès aux applications et aux services qui alimentent les activités de l'entreprise. Voici quelques-unes des raisons pour lesquelles les sauvegardes traditionnelles ne sont pas adaptées à la récupération d'AD après un cyberincident :

  • Réintroduction potentielle de logiciels malveillants : en cas de cyberattaque, les sauvegardes de données traditionnelles peuvent contenir des rootkits, des ransomwares ou d'autres logiciels malveillants.
  • Perte de données : les logiciels malveillants restent latents pendant des semaines ou des mois avant d'être découverts, ce qui augmente le risque qu'ils soient restaurés avec la sauvegarde.
  • Interruptions prolongées : les sauvegardes de données traditionnelles ne permettent pas de relever les défis importants liés à l'installation du matériel, à l'extraction des sauvegardes et à la reconstruction d'AD.
En savoir plus
La restauration manuelle d'une forêt AD prend du temps et est sujette aux erreurs

La restauration d'une forêt AD à l'aide des directives de Microsoft (un processus en 28 étapes) peut prendre des jours, voire des semaines. Lorsque des logiciels malveillants affectent les activités de l'entreprise, vous ne pouvez pas vous permettre de perdre du temps en récupérant AD par le biais d'un processus manuel. En cas de cyberincident nécessitant la restauration d'AD, vous devez être en mesure de :

  • restaurer simultanément plusieurs forêts AD
  • restaurer AD plus rapidement que vous ne pourriez le faire manuellement en automatisant le processus, réduisant idéalement le temps de récupération de plusieurs jours ou semaines à quelques minutes ou heures
  • restaurer AD sans réintroduire de logiciels malveillants
  • restaurer AD même si vos DC sont infectés ou effacés
  • fournir rapidement un nouveau matériel physique ou virtuel pour la restauration
  • mettre en place et tester facilement votre plan de restauration de la forêt AD
En savoir plus
Notre mission fait écho auprès des leaders du secteur
Gartner Peer Insights

S'il y a une chose dont vous avez besoin en cas d'attaque d'Active Directory, parmi toutes les solutions existantes, c'est bien ADFR. Avec d'autres solutions de sauvegarde, rien ne peut garantir que vous ne réintroduisez pas de logiciels malveillants.

Gestionnaire senior de la sécurité Cabinet de conseil international
Affaires mondiales

Lorsque j'ai vu Semperis ADFR pour la première fois, j'en ai presque pleuré de joie. C'est exactement ce que j'attendais d'un outil de récupération AD. Au fil des ans, j'ai eu de nombreuses préoccupations concernant AD Forest Recovery, et Semperis les a toutes résolues.

En savoir plus InfoSec Identity and Directory Lead Global Fortune 500 Retailer
Gartner Peer Insights

Active Directory Forest Recovery est une solution de récupération éprouvée qui fonctionne à chaque fois.

Lire l'avis Ingénieur responsable IAM, Sécurité informatique et gestion des risques Entreprise du secteur de la santé et de la biotechnologie
Logo de Prime Healthcare

Le fait d'avoir placé ADFR au centre de notre plan de reprise après sinistre nous a rassurés, car nous savons désormais que si un incident se reproduit et touche les DC, nous disposons d'un plan d'action direct.

En savoir plus David Yancey Ingénieur principal des systèmes à Prime Healthcare

Questions fréquemment posées sur la sauvegarde et la restauration d'Active Directory

Une sauvegarde de récupération à chaud (BMR) permet-elle de restaurer AD après une cyberattaque ?

Bien qu'il soit historiquement un moyen pratique de récupérer un serveur entier, le BMR présente plusieurs inconvénients dans le cas d'une attaque AD.

Le premier est la réintroduction potentielle de logiciels malveillants. Le BMR sauvegarde et restaure tout ce qui se trouve sur le contrôleur de domaine (DC), y compris le système d'exploitation, le registre et les fichiers système. Dans le cas d'une cyberattaque, la sauvegarde peut contenir des rootkits, des ransomwares ou d'autres logiciels malveillants installés par des acteurs de la menace. Lorsque vous restaurez la sauvegarde, ces DLL et exécutables malveillants seront restaurés en même temps que la sauvegarde.

Le deuxième est la perte de données. Il peut être difficile de déterminer la fenêtre temporelle d'une sauvegarde exempte de logiciels malveillants si, comme dans le cas de nombreuses cyberattaques récentes, les logiciels malveillants restent latents pendant des semaines ou des mois avant d'être découverts. Plus vous devez remonter dans le temps pour trouver une sauvegarde propre, plus vous perdez de données.

Le troisième inconvénient de la récupération par BMR est la prolongation des pannes. Le BMR prolonge le temps de rétablissement de plusieurs façons :

  • Configuration matérielle : le BMR est conçu pour la récupération de matériel correspondant, de sorte que vous dépendez d'une autre infrastructure qui pourrait ne pas fonctionner en raison de l'attaque.
  • Récupération des sauvegardes : étant donné que les sauvegardes BMR contiennent l'intégralité du système, elles sont volumineuses. Les sauvegardes plus volumineuses consomment plus de stockage et de bande passante et prennent plus de temps à restaurer, en particulier lorsqu'elles sont stockées sur le cloud.
  • Reconstruction d'AD : la restauration d'AD à partir d'une ancienne sauvegarde BMR nécessite de recréer les changements de répertoire, de reconfigurer les applications, de rejoindre les postes de travail, ce qui prend du temps et retarde la restauration.
  • Sélection des sauvegardes :la recherche d'une sauvegarde BMR propre est un processus itératif (récupérer, monter, extraire, tester, répéter) qui prend du temps, ce qui retarde d'autant la restauration.
Quels sont les critères à prendre en compte dans une solution de sauvegarde et de restauration AD pour couvrir les cyberincidents ?

Pour garantir la restauration d'AD dans un scénario de cyberattaque, vous devez pouvoir :

  • restaurer plusieurs forêts AD
  • restaurer AD plus rapidement que vous ne le feriez manuellement en automatisant le processus. Idéalement en quelques minutes ou quelques heures.
  • restaurer AD sans réintroduire de logiciels malveillants
  • restaurer AD même si vos DC sont infectés ou effacés
  • fournir rapidement un nouveau matériel physique ou virtuel pour la restauration
  • mettre en place et tester facilement votre plan de restauration de la forêt AD
  • effectuer facilement des analyses post-incident après la violation pour s'assurer que les logiciels malveillants ont été éradiqués (vous restaurez AD dans un environnement propre).
Nous avons virtualisé nos contrôleurs de domaine. Puis-je utiliser des snapshots de DC pour la sauvegarde et la restauration AD ?

Non. En effet, les instantanés DC ne remplacent pas une solution de sauvegarde et de restauration AD spécialement conçue pour les cyberincidents, et ce pour plusieurs raisons. Tout d'abord, une forêt récupérée à partir d'instantanés présentera des problèmes de cohérence des données. Deuxièmement, si des logiciels malveillants se trouvaient sur les DC au moment de l'instantané, vous ne ferez que restaurer ces logiciels malveillants. Troisièmement, vous devez reconstruire les serveurs que vous ne restaurez pas à partir des instantanés, ce qui constitue un processus manuel long et sujet aux erreurs. Pour plus de détails à ce sujet, consultez «Pourquoi les instantanés DC ne remplacent pas les sauvegardes Active Directory ». Quatrièmement, Microsoft ne recommande pas les instantanés DC pour la reprise après sinistre. 

Les sauvegardes AD doivent-elles être stockées hors ligne ?

Les sauvegardes AD hors ligne sont essentielles dans toutes les stratégies globales de protection des données. En possédant des sauvegardes sur un serveur non relié à un domaine, les entreprises peuvent s'assurer d'un point de départ sûr pour la restauration AD. Pour renforcer la sécurité, il est recommandé de protéger les sauvegardes contre l'écrasement en utilisant une méthode de stockage hors ligne testée et sécurisée. Il est également possible d'utiliser des outils tiers pour copier les images de sauvegarde vers le stockage blob d'Azure ou d'AWS pour une redondance accrue. Pour plus d'informations, consultez «Les choses à faire et à ne pas faire en matière de récupération AD ».

Réduire les temps d'arrêt liés aux cyberattaques grâce à la sauvegarde et à la restauration automatisées d'AD

Quelle est la vitesse de restauration d'AD après une cyberattaque ? Apprenez comment assurer une sauvegarde et une restauration AD rapides grâce à ce guide étape par étape des experts en sécurité et restauration AD de Semperis.

Télécharger le guide de sauvegarde et de restauration AD
Notre mission fait écho auprès des leaders du secteur

Découvrez d'autres solutions de sécurité et de récupération AD