Qu'est-ce qu'un air gap ?

Alors que les ransomwares évoluent d'une simple perturbation à une extorsion sophistiquée et paralysante, les stratégies de sécurité traditionnelles de type "château et fossé" se retrouvent de plus en plus dépassées. Lorsque un acteur de menace est déjà à l'intérieur du réseau, comment garantir que vos actifs les plus critiques restent intouchables ?

La réponse réside dans un concept aussi ancien que la sécurité elle-même : l'isolement total. Cette stratégie est connue sous le nom d'air gap. C'est l'équivalent numérique d'un coffre-fort, une mesure de sécurité qui garantit qu'un réseau informatique, un système ou un dispositif de stockage est physiquement et logiquement isolé des réseaux non sécurisés, y compris l'internet public et les LAN d'entreprise locaux.

air_gap.png

Améliorer la protection des données avec des air gaps

Que signifie "air gapping" ?

Au cœur de cela, en tant que pratique de sécurité des données, cela définit un état de sécurité où un ordinateur, un réseau ou un système de stockage est physiquement isolé de tous les autres réseaux, en particulier ceux non sécurisés comme l'internet public ou un réseau local.
 

Le terme dérive de l'espace littéral d'air qui existe entre le dispositif déconnecté et le reste du monde numérique, signifiant que les données ne peuvent pas traverser électroniquement entre les deux environnements.
 

Cet isolement englobe la suppression ou la désactivation de ponts potentiels tels que les cartes Wi-Fi, la capacité Bluetooth et les connexions Ethernet câblées, garantissant que le seul moyen de déplacer des données à l'intérieur ou à l'extérieur du système est par des supports de transport, tels qu'un disque amovible ou une bande sécurisée, sous une stricte supervision humaine.

Origines du concept en cybersécurité

La stratégie remonte à des environnements militaires et gouvernementaux à enjeux élevés où la compromission d'informations classifiées pourrait menacer la sécurité nationale.
 

Utilisée à l'origine pour protéger les systèmes de commandement et de contrôle nucléaires, les bases de données de renseignement et les infrastructures industrielles critiques, la pratique a été conçue pour se défendre contre l'espionnage et le sabotage pendant la guerre froide.
 

Ces premières mises en œuvre ont établi le protocole de maintien de réseaux distincts sécurisés (souvent appelés "rouge") et non sécurisés ("noir"), garantissant que même si le périmètre extérieur était violé par un adversaire, les secrets fondamentaux restaient physiquement inaccessibles et immunisés contre les tentatives de piratage à distance.

Pourquoi l'air gapping reste pertinent aujourd'hui

Malgré la poussée moderne pour l'intégration dans le cloud et la connectivité permanente, la pertinence de l'air gapping a augmenté plutôt que diminué, principalement en raison de l'industrialisation des ransomwares et de la cyber-guerre destructrice.
 

Les logiciels malveillants modernes sont conçus pour se déplacer latéralement à travers les réseaux, chassant activement les sauvegardes à chiffrer ou à supprimer avant de déclencher une demande de rançon ; cependant, un environnement air-gapped neutralise complètement ce vecteur de menace car le code malveillant n'a pas de chemin physique pour atteindre la cible isolée.
 

En conséquence, les organisations dans les secteurs de la finance, de la santé et des infrastructures critiques reviennent de plus en plus à cette approche déconnectée pour créer une dernière ligne de défense immuable, garantissant qu'une "copie dorée" de leurs informations survive même à une compromission catastrophique à l'échelle du domaine.

Comment fonctionne un air gap ?

Un espace d'air fonctionne sur un principe de déconnexion absolue. Alors que la sécurité réseau standard repose sur des filtres logiciels, un espace d'air repose sur l'absence physique d'un support de transmission.

Pour y parvenir, le système protégé a généralement ses cartes NIC retirées ou désactivées. Il n'y a pas de câbles Ethernet branchés, pas d'antennes Wi-Fi actives et pas de radios Bluetooth activées. Le système devient effectivement une île, invisible au reste de l'océan numérique.

Puisque le système ne peut pas communiquer via des protocoles réseau standard, le transfert d'informations repose sur une méthode manuelle. Pour déplacer des données dans l'environnement isolé, un utilisateur doit physiquement copier des fichiers sur un support amovible et les apporter à la machine isolée. Ce processus crée un point d'intervention humaine obligatoire.

Ce flux de travail manuel introduit une friction significative qui agit comme une caractéristique de sécurité. Parce qu'il n'y a pas de connexion persistante, un hacker ne peut pas exécuter un shell de commande à distance, exfiltrer des données en temps réel ou se déplacer latéralement d'un poste de travail infecté au serveur de sauvegarde. Le seul pont à travers le fossé est temporaire, physique et strictement contrôlé.

Types de configurations d'espace d'air

Les organisations mettent en œuvre des espaces d'air à travers diverses configurations architecturales, allant de dispositifs déconnectés simples à des coffres d'entreprise sophistiqués. Ces configurations sont choisies en fonction de l'équilibre entre les exigences de sécurité et le besoin d'accessibilité opérationnelle.

  • Systèmes isolés autonomes : C'est la configuration la plus basique, consistant en un seul ordinateur ou serveur qui n'a absolument aucune connexion d'interface réseau. Il est utilisé principalement pour des tâches hautement sensibles, telles que la gestion de l'autorité de certification racine ou le traitement de documents classifiés, où l'entrée et la sortie se font strictement via des supports amovibles inspectés.
     
  • Bibliothèque de bandes de sauvegarde : Une configuration traditionnelle mais très efficace où les données de sauvegarde sont écrites sur des cartouches de bande magnétique. Une fois la sauvegarde terminée, les bandes sont éjectées de la bibliothèque robotique et transportées vers un site de stockage sécurisé hors site, créant un fossé littéral entre les données et le réseau.
     
  • Diodes de données matérielles: Cette configuration utilise un dispositif matériel spécialisé qui impose un flux d'informations unidirectionnel au niveau physique. Les données peuvent être envoyées dans le réseau à haute sécurité (par exemple, pour archiver des journaux), mais aucun signal ne peut physiquement revenir au réseau source, rendant impossible pour un attaquant d'envoyer des signaux de commande et de contrôle.
     
  • Appareils de sauvegarde à air gap: Ce sont des appareils de stockage conçus pour rester hors ligne par défaut. Le système se connecte physiquement ou logiquement au réseau de production uniquement pour la durée précise d'une fenêtre planifiée, après quoi il se déconnecte immédiatement ou s'éteint pour minimiser la surface d'attaque.
     
  • Coffres de récupération gérés: Dans cette configuration, les données critiques sont répliquées dans un environnement isolé (souvent une salle blanche) qui est complètement séparé du répertoire de production et des services réseau. Ce coffre est géré par un ensemble distinct de credentials et d'administrateurs pour empêcher un attaquant avec des privilèges administratifs volés d'accéder aux copies sécurisées.

Avantages de l'air gapping

La mise en œuvre d'une stratégie d'air gap offre le plus haut niveau de défense pour les actifs les plus critiques d'une organisation. En détachant physiquement les données du réseau, les entreprises obtiennent plusieurs avantages stratégiques que les solutions purement logicielles ne peuvent pas reproduire.

  • Protection contre les ransomwares et les malwares: Le principal avantage est sa capacité à arrêter le mouvement latéral des malwares auto-propagants ; parce qu'il n'y a pas de connexion physique pour que le code traverse, les ransomwares qui encryptent le réseau de production ne peuvent pas atteindre ou infecter les copies, préservant un état propre pour la récupération.
  • Prévention de l'accès non autorisé: L'air gapping neutralise efficacement les tentatives de piratage à distance et les intrusions non autorisées car un acteur de menace ne peut pas exploiter les vulnérabilités, forcer des mots de passe ou utiliser des credentials compromis pour accéder à un système qui est invisible au réseau et à Internet.
  • Assurer l'intégrité et la conformité: De nombreux cadres réglementaires (tels que le RGPD, HIPAA et les normes financières) exigent des mesures strictes pour garantir que les données n'ont pas été altérées ; l'air gapping satisfait à ces exigences de conformité rigoureuses en garantissant qu'une fois les données archivées dans l'environnement isolé, elles restent immuables et inchangées par des forces externes.
  • Récupération après sinistre et continuité des affaires: Une sauvegarde à air gap sert de "police d'assurance" ultime ou de "copie d'or", garantissant que même dans un scénario catastrophe où l'ensemble de l'environnement de production est effacé ou verrouillé, l'organisation conserve un ensemble d'informations récupérables pour reprendre ses opérations.

Défis et limitations de l'isolement physique

Bien que l'isolement physique offre une sécurité supérieure, il introduit une friction opérationnelle et une complexité significatives qui peuvent entraver l'agilité. La dépendance aux transferts de données manuels empêche la synchronisation en temps réel, ce qui signifie que les données séparées sont toujours légèrement obsolètes par rapport à l'environnement de production en direct.

De plus, l'isolement n'est pas absolu ; le pont nécessaire utilisant des supports amovibles comme des clés USB crée une vulnérabilité où des logiciels malveillants peuvent être manuellement transportés à travers le fossé, comme l'a démontré le ver Stuxnet, rendant des protocoles de décontamination rigoureux et de sécurité physique tout aussi critiques que la déconnexion elle-même.

Isolement logique vs physique

Bien que l'isolement physique "vrai" traditionnel soit physique, les environnements modernes emploient souvent une isolation logique pour atteindre des objectifs de protection similaires avec une plus grande agilité.

Un isolement physique est l'approche "classique" où le système est complètement déconnecté de l'infrastructure. Il n'y a pas de câblage, pas de Wi-Fi, et le matériel se trouve dans un emplacement séparé ou dans un rack sécurisé.

En revanche, un isolement logique repose sur la segmentation du réseau et des contrôles logiciels pour créer une isolation. Les données de sauvegarde peuvent se trouver sur le même réseau que l'environnement de production, mais elles sont logiquement invisibles et inaccessibles aux utilisateurs et applications standard. Cela est réalisé en utilisant des politiques de stockage immuables (WORM - Écrire une fois, Lire beaucoup), des domaines d'authentification distincts et des configurations de réseau à zéro confiance qui rejettent tout le trafic sauf les flux de sauvegarde spécifiques et autorisés.

Cas d'utilisation de l'isolement physique dans divers secteurs

Les technologies d'isolement physique sont essentielles dans les secteurs à enjeux élevés où la compromission des données peut avoir des conséquences physiques ou financières catastrophiques. Dans les secteurs gouvernementaux et militaires, les isolements physiques sont le protocole standard pour protéger les renseignements top secrets et les systèmes de contrôle des armes contre l'espionnage étranger.

Les opérateurs d'infrastructures critiques, tels que les centrales électriques et les installations de traitement de l'eau, s'appuient sur des systèmes de contrôle industriel (ICS) et des réseaux SCADA isolés pour prévenir les attaques qui pourraient mettre en danger la sécurité publique.

Pendant ce temps, les institutions financières utilisent des réseaux isolés pour sécuriser les terminaux de transaction SWIFT et les livres de comptes bancaires centraux contre la fraude, et les organisations de santé adoptent de plus en plus des sauvegardes immuables et logiquement isolées pour protéger les dossiers sensibles des patients contre la menace croissante des logiciels malveillants ciblant la disponibilité des hôpitaux.

Meilleures pratiques pour mettre en œuvre des isolements physiques

Mettre en œuvre un isolement physique n'est pas une tâche "à mettre en place et à oublier" ; cela nécessite une discipline rigoureuse pour rester efficace contre des menaces comme les ransomwares.

  • Définir des contrôles d'accès stricts : Limiter l'accès physique à l'environnement isolé à un nombre minimum de personnes vérifiées et appliquer une "règle des deux personnes" pour les opérations critiques afin de prévenir les menaces internes.
     
  • Assainir les médias amovibles: Établissez une station de scan obligatoire pour analyser tous les lecteurs USB ou disques externes pour des logiciels malveillants avant qu'ils ne soient connectés au système sécurisé.
     
  • Automatiser l'isolement logique: Si vous utilisez un air gap logique, assurez-vous que le magasin est immuable (WORM) et géré par un système d'authentification complètement séparé (par exemple, non connecté au répertoire d'entreprise principal).
     
  • Tester régulièrement le temps de réponse: Un air gap est inutile si les données ne peuvent pas être récupérées ; planifiez des exercices périodiques pour récupérer physiquement, monter et restaurer des données de l'environnement isolé afin de vérifier l'intégrité et les temps de récupération.

Air Gap vs Autres Mesures

Bien que les outils de sécurité standard soient essentiels pour la défense quotidienne, ils fonctionnent sur des réseaux connectés, tandis qu'un air gap repose sur une isolation totale.

  • Air gap vs pare-feu et IDS: Les pare-feu et les systèmes de détection d'intrusion (IDS) filtrent le trafic en fonction de règles et de signatures, mais si une exploitation de jour zéro contourne ces filtres logiciels, le réseau est exposé ; un air gap, en revanche, empêche physiquement tout flux de trafic, rendant les exploits à distance impossibles, quelles que soient les vulnérabilités logicielles.
     
  • Air gap vs segmentation de réseau: La segmentation de réseau (en utilisant des VLAN) limite le mouvement latéral en divisant un réseau en zones plus petites, mais ces zones restent en réalité connectées et potentiellement traversables via des erreurs de configuration ou le vol d'identifiants ; un air gap supprime complètement la connexion, offrant une frontière physique plus nette que la segmentation logique ne peut émuler.
     
  • Air gap vs isolement basé sur le cloud: L'isolement basé sur le cloud (souvent appelé "sauvegarde immuable") crée un air gap logique en verrouillant les données contre les modifications (WORM) dans un environnement connecté ; bien qu'il soit très efficace pour la récupération rapide des logiciels malveillants, il manque la déconnexion absolue d'un air gap physique, qui protège contre les compromissions à l'échelle de la plateforme ou les menaces internes avec un accès cloud administratif.

Comment OVHcloud met en œuvre les concepts de sécurité de l'air gap

OVHcloud intègre les principes d'isolement et d'immuabilité dans son architecture pour fournir une protection robuste qui reflète le gapping traditionnel.

  • Isolement des données et solutions de sauvegarde de données sécurisées: La solution d'archive froide d'OVHcloud utilise la technologie de bibliothèque de bandes IBM pour stocker des données hors ligne pour une rétention à long terme ; cela fournit un équivalent moderne et automatisé d'un air gap physique où les données sont écrites sur bande et physiquement découplées de l'écosystème de disque actif jusqu'à ce qu'une récupération soit demandée.
     
  • Préparation anti-ransomware et récupération après sinistre: En prenant en charge le verrouillage d'objet (WORM) sur son stockage d'objets compatible S3, OVHcloud permet aux utilisateurs de créer des sauvegardes immuables qui ne peuvent pas être cryptées, modifiées ou supprimées par des logiciels malveillants ou des acteurs malveillants pendant une durée déterminée, créant ainsi effectivement un air gap logique pour un temps de réponse immédiat en cas de sinistre.
     
  • Approche de conformité et de souveraineté d'OVHcloud: OVHcloud veille à ce que les données restent en réalité et légalement séparées grâce à son cadre rigoureux de souveraineté des données ; les données sont stockées dans des centres de données localisés (à l'abri des lois extraterritoriales comme la loi CLOUD américaine pour les clients non américains) et protégées par des contrôles d'accès physiques stricts, garantissant que le "écart" protège à la fois contre les menaces cybernétiques et les risques géopolitiques.

OVHcloud et la sécurité de l'air gap

Bien que le concept d'un air gap ait été à l'origine basé sur une isolation physique stricte, les fournisseurs de cloud modernes comme OVHcloud ont évolué ces principes pour répondre aux exigences d'un monde hyper-connecté et d'un cloud distribué. En combinant du matériel dédié, un stockage immuable et un réseau privé,

Public Cloud Icon

Disaster Recovery as a Service (DRaaS) ;

Pour combler le fossé entre la sécurité hors ligne et la disponibilité en ligne, OVHcloud s'associe à Zerto et Veeam pour offrir une réplication automatisée vers un environnement sécurisé géographiquement séparé.

Voir plus
Public Cloud Icon

Sauvegarde et Stockage d'Objets

OVHcloud propose une approche par paliers de l'isolation qui inclut à la fois des options logiques et physiques. La solution "Cold Archive" fournit un véritable air gap physique en stockant des données sur des bandes magnétiques dans des bibliothèques robotiques qui sont hors ligne par défaut.

Voir plus
Public Cloud Icon

Services Réseau & Sécurité

La technologie de réseau privé vRack permet aux organisations de construire leurs propres segments de réseau isolés qui s'étendent à travers le monde sans jamais traverser Internet public.

Voir plus
Public Cloud Icon

Private Cloud

Pour le plus haut niveau de souveraineté et d'isolation, le Cloud Privé Hébergé d'OVHcloud fournit une plateforme cloud dédiée à un seul client sur site qui est, dans un sens physique, séparée des autres clients.

Voir plus