L’Air gapping est une stratégie de cybersécurité qui isole un système ou un ensemble de données de tous les réseaux non sécurisés ou externes, y compris l’Internet public et les réseaux locaux internes de l’entreprise. L’objectif est simple mais puissant : Éliminez toute voie numérique potentielle permettant aux cybermenaces d’atteindre des systèmes ou des données critiques. En supprimant ou en limitant fortement la connectivité réseau, les environnements isolés agissent comme une zone tampon, protégeant les actifs de grande valeur contre les compromissions externes, la propagation de logiciels malveillants ou les accès non autorisés.
À la base, un « air gap » (parfois également appelé « air wall ») est une barrière d’isolation de couche de contrôle qui peut être implémentée de manière physique (aucune interface réseau) ou logique (chemins d’accès strictement contrôlés). La principale différence entre un système isolé par air gap et un système non isolé est la connectivité. Un serveur de sauvegarde non isolé peut être accessible via des API ou des partages SMB. Et un serveur isolé ? Il ne parle à rien, ou ne parle que dans des conditions très étroitement réglementées et surveillées.
Ce concept est utilisé depuis longtemps dans les systèmes militaires, de renseignement et d’infrastructures critiques où la confidentialité, l’intégrité et la capacité de survie sont primordiales. Mais aujourd’hui, il devient également un outil essentiel dans les environnements commerciaux, en particulier pour protéger les sauvegardes immuables, les archives de conformité et les ressources de reprise après sinistre contre les menaces modernes telles que les ransomwares.
Types d’air gaps
L’air gapping peut être mis en œuvre selon plusieurs approches architecturales, chacune impliquant des différences en matière de sécurité, de facilité de gestion et de complexité opérationnelle. Voici un aperçu plus approfondi des types les plus courants :
Air gap physique
Un air gap physique désigne un système complètement déconnecté de toute interface réseau, filaire ou sans fil. Il n’y a pas de ports Ethernet connectés, pas de radios Wi-Fi activées et aucune route vers un réseau externe ou interne. La seule façon d’entrer ou de sortir des données est d’utiliser des supports amovibles, tels que des clés USB, des disques durs externes ou des bandes. Il s’agit de la forme d’air gapping la plus sécurisée, car elle n’offre aucune surface d’attaque numérique, mais c’est aussi la plus lourde sur le plan opérationnel. Les transferts de données sont lents, manuels et sujets à l’erreur humaine. Cela pose également des défis pour la vérification de l’intégrité et l’automatisation, à moins que des contrôles sécurisés supplémentaires (par exemple, la signature hors ligne, la validation de la somme de contrôle) ne soient mis en œuvre.
Exemple : Les systèmes critiques des centrales nucléaires utilisent souvent des réseaux physiquement isolés pour empêcher toute communication externe, garantissant ainsi la sécurité de fonctionnement et la conformité réglementaire.
Air gap logique
Un air gap logique maintient la connectivité réseau, mais impose de strictes limites d’accès en mode software-defined. Ces systèmes sont segmentés au niveau de la couche réseau ou applicative à l’aide de pare-feu, de VLAN, de stratégies IAM, de listes de contrôle d’accès (ACL) et d’une authentification basée sur les rôles. L’idée de base est de rendre les données logiquement inaccessibles à partir d’environnements à usage général. Par exemple, les données de sauvegarde peuvent résider sur un système qui se trouve dans une zone de sécurité distincte, accessible uniquement via une interface de gestion dédiée ou une API contrôlée. Les air gaps logiques sont plus faciles à maintenir que les air gaps physiques. Ils prennent en charge l’automatisation et sont plus évolutifs. Toutefois, ils nécessitent une configuration méticuleuse et un audit continu pour éviter tout risque d’exposition accidentelle ou de mauvaise configuration.
Exemple : Une institution financière segmente son infrastructure de sauvegarde dans un VLAN distinct avec des listes de contrôle d’accès strictes, de sorte que même si le réseau de production est compromis, les données de sauvegarde restent intactes.
Air gap réseau
Un air gap réseau sépare les systèmes en insérant des voies de communication contrôlés et unidirectionnels entre les zones. Ces configurations incluent souvent des diodes de données, des synchronisations unidirectionnelles, des passerelles API ou des proxys en lecture seule qui permettent aux données d’entrer, mais pas d’en sortir. Cela permet de limiter l’exfiltration de données ou le reflux de commande/contrôle, ce qui est crucial dans les environnements sécurisés. Par exemple, un système de production peut exporter des journaux vers une archive d’audit en écriture seule qui accepte les données via un mécanisme de transmission sécurisé, mais ne répond jamais. Ce type d’air gapping offre un équilibre entre l’isolation et la facilité d’utilisation, bien qu’il nécessite généralement du matériel spécialisé ou des configurations proxy personnalisées pour assurer l’intégrité directionnelle.
Exemple : Un entrepreneur de la défense utilise des diodes de données matérielles pour envoyer des données de télémétrie à partir de systèmes internes classifiés à des outils de surveillance externes sans exposer aucun chemin de communication de retour.
Air gap opérationnel
Un air gap opérationnel ne repose pas uniquement sur l’architecture : il utilise des contrôles basés sur le temps ou les processus pour restreindre l’accès aux données critiques. Les systèmes peuvent être maintenus hors ligne ou démontés par défaut, uniquement mis en ligne pendant des créneaux horaires spécifiques ou sous surveillance manuelle. Les implémentations courantes incluent des règles de pare-feu planifiées, le montage de volumes sécurisés déclenché par l’administrateur ou le basculement des points d’accès basé sur cron. Cette méthode dépend fortement de la discipline opérationnelle et comporte un risque d’erreur humaine, mais elle est utile lorsque l’isolement à temps plein n’est pas pratique. C’est souvent le cas dans les workflows de sauvegarde, où le stockage n’est exposé que brièvement pour l’ingestion ou la récupération des données.
Exemple : Un fournisseur de soins de santé monte son stockage de sauvegarde pendant une heure par nuit, pendant laquelle seules les tâches de sauvegarde y ont accès, puis le déconnecte automatiquement du réseau.
Soft Air Gap
Un soft air gap fait référence à un système de stockage qui reste accessible sur le réseau, mais qui met en œuvre une immuabilité stricte et des protections basées sur des politiques qui le rendent fonctionnellement résistant à la falsification ou à la suppression. Ce n’est pas d’un air gap au sens classique du terme (les données sont toujours accessibles via des API), mais il fonctionne comme un air gap car les données ne peuvent pas être modifiées, écrasées ou supprimées pendant une période de conservation définie, même par des utilisateurs privilégiés.
Ce modèle est généralement réalisé à l’aide de S3 Object Lock, de la gestion des versions et de l’application WORM (write-once-read-many), souvent en mode de conformité ou de gouvernance. Une fois configurées, les politiques de conservation garantissent que les données sont immuables et à l’abri de la suppression, ce qui constitue une protection solide contre les ransomwares et les menaces internes, tout en conservant les avantages de l’automatisation et de l’accessibilité à distance.
Exemple : une société de médias archive des ressources de production dans un magasin d’objets compatible S3 avec le verrouillage d’objet activé, garantissant qu’aucun contenu ne peut être supprimé ou modifié pendant la période de gel de l’édition, même par des administrateurs ou des systèmes automatisés.
Avantages de l’Air Gapping
L’air gapping n’est pas seulement un modèle de sécurité théorique, il offre une valeur opérationnelle tangible dans plusieurs domaines. Lorsqu’il est mis en œuvre correctement, il améliore non seulement la sécurité, mais aussi la conformité et la durabilité des données.
- Protection contre les ransomwares : les ransomwares modernes recherchent souvent des sauvegardes et des clichés instantanés pour les chiffrer ou les supprimer avant de cibler les données principales. Les systèmes isolés, de par leur conception, sont inaccessibles, ce qui les rend immunisés contre cette étape de la chaîne de destruction.
- Préservation de l’intégrité des données : En isolant les données des voies de modification, l’air gapping garantit que les données stockées restent inaltérées au fil du temps. Ceci est crucial pour les industries réglementées et les cas d’utilisation d’archivage à long terme où la résistance à l’altération n’est pas négociable.
- Résilience contre les menaces internes : les air gaps réduisent les risques posés par d’éventuels initiés malveillants ou compromis, en limitant les systèmes accessibles aux collaborateurs. Si les limites d’accès sont correctement appliquées, même des identifiants d’administrateur n’autoriseront pas à modifier les données isolées par air gap.
- Conformité aux mandats réglementaires : Des cadres tels que SEC 17a-4, FINRA, HIPAA et GDPR exigent une conservation des données immuable et vérifiable. L’air gapping, surtout lorsqu’il est associé à des stratégies de verrouillage et de conservation des objets, aide à démontrer la conformité technique.
- Assurance de reprise après sinistre : en cas de violation généralisée, d’erreur de configuration ou de compromission du système, les données isolées par air gap servent de source de récupération propre et fiable, ce qui permet une reprise après sinistre plus rapide et plus fiable.
Conclusion
Dans un monde où les cybermenaces contournent de plus en plus les défenses traditionnelles et ciblent directement les infrastructures de sauvegarde et de restauration, l’air gapping est redevenu une couche fondamentale de la cyber-résilience. Qu’il soit mis en œuvre physiquement, logiquement ou par le biais d’une immuabilité imposée par des règles, l’objectif reste le même : garantir la protection des données critiques contre toute compromission, corruption ou suppression, même dans le pire des scénarios.
Concevoir une stratégie d’air gap efficace exige un équilibre entre la sécurité, l’automatisation et l’agilité opérationnelle. C’est là que les systèmes de stockage défini par logiciel comme DataCore Swarm entrent en jeu. En tant que plateforme de stockage objet sur site compatible S3, Swarm prend en charge les principes fondamentaux de l’air gapping grâce au verrouillage d’objets immuables, au contrôle d’accès granulaire et à la segmentation du réseau. Il permet ainsi aux entreprises de créer des protections de type air gap, sans pour autant sacrifier l’évolutivité ni l’efficacité.
Finalement, l’air gapping n’est pas juste une méthode d’isolation, mais une question de survie. Et dans le paysage actuel des menaces, cela pourrait faire toute la différence.
