SLAM / B3 / M3.4 / C3.4.3 — Séance 2

🔄 Rédaction du PRA & Tests de restauration

Bloc 3 Module 3.4 Séance 2/2 BTS SIO SLAM
FormationBTS SIO option SLAM — IRIS Mediaschool
BlocB3 — Cybersécurité des services informatiques
ModuleM3.4 — Disponibilité, intégrité et confidentialité
Durée3h30 (5 min rappel · 70 min théorie · 90 min TP · 10 min synthèse)
PrérequisC3.4.3 Séance 1 — BIA, RTO/RPO, 3-2-1, BorgBackup configuré
ContexteInnovatTech SARL — hyperviseur Proxmox, sauvegardes BorgBackup, DC01 Windows Server

🎯 Objectifs

  • Savoir rédiger un PRA opérationnel en 8 sections testables
  • Exécuter un runbook de restauration Active Directory (8 étapes)
  • Réaliser une restauration de VM sous Proxmox (snapshot + rollback)
  • Produire un compte-rendu d'exercice avec écarts et actions d'amélioration

🔥 Accroche — 70% des PME n'ont jamais testé leur PRA

En 2023, l'ANSSI recommande de tester son PRA au minimum une fois par an. Sur les PME auditées, 70% n'ont jamais testé leur PRA — soit parce qu'il n'existe pas, soit parce qu'on « n'a pas le temps ». Résultat : lors d'un vrai incident, on découvre que les sauvegardes ne restaurent pas, que le runbook est obsolète, ou que personne ne sait quoi faire. Ce cours vous apprend à rédiger ET à tester.

📖 Section 1 — Structure d'un PRA opérationnel

Un PRA n'est pas un document théorique. C'est un manuel opérationnel précis et reproductible par un technicien ayant les droits d'accès mais pas forcément la connaissance exhaustive du système.

Les 8 sections obligatoires

SectionContenu
1. CouvertureTitre, version, date, auteur, approbation direction
2. Périmètre et objectifsServices couverts, RTO/RPO issus de la BIA
3. Déclencheurs d'activation3-4 scénarios avec seuils quantifiables
4. Équipe de crise5 rôles avec responsabilités et coordonnées
5. Ordre de restaurationListe priorisée (réseau → AD → serveurs → NAS)
6. Runbook DC01Restauration Active Directory — 8 étapes avec commandes
7. Communication de criseMessage client type, message interne, obligations légales
8. Procédure de test annuelComment tester, périmètre, compte-rendu

Déclencheurs — exemples avec seuils

  • Ransomware détecté (chiffrement sur > 2 serveurs applicatifs)
  • Incendie déclaré dans le datacenter ou local technique
  • DC01 hors service depuis > 2 heures (authentification impossible)
  • Perte de connectivité Internet > 4 heures impactant la production

Ordre de restauration — dépendances InnovatTech

pfSense (réseau)            ← priorité 1 : réseau requis pour tout
     │
     ▼
DC01 Windows Server (AD + DNS)  ← priorité 2 : auth/résolution
     │           │
     ▼           ▼
Serveurs Debian  Postes Win11
     │
     ▼
NAS Synology (données + sauvegardes)  ← priorité 3-4

📖 Section 2 — Runbook : restauration Active Directory (DC01) en 8 étapes

Prérequis : accès console VM via Proxmox, mot de passe DSRM en coffre-fort, accès au partage de sauvegarde (NAS Synology Z:), compte local Administrateur.

Étape 1 — Décision et isolement

# Déconnecter la VM du réseau (depuis Proxmox CLI)
qm shutdown 100 --skiplock; qm set 100 --net0 ''

Étape 2 — Redémarrage en DSRM

bcdedit /set {current} safeboot dsrepair
shutdown /r /t 0
# → Se reconnecter avec le compte DSRM local

Étape 3 — Monter le partage de sauvegarde

net use Z: \\nas-synology\wb-backups /user:INNOVATTECH\backupuser

Étape 4 — Identifier la version de sauvegarde

wbadmin get versions -backupTarget:Z:

Étape 5 — Restaurer le System State

# Adapter la version identifiée à l'étape 4
wbadmin start systemstaterecovery -version:03/21/2024-22:00 -backupTarget:Z: -quiet

Étape 6 — Retirer DSRM et redémarrer

bcdedit /deletevalue {current} safeboot
shutdown /r /t 0

Étape 7 — Vérifications post-restore

Import-Module ActiveDirectory

# Vérifier les contrôleurs de domaine
Get-ADDomainController -Filter * | Format-Table Name,HostName,IPv4Address

# Tests complets
dcdiag /v
repadmin /replsummary
netdom query fsmo
nslookup dc01.innovattech.local

Étape 8 — Remise en production

# Réactiver l'interface réseau dans Proxmox
qm set 100 --net0 virtio,bridge=vmbr0
# Informer l'équipe et documenter dans le registre PRA

📖 Section 3 — Haute disponibilité et sauvegardes immuables (Proxmox)

# Créer un snapshot Proxmox
qm snapshot 101 snap-avant-incident --description "Avant incident simulé"
qm listsnapshot 101

# Restaurer depuis snapshot
qm rollback 101 snap-avant-incident

# Sauvegarde vzdump
vzdump 100 --storage backup-local --mode snapshot
pvesm status

# Restaurer une VM depuis un backup vzdump
qmrestore /var/lib/vz/dump/vzdump-qemu-100-2024_02_20-08_00.vma.zst 100 --storage local-lvm
# Borg en mode append-only (sauvegardes immuables)
borg init --encryption=repokey --append-only /mnt/immutable-backup/innovattech
# Le mode append-only empêche la suppression des archives existantes

🛠️ TP — Rédaction PRA + Exercice de restauration Proxmox (90 min)

Partie 1 — Rédiger le PRA d'InnovatTech (50 min)

Produire un document PRA (3-4 pages) couvrant les 8 sections listées. Le document doit être opérationnel et suffisamment détaillé pour être exécuté par un tiers. Inclure :

  • Runbook DC01 complet avec les commandes PowerShell
  • Runbook Debian Srv01 avec BorgBackup (6 étapes ci-dessous)
  • Message client type et message interne type

Runbook Debian Srv01 — restauration BorgBackup (6 étapes)

# 1) Préparer l'environnement
ssh admin@srv01.innovattech.local
sudo apt update && sudo apt install -y borgbackup
sudo systemctl stop monservice

# 2) Exporter les variables Borg
export BORG_REPO=/mnt/nas/borg/srv01
export BORG_PASSPHRASE='votre-passphrase-securisee'

# 3) Lister les archives
borg list $BORG_REPO

# 4) Restaurer
borg extract $BORG_REPO::2024-02-20
# Ou extraire uniquement /var/www
# borg extract $BORG_REPO::2024-02-20 var/www

# 5) Vérifier les permissions
ls -l /var/www
sudo chown -R www-data:www-data /var/www

# 6) Redémarrer et tester
sudo systemctl start monservice
systemctl status monservice
curl -I http://localhost:8080/health

Partie 2 — Exercice de restauration Proxmox (30 min)

# 1. Snapshot avant incident
qm snapshot 101 snap-avant-incident --description "Avant incident simulé"

# 2. Vérifier
qm listsnapshot 101

# 3. Simuler l'incident (supprimer un fichier d'application dans la VM)
# [connexion SSH dans la VM et suppression d'un fichier de test]

# 4. Restaurer depuis snapshot
qm rollback 101 snap-avant-incident

# 5. Vérifier que le service est revenu à l'état normal
# [connexion SSH et tests applicatifs]

Partie 3 — Compte-rendu d'exercice

ChampÀ remplir
Date / Heure début-finYYYY-MM-DD HH:MM → HH:MM
ParticipantsNoms des intervenants
PérimètreVM IDs testées, services
Durée réelle de restaurationHH:MM
RTO cible (DC01)02:00
ÉcartDurée réelle − RTO cible
Difficultés rencontrées(ex. mot de passe DSRM introuvable, NAS lent)
Actions d'amélioration2-3 mesures concrètes
⚠️ Consignes de sécurité du TP
  • Ne jamais tester une restauration complète en production — utilisez des clones ou un réseau de test isolé
  • Stocker les mots de passe DSRM et clés Borg dans un coffre-fort (HashiCorp Vault, KeePass) documenté dans le PRA
  • Vérifier que le dépôt Borg est isolé et immuable si possible

💬 Synthèse finale — Bilan du Bloc B3

Qu'est-ce qui distingue un PRA bien rédigé d'un PRA efficace ?

Un PRA bien rédigé est précis et complet. Un PRA efficace est un PRA qui a été testé, corrigé après l'exercice, et tenu à jour. La différence se mesure lors d'un vrai incident : les équipes qui ont pratiqué le PRA restaurent dans les délais (RTO), les autres découvrent des erreurs sous pression. La cybersécurité est une discipline d'équipe — technique ET organisationnelle — et un processus continu.

📝 QCM — Testez vos connaissances

  1. Quelle commande PowerShell Windows permet de restaurer l'état du système Active Directory (System State) depuis une sauvegarde WBADMIN ?
  2. Quelle commande Proxmox permet de créer un snapshot rapide d'une VM (ID 101) avant un exercice de restauration ?
  3. Quelle est la différence entre une restauration AD non autoritaire et une restauration autoritaire, et dans quel cas utilise-t-on chacune ?
  4. Vrai ou Faux — Un PRA bien rédigé mais jamais testé offre les mêmes garanties qu'un PRA testé annuellement.
  5. Quels 3 éléments doit contenir un compte-rendu d'exercice de restauration pour être exploitable et permettre l'amélioration continue ?
📝 Afficher les corrections
  1. wbadmin start systemstaterecovery -version:<VERSION> -backupTarget:Z: -quiet — restaure l'état du système (AD, registre, fichiers système) depuis la cible de sauvegarde identifiée. La version est obtenue via wbadmin get versions -backupTarget:Z:.
  2. qm snapshot 101 snap-avant-incident --description "Avant incident simulé" — crée un point de restauration rapide sur la VM Proxmox ID 101 sans arrêt de service. Rollback : qm rollback 101 snap-avant-incident.
  3. Restauration non autoritaire (standard) — laisse la réplication AD réconcilier les données avec les autres DC. Restauration autoritaire (ntdsutil) — force l'état restauré sur toute la forêt AD, écrasant les réplicas. La restauration autoritaire est utilisée uniquement lorsqu'un objet ou OU supprimé doit être récupéré sur tous les contrôleurs.
  4. Faux — un PRA non testé peut contenir des erreurs invisibles à la lecture (procédures obsolètes, mots de passe manquants, dépendances oubliées, chemins de sauvegarde erronés) qui ne seront découvertes qu'en situation réelle d'incident, sous pression.
  5. Durée réelle vs RTO cible, difficultés rencontrées, actions d'amélioration — ces 3 éléments permettent d'évaluer objectivement la performance du PRA (est-on dans les délais ?), d'identifier les points de blocage, et de planifier les corrections pour le prochain exercice.
← C3.4.3 Séance 1 Fin du Bloc B3 🎓