Le mieux est l’ennemi du bien. S’il y a un domaine dans lequel cet adage ne se vérifie pas, c’est bien dans celui de la sauvegarde informatique. Pour protéger ses données, les entreprises n’en font jamais trop. C’est d’autant plus vrai depuis l’explosion des menaces ransomware.
La dernière cyberattaque en date a d’ailleurs été jugée sans précédent par l’Office Européen de Police Europol. Et ce n’est pas fini. Adista vous livre ici un ‘état de l’art’ de la sécurisation des données.

Commencer par prendre conscience des risques…
Virus, vol, erreur de manipulation, incendie, sinistre… Les entreprises sont fortement vulnérables face à la perte de données. 84% des entreprises européennes ont été victimes de 1 à 5 incidents impliquant la perte, la fuite ou l’exposition de données sur l’année 2016 (contre 82% au niveau mondial).*

Les conséquences sont très souvent importantes. La perte de données engendre des conséquences commerciales, financières, stratégiques souvent telles que l’organisation ne parvient pas toujours à se ‘relever’. A savoir que la responsabilité civile d’un dirigeant peut même être engagée si par une faute caractérisée de sa part, telle l’absence de politique rigoureuse de préservation de ses données, l’entreprise subit une perte de données qui lui serait très dommageable. Parce que, oui, des solutions existent.

… de plus en plus importants
Avec la multiplication des menaces -de type ransomware notamment mais pas seulement- jamais le besoin de sauvegarder ses données n’a été aussi grand. Selon la dernière étude Euler Hermes-DFCG, 8 entreprises sur 10 ont subi au moins une tentative de fraude en 2016, et 22 % des entreprises françaises ont été victimes de rançongiciels.

La dernière cyberattaque en mai dernier, avec les virus Wannacry, puis Adylkuz, a été déclarée sans précédent. Elle a causé de nombreux vols de données et arrêts d’opérations massivement reportés dans les médias. Pourtant très peu de clients Adista ont été impactés par Wannacry. Adista communique en effet régulièrement sur ce type de menaces et sur la conduite à tenir pour éviter de se faire piéger, et avait lancé un bulletin d’information dès l’annonce de Wannacry. La prévention est donc une première sécurité, toutefois elle ne suffit pas.

Même si les collaborateurs d’une entreprise suivent scrupuleusement les conseils pour éviter de se faire ‘hameçonner’, les risques sont toujours là. Nicolas Arpagian, le rédacteur en chef de la revue Prospective Stratégique, précise que ces attaques deviennent malheureusement inévitables. Il parle même d’une culture de la résilience. En bref, la prévention face à ces menaces c’est bien mais s’armer face à elles, c’est mieux.

Définir une politique de sauvegarde
En cas de sinistre, la sauvegarde est le dernier recours. Il est donc indispensable de bien l’envisager et de définir une stratégie rigoureuse.

• Le périmètre de sauvegarde

Celle-ci doit être adaptée à l’entreprise, à son fonctionnement, à ses caractéristiques : volume de données, vitesse de l’évolution des données, quantité d’information que l’on accepte de perdre, durée de conservation de l’information, etc. C’est tout un périmètre qu’il faut définir.

• La périodicité

Il s’agit également de mettre en place une périodicité de sauvegarde en adéquation avec les besoins de l’entreprise. La périodicité va dépendre de la criticité et de la fréquence de modification des données.

• Les tests

Une sauvegarde se surveille, se supervise, se monitore. Sa criticité mérite qu’on la teste régulièrement, voire très régulièrement. La qualité d’une sauvegarde se juge aussi à sa facilité à être restaurée : avant de passer en mode de fonctionnement continu, l’entreprise devra tester la bonne récupération des données afin de s’assurer du bon fonctionnement des sauvegardes.

 Adopter les bonnes pratiques

• Sauvegarder suivant la règle du 3-2-1.

Pour se mettre à l’abri des pertes de données, une entreprise doit suivre la règle du 3-2-1. Le principe est simple : il est préconisé de conserver 3 copies des données, sur au moins 2 médias de sauvegarde différents, avec 1 copie se situant à distance. L’objectif étant de supprimer tout point unique de défaillance et garantir un maximum de sécurité.

En cas de sinistre, d’incident ou d’attaque malveillant, l’entreprise qui a respecté cette règle du 3-2-1 est sûre de pouvoir récupérer les données et fonctionnalités de son système d’information.

• Attention à l’utilisation des cartouches : des règles à suivre

Bon nombre d’entreprises sauvegardent encore leurs données sur des cartouches, comme les Ultrium LTO. Mais pour que cette solution de sauvegarde soit totalement sécuritaire, quelques règles sont à suivre impérativement.

Dans un premier temps, il apparait nécessaire de stocker la cartouche dans un lieu particulièrement sécurisé, idéalement dans un coffre-fort ignifugé. Toutefois, le coffre ignifugé est un mythe du monde l’IT. Les tests ont montré qu’en cas d’incendies, les bandes étaient inutilisables, le plastique ayant trop chauffé. La seule stratégie valable en la matière est l’externalisation sur un site différent de celui hébergeant les serveurs. D’où l’intérêt d’une réplique externalisée de la sauvegarde.

Il faut ajouter qu’il est impératif de suivre l’algorithme GFS ou Grandfather-Father-Son Backup (en français « grand-père – père – fils ») qui permettra de disposer d’au moins une sauvegarde saine en cas de menace. Cette méthode de rotation de sauvegarde de données, très couramment conseillée, consiste à définir trois ensembles de sauvegardes, journalière, hebdomadaire et mensuelle. Les journalières, ou « fils », sont exécutées chaque jour, avec un des « fils » élevé au rang de « père » chaque semaine. Les hebdomadaires, ou pères, sont exécutées chaque semaine avec l’une d’entre elles élevée au rang de « grand-père » chaque mois.

Enfin, les entreprises qui disposent d’un volume important de données peuvent être confrontées au problème de ‘la fenêtre de sauvegarde’. La quantité de données à sauvegarder est telle que le temps programmé pour la sauvegarde n’est pas suffisamment long. La solution est alors de sauvegarder sur des baies de stockage avant d’être sauvegardées sur des cartouches, avec une méthode appelée Disk to Disk to Tape.

• La sauvegarde, oui, et hors site !

La sauvegarde hors site se révèle stratégiquement indispensable. Car non seulement le local où sont produites les données peut être victime d’un sinistre ou d’un acte malveillant mais en plus, les menaces actuelles visent à corrompre les sauvegardes. Mieux vaut donc que celles-ci soient également externalisées.

Plusieurs possibilités se présentent :

°La sauvegarde externalisée de ses postes ou serveurs : très simple à mettre en œuvre, les solutions de sauvegarde externalisée utilisent l’accès internet de l’entreprise pour sauvegarder vos données dans des salles d’hébergement spécialisées. C’est ce que propose Permanent Backup d’Adista, à destination des postes de travail, un service automatique et transparent, qui décharge les entreprises des contraintes techniques de sauvegarde, et met à leur disposition des techniques de gestion des versions, de cryptage et de traçabilité. Particulièrement adaptées aux TPE et PME, ces sauvegardes externalisées ne dispensent néanmoins pas d’une stratégie de sauvegarde locale.

°L’externalisation de tout son système d’information. Une idée a fait son chemin en quelques années : disposer de son système d’information complet en mode SaaS ou ITaaS. Des offres comme Adista SunShine fournissent un environnement de travail personnalisé aux utilisateurs, avec le meilleur des solutions collaboratives et de productivité individuelle, avec la capacité à intégrer dans le périmètre les applicatifs spécialisés de l’entreprise. Dans cette approche, prestataire et entreprises définissent le niveau de service attendu. L’entreprise est totalement libérée des contraintes informatiques… dont la contrainte de sauvegarde !

°la réplication de ses VMs dans un datacenter
> Dans une vision « self-service »
Répliquer les VMs sans investir dans une infrastructure informatique dédiée, c’est possible et particulièrement adaptée aux serveurs physiques ou virtuels. C’est ce que propose Adista avec son offre Veeam Cloud Connect PRA par Adista. Simple à mettre en œuvre, la solution permet à une entreprise de réaliser facilement la réplication, à distance et quasiment au fil de l’eau, de ses environnements virtualisés, dans les Datacenter d’Adista, en utilisant simplement un accès internet sécurisé.

> Dans une démarche d’accompagnement complet proposé par Adista
*Adista vous accompagne dans la mise en place un Plan de Reprise d’Activité (PRA). Il s’agit de mettre en place l’infrastructure matérielle et logicielle, les procédures de transfert de données, les procédures d’accès au système, ainsi que les processus humains permettant le redémarrage des services, en cas de perte partielle ou totale du site informatique de production. Adista a l’habitude d’accompagner ses clients, de l’audit à la mise en œuvre, pour mettre en place des PRA adaptés à leur activité en prenant en compte notamment la durée maximale d’interruption admissible (Return Time Objective) et la perte de données maximale admissible (Return Point Objective).

En conclusion, pour les entreprises, la montée en puissance des risques de perte de données doit aller de pair avec une stratégie rigoureuse de sauvegarde. Il s‘agit là d’une nécessité essentielle dans un univers qui ne laisse plus de chance à la vulnérabilité.

*Kaspersky Lab, Risques liés à la sécurité informatique, 2016