L’Importance des sauvegardes et comment les mettre en place dans une entreprise
Qu’est-ce qu’une sauvegarde ?
Une sauvegarde ou backup en anglais, consiste à copier des données (comme des dossiers, des fichiers, bases de données, machines virtuelles, etc.) pour les protéger. L’idée est de pouvoir récupérer ces données en cas de problème, c'est ce qu'on appelle la restauration.
Sauvegarde vs Archivage
Il est important de différencier la sauvegarde de l'archivage. La sauvegarde sert à protéger les données à court ou moyen terme pour une récupération rapide, tandis que l'archivage vise à préserver les données à long terme pour des raisons légales ou réglementaires. Les données archivées sont hors-ligne.
Pourquoi faire des sauvegardes ?
Les sauvegardes sont essentielles pour plusieurs raisons :
- Les suppressions accidentelles : Une mauvaise manipulation peut entraîner la perte de données importantes.
- Le sabotage : Un employé mal intentionné ou une cyberattaque peut compromettre les données.
- Les problèmes matériels : Une panne de disque dur ou de serveur peut rendre des données inaccessibles.
-
Les rançongiciels : Ces logiciels malveillants chiffrent les données pour extorquer de l'argent. Les sauvegardes permettent de restaurer les données.
Comment effectuer la mise en place de sauvegarde au sein d’une entreprise ?
Pour établir la meilleure stratégie de sauvegarde, il y a beaucoup de point important à maitriser. Cet article vise à faire prendre conscience de toutes ces choses. C’est pourquoi l’aide d’un professionnel, technicien, administrateur système et réseau ou DSI, est préconisé.
Les architectures de sauvegarde
Tout d’abord, il existe plusieurs architectures de sauvegarde :
- Les sauvegardes directes : Les données sont copiées directement de la source à la destination.
- Les sauvegardes par serveur : Les données passent par un serveur de sauvegarde avant d'atteindre la destination.
-
Les sauvegardes par proxy : Les données transitent par des proxys de sauvegarde sous la supervision d'un serveur de sauvegarde.
Chacune de ces architectures à ses avantages et inconvénients. Par exemple, les sauvegardes directes sont simples et économiques, mais peuvent être moins fiables en cas de panne. Les sauvegardes par proxy, plus adaptées aux grandes entreprises, offrent une plus grande robustesse, mais sont plus coûteuses.
Définir les fenêtres de sauvegarde
La fenêtre de sauvegarde est le moment le plus approprié pour effectuer des sauvegardes sans perturber les opérations de l’entreprise. Cela peut être la nuit ou les week-ends, en fonction des horaires de travail.
Choisir les types de sauvegarde
- Les sauvegardes complètes : Toutes les données sont copiées. C’est long et gourmand en ressources. La fréquence la plus adaptée est d’une fois par semaine.
- Les sauvegardes différentielles : Seules les données modifiées depuis la dernière sauvegarde complète sont copiées. La fréquence la plus adaptée est quotidiennement.
- Les sauvegardes incrémentales : Seules les données modifiées depuis la dernière sauvegarde (qu’elle soit complète ou incrémentale) sont copiées. La fréquence la plus adaptée peut être de plusieurs fois par jour.
- Les sauvegardes synthétiques : Fusionne la dernière sauvegarde complète avec les sauvegardes incrémentales pour créer une nouvelle sauvegarde complète. Pratique quand la fenêtre de sauvegarde est très courte ! Il faut donc définir le type de sauvegarde en fonction de la fenêtre pour éviter les ralentissements du système et du réseau.
La Règle 3-2-1-1-0 !
Pour garantir une protection optimale des données, il faut suivre la règle 3-2-1-1-0 :
- 3 copies des données (l’original et deux sauvegardes)
- 2 types de supports différents (par exemple, disque dur et cloud)
- 1 copie hors-site (pour se protéger des catastrophes locales)
- 1 copie hors-ligne (pour se protéger des cyberattaques)
- 0 erreur de restauration (test régulier des sauvegardes)
Cette règle est vraiment essentielle.
Choisir les supports de sauvegarde
Chaque support de stockage présentera des avantages et des inconvénients :
- Les HDD (Hard Disk Drive) : Abordable, grande capacité, mais moins performant.
- Les SSD (Solid State Drive) : Très performant mais coûteux.
- Les bandes magnétiques : Bon marché et durable, idéal pour l’archivage et le stockage hors-ligne.
- Le stockage cloud : Pas de gestion matérielle, capacité extensible, mais coûteux et dépendant du fournisseur.
Les méthodes de sauvegarde et criticité des données
Il faut choisir la méthode de sauvegarde en fonction de l’infrastructure :
- Les scripts simples : Pour des besoins basiques, développés en interne.
- Les commandes de sauvegarde : L’utilisation d’outils comme Rsync (Linux) ou Robocopy (Windows).
- Les logiciels tiers : Pour les grandes entreprises, des solutions comme Veeam ou Net Backup sont plus adaptées.
- Les outils intégrés : L’utilisation de fonctionnalités de sauvegarde de votre système d’exploitation (Windows Backup, Time Machine pour Mac).
La fréquence et la rétention des sauvegardes doivent tenir compte de la criticité des données :
- Critiques : Vitales pour l’entreprise, sauvegardes fréquentes avec longue rétention.
- Normales : Importantes mais pas vitales, sauvegardes régulières avec rétention modérée.
- Faibles : Peu importantes, sauvegardes moins fréquentes ou non nécessaires.
Capacité de stockage et sécurisation
Calcul de la Capacité
Il faut évaluer la taille actuelle des données et prévoir leur croissance pour choisir des supports de stockage adéquats. La compression des données peut aider à économiser de l’espace.
Et un système de rotation des sauvegardes (ou « GFS » pour Grand-Father, Father and Son) peut-être mit en place. Avec ce système, plus les sauvegardes sont récentes, plus on en aura, et plus on s’éloignera dans le temps et moins, on en aura. Cela simplifie considérablement la gestion des sauvegardes.
Sécurisation des Sauvegardes
Pour sécuriser les sauvegardes, il est important de :
- Restreindre l’accès aux systèmes et supports de sauvegarde.
- Désactiver les accès des anciens employés.
- Vérifier régulièrement les systèmes et les sauvegardes.
- Mettre en place un système de surveillance pour détecter les problèmes de sauvegarde.
- Chiffrer les sauvegardes pour protéger les données sensibles.
La Politique de sauvegarde et le périmètre d’intervention
Une politique de sauvegarde décrit les objectifs à atteindre en termes de sauvegarde de données, en incluant :
- Les données à sauvegarder
- Leur criticité
- La fréquence des sauvegardes
- La durée de rétention
- L’archivage à long terme
- La sécurité des données
- Les stratégies à adopter
Le périmètre d’intervention indique si cette politique ainsi que le plan de sauvegarde sont bien définis et appliqués.
Le plan de sauvegarde informatique
Le plan de sauvegarde qui doit être rédigé, inclue :
- Les données à sauvegarder et leur criticité
- La fréquence des sauvegardes
- Les supports de stockage utilisés
- Les outils de sauvegarde
- Les méthodes de sauvegarde
- Les méthodes de contrôle et planification des sauvegardes
- Le système de surveillance des sauvegardes
Le plan de sauvegarde au sein d’un PCA/PRA
Un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA) incluent les stratégies de sauvegarde pour garantir la reprise rapide des activités après un incident. Une section dédiée aux sauvegardes y figure et c’est là qu’il faut présenter le plan de sauvegarde.
Les objectifs de reprise
Au sein du PRA, des objectifs de reprise d’activité sont spécifiés et différentes selon les entreprises :
- RPO (Recovery Point Objective) : Quantité de données pouvant être perdues avant de causer un préjudice.
- RTO (Recovery Time Objective) : Temps nécessaire pour restaurer le système et reprendre les activités. Le plan de sauvegarde devra être en adéquation avec ces objectifs.
Les recommandations de l’ANSSI et de la CNIL
Les organismes comme l’ANSSI et la CNIL fournissent des recommandations pour sécuriser les systèmes d’information et les sauvegardes. Suivez ces directives pour minimiser les risques cyber.
Voici quelques liens utiles :
anssi-fondamentaux-sauvegarde_systemes_dinformation_v1-0.pdf (cyber.gouv.fr)
2023_les-essentiels_sauvegarde_vf.pdf (cyber.gouv.fr)
Sécurité : Sauvegarder | CNIL
Conclusion
Les sauvegardes sont cruciales pour la sécurité des données en entreprise. En adoptant une stratégie de sauvegarde adaptée, incluant la règle 3-2-1-1-0 et en choisissant les bons supports et méthodes, vous pourrez protéger vos données contre les pertes et les attaques. Tous les points précédemment parcourus devront être étudiés et adaptés à chaque entreprise.
Cet article a pour but de faire prendre conscience qu’il ne faut pas négliger les sauvegardes et avoir de solide connaissance sur le sujet, ici nous ne sommes pas rentrés dans les détails. L’aide d’un professionnel maitrisant le sujet est préconisé.
Sources :
ANSSI : https://cyber.gouv.fr/
CNIL : https://www.cnil.fr/