Après vos salariés, les données de votre entreprise sont votre richesse la plus précieuse. Votre business, vos procédures, vos plans, vos documents administratifs… Tout est informatisé et si par malheur l’accès à ces données devient impossible, l’entreprise est à l’arrêt.
Il est indispensable de protéger vos données, mais aussi d'anticiper la continuité d'activité en cas de crise.
Les risques qui viennent aussi de l’intérieur
Un lieu commun serait de croire que les attaques viennent de l'extérieur, mais il y a plusieurs types d'attaque volontaires ou pas.
Les risques externes, les plus médiatisés
Les risques les plus connus, sont ceux que nous voyons au quotidien par des emails douteux que nous recevons : intrusion, virus, ransomware.
Les risques internes, plus courants que nous l’imaginons.
Le premier facteur de risque est l’humain !
Les services informatiques reçoivent régulièrement des appels désespérés de collaborateurs ayant validé la suppression d’un fichier d’importance capitale.
Les incidents les plus courants :
- Les erreurs de manipulation : suppression d’un fichier, partage par erreur, méconnaissance des outils…
- Le vol de données
- Les défaillances du matériel
Toutes ces erreurs peuvent être grandement limitées avec une sensibilisation des collaborateurs.
La politique de sauvegarde
Quelques règles sont à définir pour élaborer votre politique de sauvegarde :
- La fréquence et le périmètre des sauvegardes.
- La localisation physique des sauvegardes. Il est conseillé d'effectuer plusieurs sauvegardes dont une sortira physiquement de votre entreprise et sera déconnectée de votre réseau pour assurer sa sécurité en cas de sinistre ou d'attaque.
- Protéger aussi les données sauvegardées : Vos sauvegardes ne doivent pas être plus accessibles (chiffrement, coffre…).
- S'il s'agit d'une sauvegarde dématérialisée, pensez à chiffrer le réseau.
Un dirigeant qui subit les événements
Ces risques informatiques sont effrayants car ils sont très techniques, difficiles à comprendre, impossibles à totalement éliminer, avec des conséquences qui peuvent s'avérer très coûteuses.
Face à cette situation, le dirigeant se retrouve alors bien souvent devant des demandes de budget de son responsable informatique qu'il va percevoir comme une forme de chantage : comment ne pas accéder aux demandes face à de tels risques ?
La solution préconisée est la mise en place d'un plan de sauvegardes des données et d'un plan de continuité d'activité . L'objectif n'est plus de supprimer les risques (c'est impossible) mais d'en gérer les conséquences.
C'est une solution qui rend la maîtrise à l'entreprise sans se reposer uniquement sur la direction.
Le plan de sauvegarde – une approche simple
Le plan de sauvegarde est un outil qui permet de décrire simplement tous les éléments de la sauvegarde. (En français et non en langage de geek) !!
La démarche est simple et s’élabore en plusieurs temps.
Etablissement de la liste exhaustive des données à sauvegarder
Pour chaque application ou source de données, il faut préciser
- sa localisation (le serveur)
- sa criticité (fixée par le dirigeant)
- sa durée réglementaire de conservation
Description des sauvegardes
Pour chaque serveur, il faut préciser :
- Sa fréquence de sauvegarde totale et la durée de conservation de ces sauvegardes
- Sa fréquence de sauvegarde incrémentielle (sauvegarde des éléments modifiés depuis la dernière sauvegarde) et la durée de conservation de ces sauvegardes
- La localisation de ces sauvegardes (interne, externe, sur bande, sur disque, ….)
- La fréquence des tests de restauration
Le document peut être complété par des informations techniques (procédures, schéma d'architecture précis, …) pour en faire un document de référence en interne.
Faire vivre le document et en faire un outil de travail
Ce document doit vivre et être régulièrement mis à jour pour toujours garantir que vous avez traité l'intégralité de vos données.
Il vous permet alors :
- de savoir ce qui est sauvegardé
- de savoir ce qui n'est pas sauvegardé
- de signaler au service informatique les applications / données les plus critiques pour vous
- de comprendre l'impact de vos besoins de sauvegarde / restauration sur les coûts
Le plan de continuité d'activité…
…ou comment vite se relever. Ce document permet de lister les étapes nécessaires à la reprise de l'activité en cas de défaillance. Le principe est de pouvoir redémarrer le plus vite possible et avec le moins de dommages possibles.
C'est un sujet à part entière que nous avons traité dans cet article :
La stratégie de sauvegarde a une vraie approche qualité. Elle permet de décider des solutions que vous souhaitez mettre en place pour votre entreprise afin de réagir en cas d'incident informatique ou physique grave (piratage, incendie, virus, incendie ...).
Pour établir de façon efficace un plan de sauvegarde, il est important de vous faire accompagner par un Responsable Informatique expérimenté qui saura à la fois vous conseiller sur les solutions, mais également instaurer au sein de l’entreprise une politique de sécurité informatique globale.
Selon les structures, ce travail d'élaboration de la stratégie ne demande pas une ressource à temps plein. Il est même très intéressant d'avoir un œil externe pour analyser l'existant.
Nos Responsables Informatique interviennent au cœur de votre entreprise d'1 à 3 jours par semaine. Seul ou avec les équipes informatiques déjà en place, ils élaborent la politique de sauvegarde de votre entreprise et lui permettent de se prémunir contre les risques.
Pour en savoir plus, contactez nous par email ici ou demandez à être rappelé là.
Je veux un responsable informatique pour ma stratégie de sauvegarde !