Page d'accueil Navigation Sommaire Contacts Sitemap Recherche

La sau­ve­garde des don­nées dans les PME

En cas de perte de don­nées – suite à une attaque mal­veillante, à une erreur ou autre inci­dent for­tuit, toute PME doit pou­voir les récu­pérer rapi­de­ment et de la manière la plus com­plète pos­sible. Il s’agit là d'une pro­tec­tion de base qui sup­pose la mise en place d’un pro­cessus effi­cace de sau­ve­garde des données.

Prin­ci­paux conseils à suivre pour les entreprises :

  • Éta­blissez un inven­taire de votre sys­tème infor­ma­tique et de vos don­nées et déter­minez un seuil de tolé­rance maximal en cas de panne ou de perte.
  • Sur la base de cet inven­taire, consti­tuez des classes de pro­tec­tion pour des élé­ments pré­sen­tant le même niveau de risque, puis défi­nissez un concept de sau­ve­garde des don­nées pour chaque classe de protection.
  • Défi­nissez et mettez en place un pro­cessus de sau­ve­garde des don­nées dans votre PME.
  • Véri­fiez régu­liè­re­ment que les don­nées sont cor­rec­te­ment sau­ve­gar­dées (confor­mé­ment à la stra­tégie de sau­ve­garde éta­blie) et qu’elles peuvent être restaurées.

Le pro­cessus de sau­ve­garde des données

Face à la digi­ta­li­sa­tion crois­sante, les PME sont confron­tées à une aug­men­ta­tion constante de leurs sys­tèmes infor­ma­tiques et des don­nées à traiter. Pour ces entre­prises, cela se tra­duit par une dépen­dance accrue à l’égard de la dis­po­ni­bi­lité illi­mitée des sys­tèmes et don­nées informatiques.

Une perte de don­nées impor­tante – telle qu’elle pour­rait se pro­duire à la suite d’une cybe­rat­taque, d’un pro­blème tech­nique, d’une catas­trophe natu­relle ou tout sim­ple­ment à la suite d’une mau­vaise mani­pu­la­tion infor­ma­tique – peut avoir des consé­quences très lourdes pour une PME, au point d’en menacer son exis­tence même. La capa­cité de sau­ve­garder puis de res­taurer rapi­de­ment et de la manière la plus com­plète pos­sible les don­nées d'une entre­prise repré­sente donc un élé­ment de pro­tec­tion de base essentiel.

Cela passe par la mise en place d’un pro­cessus de sau­ve­garde des don­nées conforme à la stra­tégie éta­blie, sachant qu’il est tout aussi impor­tant de véri­fier que les don­nées sau­ve­gar­dées puissent ensuite être restaurées.

Les classes de protection

Tous les sys­tèmes infor­ma­tiques d'une PME n’ont pas la même impor­tance pour le fonc­tion­ne­ment d’une entre­prise. Il convient donc d’établir des prio­rités entre les dif­fé­rents sys­tèmes et types de don­nées infor­ma­tiques qui néces­si­te­ront des niveaux de pro­tec­tion dif­fé­rents. Il faut donc com­mencer par éta­blir un inven­taire actuel de tous les sys­tèmes et don­nées infor­ma­tiques qui per­mettra d’obtenir une vue d’ensemble mais aussi d’ordonner les dif­fé­rents élé­ments par classe de protection.

 

Exemple de clas­si­fi­ca­tion sur la base de dif­fé­rents cri­tères
CPDéno­mi­na­tionRisqueSeuil de tolé­rance max. en cas de panne/perteDélais de res­tau­ra­tionDélais de conservation
IPro­tec­tion normaleFaible> 1 jour< 1 semaine[/av_cell]> 1 semaine
IIPro­tec­tion forteMoyen1 jour1 jour> 1 mois
IIIPro­tec­tion très forteImpor­tant< ½ jour[/av_cell]> 1 an

En plus des fac­teurs de risque men­tionnés plus haut, d’autres cri­tères sont éga­le­ment à prendre en consi­dé­ra­tion, tels que l’évaluation de la durée maxi­male tolérée en cas de panne des sys­tèmes infor­ma­tiques et du volume des pertes pou­vant être sup­porté, ainsi que les délais de res­tau­ra­tion nécessaires.

C’est de cette manière que pour­ront se dégager des groupes de sys­tèmes et de don­nées infor­ma­tiques néces­si­tant les mêmes niveaux de pro­tec­tion. Ces groupes vont ainsi former des classes de pro­tec­tion (CP). À chaque classe de pro­tec­tion on fera cor­res­pondre une stra­tégie de sau­ve­garde des don­nées appro­priée avec des dis­po­si­tions bien précises.

La stra­tégie de sau­ve­garde des données

Pour chaque classe de pro­tec­tion, la stra­tégie de sau­ve­garde des don­nées définit les moda­lités orga­ni­sa­tion­nelles et tech­niques de la sau­ve­garde. Parmi les moda­lités de type orga­ni­sa­tionnel, citons en particulier :

  1. le volume des don­nées à sau­ve­garder (scope)
  2. la pério­di­cité de la sau­ve­garde (quo­ti­dienne, heb­do­ma­daire, mensuelle...)
  3. le moment auquel elle doit avoir lieu (fin de journée, week-end, fin de mois...)
  4. les délais de conser­va­tion des don­nées sau­ve­gar­dées (schéma Grand-père-père-fils)
  5. les délais de res­tau­ra­tion requis (durée maxi­male tolérée de la panne)

À partir de là, on définit les détails tech­niques de la mise en œuvre de la stra­tégie, à savoir :

  1. le type de sau­ve­garde (com­plète, dif­fé­ren­tielle, incrémentielle)
  2. le sup­port de sto­ckage (disques durs, bandes, etc.)
  3. la conser­va­tion des média de sto­ckage (sur site, sup­port phy­sique ou en ligne sur le cloud, etc.)

Une perte de don­nées impor­tante – suite à une cybe­rat­taque, à un pro­blème tech­nique, à une catas­trophe natu­relle ou à une mau­vaise mani­pu­la­tion infor­ma­tique – peut avoir des consé­quences très lourdes pour une PME, au point d’en menacer sa survie.

Un mode de sau­ve­garde des don­nées intel­li­gent peut tou­te­fois mini­miser le risque et per­mettre une res­tau­ra­tion rapide et la plus com­plète pos­sible des don­nées perdues.

Pour aller plus loin

Le volume des don­nées à sau­ve­garder (scope) définit les don­nées ou les sources de don­nées devant effec­ti­ve­ment faire l’objet de la sau­ve­garde. En éta­blis­sant un inven­taire réfléchi et struc­turé des don­nées à sau­ve­garder, vous ferez en sorte de ne pas oublier de don­nées vitales pour l’entreprise. Il importe éga­le­ment de véri­fier que les don­nées ou sources de don­nées à sau­ve­garder sont effec­ti­ve­ment dis­po­nibles au moment prévu (ex. extinc­tion des ordi­na­teurs pen­dant le week-end).

Une pério­di­cité de sau­ve­garde rap­pro­chée assure certes des pertes de don­nées de moindre impor­tance, mais accroît for­te­ment la charge de la sau­ve­garde. Il peut arriver par exemple que le réseau se trouve bloqué en raison des grandes quan­tités de don­nées à sau­ve­garder tous les jours. D’où l’importance de bien éva­luer les dif­fé­rents besoins en protection.

Le moment de la sau­ve­garde des don­nées doit être choisi en fonc­tion du mode de fonc­tion­ne­ment de l’entreprise, en tenant compte du risque de perte de don­nées entre deux sau­ve­gardes. Beau­coup d’entreprises optent pour la fin de journée, à un moment où les sau­ve­gardes ne risquent pas de per­turber les acti­vités quo­ti­diennes et où elles peuvent au contraire uti­liser les res­sources libé­rées pen­dant la nuit.

En cas de perte de don­nées, l’entreprise peut géné­ra­le­ment récu­pérer la der­nière sau­ve­garde effec­tuée. Mais il peut s’avérer néces­saire, pour dif­fé­rentes rai­sons, de res­taurer des don­nées sau­ve­gar­dées pré­cé­dem­ment. Voilà pour­quoi il convient d’établir des délais de conser­va­tion pour les don­nées sau­ve­gar­dées. Un sys­tème de rota­tion réfléchi (basé sur le schéma « grand-père-père-fils ») adapté aux volumes de don­nées trai­tées et aux besoins de pro­tec­tion de l’entreprise permet de conserver plu­sieurs sau­ve­gardes suc­ces­sives sur un minimum de sup­ports. Avec une sau­ve­garde quo­ti­dienne des don­nées (lun-ven) et 20 sup­ports de sto­ckage seule­ment, il est pos­sible de res­taurer les sau­ve­gardes des quatre der­niers jours de la semaine (lun-jeu), des 13 der­niers week-ends (ven­dredi), des deux der­nières fins de mois et de la der­nière fin d’année.

Le délai de res­tau­ra­tion requis cor­res­pond au laps de temps qui s’écoule entre le moment où l’on constate la perte des don­nées et le moment où celles-ci sont de nou­veau acces­sibles. Plus ce délai est court, plus les exi­gences tech­niques et orga­ni­sa­tion­nelles du pro­cessus de sau­ve­garde sont éle­vées. Pour le définir, il faut tenir compte du temps néces­saire à l’identification des don­nées à res­taurer, à leur loca­li­sa­tion dans le cata­logue de sau­ve­garde, à l’accès aux sup­ports de sto­ckage et à la res­tau­ra­tion effec­tive des données.

Il peut arriver que le temps à dis­po­si­tion (p. ex. la nuit) ne soit pas suf­fi­sant pour sau­ve­garder toutes les don­nées d’une cer­taine classe de pro­tec­tion confor­mé­ment à la pério­di­cité définie. Pour pal­lier le pro­blème, on déter­mine éga­le­ment le type de sau­ve­garde (sau­ve­garde com­plète, dif­fé­ren­tielle, incré­men­tielle). Dans le cas d'une sau­ve­garde com­plète, on réa­lise une copie com­plète de toutes les don­nées réper­to­riées dans le scope sur le médium de sau­ve­garde. Cette méthode est très gour­mande en espace de sto­ckage et néces­site éga­le­ment beau­coup de temps. Dans le cas de la sau­ve­garde dif­fé­ren­tielle, il s’agit en revanche de sau­ve­garder uni­que­ment les don­nées modi­fiées ou ajou­tées depuis la der­nière sau­ve­garde com­plète. Cette méthode permet de réduire consi­dé­ra­ble­ment le volume des don­nées à sau­ve­garder dans la mesure où les don­nées non modi­fiées ne sont sau­ve­gar­dées qu’une seule fois. La res­tau­ra­tion des don­nées se fait dans ce cas en deux étapes : la res­tau­ra­tion de la der­nière sau­ve­garde com­plète dans un pre­mier temps, puis celle de la sau­ve­garde dif­fé­ren­tielle sou­haitée. La sau­ve­garde incré­men­tielle réduit encore ulté­rieu­re­ment le volume des don­nées à sau­ve­garder puisqu’il s’agit dans ce cas de sau­ve­garder uni­que­ment les don­nées modi­fiées ou ajou­tées depuis la der­nière sau­ve­garde effec­tuée (indé­pen­dam­ment du type). Pour récu­pérer les don­nées sau­ve­gar­dées, il est néces­saire de res­taurer la der­nière sau­ve­garde com­plète, la der­nière sau­ve­garde dif­fé­ren­tielle ainsi que toutes les sau­ve­gardes incré­men­tielles successives.

Lorsque l’on parle du médium de sau­ve­garde, on fait réfé­rence au maté­riel qui assure le sto­ckage des don­nées sau­ve­gar­dées. Dans les cas les plus simples, il peut s’agir d’un simple fichier au format spé­cial ou d’un sup­port de sto­ckage phy­sique (disques durs, sup­ports optiques, bandes magné­tiques, etc.) inséré dans un sys­tème de sau­ve­garde dédié. Le choix du médium de sau­ve­garde dépend en pre­mier lieu des exi­gences orga­ni­sa­tion­nelles (volume, pério­di­cité, délais de conser­va­tion et de res­tau­ra­tion). Les bandes magné­tiques sont le plus sou­vent uti­li­sées pour le sto­ckage à long terme (archi­vage) de grosses quan­tités de données.

Le choix des média de sau­ve­garde et leur conser­va­tion revêtent une impor­tance cru­ciale dans le pro­cessus de sau­ve­garde. Au moment d’évaluer les risques, il convient de tenir compte d’un cer­tain nombre de fac­teurs tels que la pro­tec­tion phy­sique, les condi­tions de sto­ckage, la dis­po­ni­bi­lité, l’accessibilité, etc. En règle géné­rale, les sau­ve­gardes doivent être pro­té­gées le plus pos­sible contre les agents exté­rieurs. Si l'on consi­dère les risques liés aux ran­çon­gi­ciels par exemple, mieux vaut s’assurer que les sau­ve­gardes res­tent hors de leur portée, c’est-à-dire hors ligne.

Qu’aimeriez-vous savoir encore sur le thème de la sécurité en e-banking ?

Je sou­haite m'inscrire
à une formation :

For­ma­tion de base

Décou­vrez les prin­ci­pales menaces qui cir­culent sur Internet et apprenez à vous en pro­téger et à sécu­riser vos ses­sions d’e-banking.

en savoir plus

For­ma­tion en ligne Mobile Ban­king / Payment

Vous décou­vrirez le Mobile Ban­king et le Mobile Pay­ment, et appren­drez à uti­liser les appli­ca­tions cor­res­pon­dantes en toute sécurité.

en savoir plus

For­ma­tion en ligne pour les moins de 30 ans

Apprends à uti­liser ton smart­phone en toute sécu­rité ! Révise les bases et découvre tout ce qu’il faut savoir sur les réseaux sociaux, pla­te­formes cloud, le Mobile Ban­king et le Mobile Payment.

en savoir plus

For­ma­tion pour les PME

Votre entre­prise est-elle suf­fi­sam­ment pro­tégée ? Décou­vrez les mesures qui vous per­met­tront d’améliorer sen­si­ble­ment la sécu­rité infor­ma­tique dans votre entreprise.

en savoir plus