En cas de perte de données – suite à une attaque malveillante, à une erreur ou autre incident fortuit, toute PME doit pouvoir les récupérer rapidement et de la manière la plus complète possible. Il s’agit là d'une protection de base qui suppose la mise en place d’un processus efficace de sauvegarde des données.
Principaux conseils à suivre pour les entreprises :
- Établissez un inventaire de votre système informatique et de vos données et déterminez un seuil de tolérance maximal en cas de panne ou de perte.
- Sur la base de cet inventaire, constituez des classes de protection pour des éléments présentant le même niveau de risque, puis définissez un concept de sauvegarde des données pour chaque classe de protection.
- Définissez et mettez en place un processus de sauvegarde des données dans votre PME.
- Vérifiez régulièrement que les données sont correctement sauvegardées (conformément à la stratégie de sauvegarde établie) et qu’elles peuvent être restaurées.
Le processus de sauvegarde des données
Face à la digitalisation croissante, les PME sont confrontées à une augmentation constante de leurs systèmes informatiques et des données à traiter. Pour ces entreprises, cela se traduit par une dépendance accrue à l’égard de la disponibilité illimitée des systèmes et données informatiques.
Une perte de données importante – telle qu’elle pourrait se produire à la suite d’une cyberattaque, d’un problème technique, d’une catastrophe naturelle ou tout simplement à la suite d’une mauvaise manipulation informatique – peut avoir des conséquences très lourdes pour une PME, au point d’en menacer son existence même. La capacité de sauvegarder puis de restaurer rapidement et de la manière la plus complète possible les données d'une entreprise représente donc un élément de protection de base essentiel.
Cela passe par la mise en place d’un processus de sauvegarde des données conforme à la stratégie établie, sachant qu’il est tout aussi important de vérifier que les données sauvegardées puissent ensuite être restaurées.
Les classes de protection
Tous les systèmes informatiques d'une PME n’ont pas la même importance pour le fonctionnement d’une entreprise. Il convient donc d’établir des priorités entre les différents systèmes et types de données informatiques qui nécessiteront des niveaux de protection différents. Il faut donc commencer par établir un inventaire actuel de tous les systèmes et données informatiques qui permettra d’obtenir une vue d’ensemble mais aussi d’ordonner les différents éléments par classe de protection.
CP | Dénomination | Risque | Seuil de tolérance max. en cas de panne/perte | Délais de restauration | Délais de conservation |
---|---|---|---|---|---|
I | Protection normale | Faible | > 1 jour | < 1 semaine | > 1 semaine |
II | Protection forte | Moyen | 1 jour | 1 jour | > 1 mois |
III | Protection très forte | Important | < ½ jour | < 1 jour | > 1 an |
En plus des facteurs de risque mentionnés plus haut, d’autres critères sont également à prendre en considération, tels que l’évaluation de la durée maximale tolérée en cas de panne des systèmes informatiques et du volume des pertes pouvant être supporté, ainsi que les délais de restauration nécessaires.
C’est de cette manière que pourront se dégager des groupes de systèmes et de données informatiques nécessitant les mêmes niveaux de protection. Ces groupes vont ainsi former des classes de protection (CP). À chaque classe de protection on fera correspondre une stratégie de sauvegarde des données appropriée avec des dispositions bien précises.
La stratégie de sauvegarde des données
Pour chaque classe de protection, la stratégie de sauvegarde des données définit les modalités organisationnelles et techniques de la sauvegarde. Parmi les modalités de type organisationnel, citons en particulier :
- le volume des données à sauvegarder (scope)
- la périodicité de la sauvegarde (quotidienne, hebdomadaire, mensuelle...)
- le moment auquel elle doit avoir lieu (fin de journée, week-end, fin de mois...)
- les délais de conservation des données sauvegardées (schéma Grand-père-père-fils)
- les délais de restauration requis (durée maximale tolérée de la panne)
À partir de là, on définit les détails techniques de la mise en œuvre de la stratégie, à savoir :
- le type de sauvegarde (complète, différentielle, incrémentielle)
- le support de stockage (disques durs, bandes, etc.)
- la conservation des média de stockage (sur site, support physique ou en ligne sur le cloud, etc.)