La sécurité des systèmes d’information, la cybersécurité poursuivent un même objectif, protéger des informations, des données contre des risques.
Les données de toute organisation, sont désormais stockées sur des supports numériques. Que ce soit sur le poste de travail, sur des serveurs, sur le Cloud.
Le fonctionnement des organisations dépend de ces données. Le b.a.-ba de la sécurité est de palier aux risques qui pèsent sur les données de production afin d’en garantir leur intégrité.
Suivez le guide pour mettre en œuvre votre sauvegarde de manière efficace.
Quelles sont les principales menaces :
- La perte/vol des supports
- La destruction (altération du support, incendie…)
- L’erreur humaine (mauvaise manipulation…)
- La malveillance interne (suppression par un collaborateur…)
- La malveillance externe (virus, ransomware…)
Comment s’en protéger :
- Identifier les données à protéger
- Mettre en place une procédure de sauvegarde efficace
- Surveiller les sauvegardes
- Communiquer aux utilisateurs les logiciels et supports qui sont sauvegardés et ceux qui ne le sont pas
Planifier- Identifier les données à protéger
Pour mettre en œuvre une politique de sauvegarde des données efficace, il faudra tout d’abord inventorier les données de production. Il faudra également identifier leur emplacement : sur des serveurs, des « NAS », les postes de travail, des services Cloud…
En fonction de la volumétrie occupée par vos données, des fenêtres de temps de sauvegarde disponibles, des technologies et des contraintes de coût, vous serez peut-être amenés à sauvegarder certaines données vitales plus souvent que d’autre données moins essentielles.
Vous pouvez pour cela réaliser une matrice pour définir la criticité des données en question. Y associer des objectifs de point de reprise en cas de sinistre (la durée maximum acceptable de perte de données), ainsi que la durée maximum de stockage de vos sauvegardes, notamment vis à vis du règlement Européen concernant les données personnelles (RGPD).
Ces informations vous permettront de rationnaliser votre plan de sauvegarde. De présenter à la direction de votre organisation plusieurs scénarios, ainsi que les coûts associés. Votre direction pourra alors prendre une décision et approuver la politique à mettre en œuvre.
Attention à la confidentialité des données de sauvegarde
📣 Cet article fait référence surtout à l’intégrité de vos données, n’oubliez pas pour autant leur confidentialité.
Prenez en compte les possibilités d’accès aux données de sauvegarde par des personnes non autorisées lors de leur stockage, de leur transport ou de leur restauration dans l’élaboration de votre politique.
Les solutions de sauvegarde intègrent souvent des possibilités de chiffrement. Si vous choisissez par exemple une externalisation manuelle sur un disque, transporté physiquement hors de vos locaux, pensez à mettre en œuvre une solution de chiffrement du disque. Il existe par exemple VeraCrypt, disponible gratuitement, qui répond parfaitement pour ce type d’usage.
Mettre en œuvre – Une procédure de sauvegarde efficace
C’est la règle du 3-2-1 :
- Vous devez avoir au moins 3 copies de vos données,
- Stockez les sauvegardes sur 2 types de supports différents,
- Stockez au moins 1 sauvegarde hors site ou sur le cloud. Déconnectez vos sauvegardes du réseau de production, que ce soit manuellement, sur supports physiques ou dans le cloud.
En cas d’attaque par rançongiciel, il y a malheureusement de fortes chances pour que les données de sauvegardes connectées au réseau de production soient chiffrées et donc inutilisables.
Il vaut mieux avoir à restaurer des données qui datent d’une semaine, voire d’un mois, en cas de problème que de repartir de 0.
sooiz ajoute le 4 dans sa préconisation (toujours plus 😊), 4 tests de restauration par an, pas forcément l’intégralité des données à chaque test, mais au moins vérifiez que vous avez accès aux sauvegardes et que vous pouvez restaurer un fichier, une base de données, une application, un active directory, un serveur.
Vérifier – Surveiller les sauvegardes
La supervision et les alertes en cas d’échec de sauvegarde sont également une bonne pratique. Mais je vous engage à vérifier périodiquement que le process de sauvegarde se déroule comme attendu. Mettez systématiquement en place une procédure de vérification, par exemple :
- Direction : s’assurer annuellement auprès du SI de la réalisation et du résultat du dernier test de restauration
- Responsable ou Directeur Informatique : vérification mensuelle du rapport de sauvegarde et de l’externalisation, validation du test de restauration trimestriel
- Technicien système et réseau : vérification quotidienne du rapport de sauvegarde et de l’externalisation et test de restauration trimestriel
- Utilisateur : vérification que les données importantes sont aux bons emplacements
Réagir
Il vous faudra suivre les incidents de sauvegarde et de restauration : analyser leur cause et en tirer les conséquences pour rendre la procédure encore plus efficace.
Communiquer avec les utilisateurs
Les utilisateurs doivent être informés de la politique de sauvegarde en place et surtout, des supports qui sont concernés.
Par exemple, si les postes de travail ne sont pas sauvegardés :
– rappelez aux utilisateurs ou ils doivent stocker les documents importants,
– si les boites emails ne sont pas sauvegardées, faites en de même
– etc…
Cette information peut être stipulée dans la Charte Informatique, un guide de bonnes pratiques, une charte éthique mais dans tout les cas l’information doit être communiquée par tout moyen disponible dans votre organisation et ce, régulièrement.
« Pas besoin pour moi, j’ai toutes mes données dans le Cloud et j’ai un super prestataire, tout est ok ! »
Les données de votre organisation sont vos données, une partie de votre savoir faire, vos encours, archives… y sont certainement stockés, c’est une partie importante de la valeur de votre organisation.
Stocker ses données dans un cloud, faire confiance à son prestataire, peut bien entendu être pertinent, cependant ne perdez pas de vue qu’en cas de problème, la grande perdante sera votre organisation.
- Vérifiez l’engagement de vos prestataires dans vos contrats, ce qui est réellement inclus en terme de responsabilité sur les données : sauvegarde inclue ou optionnelle ? qui est responsable de vérifier leur bonne exécution ? sont-elles réalisées sur un second site ? et déconnectées du réseau ? avec des tests de restauration ?
- Vérifiez les certifications des prestataires, et hébergeurs
- Evaluez-les régulièrement : demandez des « preuves », attestations de tests de restauration
Les incidents n’arrivent pas qu’aux autres
L’idée de ce paragraphe n’est pas de faire peur, mais de rester réaliste face aux risques qui pèsent sur les données numériques qui sont désormais l’essentiel des données vitales de l’organisation.
Voici 3 exemples, publics, datant de moins de 3 mois, du particulier à l’hébergeur. Ces exemples démontrent que la priorité n°1 de votre cybersécurité doit être la sauvegarde des données.
Une étudiante Charentaise se fait voler tous ses travaux
Incendie à Rodez […] Astragale Production a tout perdu
L’attaque ransomware catastrophique sur Cloud Nordic
Avoir un jeu de sauvegarde, relativement récent, dans un lieu de stockage autre que le lieu de production et déconnecté du réseau de production n’annihilera pas les effets d’un incendie, d’une attaque cyber, mais permettra d’imaginer une reprise de l’activité plus sereine.
SOOIZ peut vous accompagner dans votre démarche de sauvegarde, en auditant et en cartographiant vos données. En définissant avec vous la criticité de ces données, en rédigeant votre politique de sauvegarde, en sélectionnant des solutions techniques ou encore en vous accompagnant à mettre en œuvre votre politique de sauvegarde.
Références et Attributs
Références :
ANSSI-GUIDE-TPEPME-Question2
ANSSI-GUIDE-HYGIENEv2-Mesure37
ISO27002-2022-A8.13
NIST-v1.1-PR.IP-4
Attributs :
Type de mesure : #Corrective
Propriétés : #Intégrité #Disponibilité
Concepts : #Rétablir
Capacités : #Continuité
Domaines : #Protection
Restez Connecté – Abonnez vous à Notre Newsletter
Une newsletter dédiée aux directions de petites et moyennes organisations, qui ont à traiter de près ou de loin les aspects du numérique et de sa sécurité. Directions générales, administratives, informatiques, techniques…
Un email tous les mois, pas plus, avec les actualités essentielles de l’environnement Cyber, sur l’aspect, légal, stratégique, et un guide de bonnes pratiques sur un élément en particulier pour sécuriser votre organisation. Quelques astuces et outils vous seront aussi partagés.