« C’est dans le Cloud » ne veut pas dire que c’est sauvegardé

Vous pensez que vos données sont sauvegardées parce qu’elles sont dans le cloud ? Et bien non. Car la sauvegarde des données et la résilience ne sont pas fournies « en standard »
5 minutes de lecture
Sommaire

Vous pensez que vos données sont sauvegardées parce qu’elles sont dans le cloud ? Et bien non. Car la sauvegarde des données et la résilience ne sont pas fournies « en standard » avec la plupart des services cloud ou Saas. Notamment avec Microsoft 365. La souveraineté est également importante pour protéger les sauvegardes, avec un cloud 100% français, comme celui de Naitways. Voici quelques explications pour comprendre les enjeux de la sauvegarde et de l’archivage cloud. 

Une prise de conscience liée au risque cyber

Ces derniers mois, beaucoup d’entreprises ont compris l’importance d’une stratégie de sauvegarde prenant en compte les données cloud. Cette prise de conscience est liée à la multiplication des cybermenaces, en particulier les attaques par ransomware (rançongiciel). Elles ont touché près d’une entreprise sur deux en 2023 (ANSSI).

Mais d’autres continuent de sous-estimer les risques. Malheureusement, les environnements cloud ou SaaS ne sont pas immunisés face aux cybermenaces ou aux suppressions accidentelles de fichiers. Ainsi, une attaque de type Cryptolocker peut se propager dans un environnement Microsoft 365 lors d’une synchronisation de fichiers entre le PC d’un collaborateur et le OneDrive de l’entreprise. Sans stratégie et outils de sauvegarde spécifiques, les fichiers de l’entreprise sont alors inaccessibles ou corrompus.

Signalons aussi que de plus en plus de commissaires aux comptes et de cabinets d’analystes incluent la gestion des données et la capacité de reprise après incident dans leur audit et scoring. Car la donnée est désormais un actif que les entreprises peuvent exploiter et valoriser dans leur bilan, mais qu’elles doivent aussi protéger.

Nous voyons ainsi augmenter le niveau d’exigence des décideurs lors du choix d’un partenaire d’externalisation. C’est pourquoi le cloud français Naitways a passé les certifications ISO 27001 et HDS (Hébergeur de données de santé) afin d’offrir les plus hautes exigences et garanties pour la sécurité des données.  

Sauvegarder les données pour protéger l’entreprise

Rappelons que la sauvegarde des données sert à protéger et à préserver l’entreprise des conséquences d’une erreur, d’un incident ou d’une cyberattaque. Car malgré la multiplication des outils et méthodes de cybersécurité, le risque est toujours présent.

Une bonne stratégie de sauvegarde et de restauration de données ne va donc pas éliminer le risque. La sauvegarde va limiter les conséquences du risque : la perte, le vol ou l’altération des données. Et réduire les conséquences négatives pour le fonctionnement de l’entreprise. 

Une des règles de base de la sauvegarde pour protéger la continuité d’activité de l’entreprise est la règle 3-2-1. Elle signifie que vous devez disposer de 3 copies de vos données, sur 2 supports différents et d’une copie conservée hors site. Un stockage dans un seul cloud n’offre donc pas ce niveau de redondance. C’est pourquoi les données sauvegardées par Naitways sont répliquées en 3 exemplaires entre nos datacenters de Paris et Lyon.

Pourquoi les entreprises oublient-elles la sauvegarde en cloud et SaaS ?

La flexibilité, l’efficacité et les économies apparentes du cloud et du SaaS ont fait oublier à de nombreuses entreprises les bonnes pratiques de l’informatique sur site. Pourtant, un cloud repose aussi sur des serveurs physiques qu’il faut gérer. Et des sauvegardes régulières font toujours partie des règles d’hygiène pour protéger les données. Mais en choisissant un prestataire de cloud ou un éditeur en SaaS, les entreprises pensent à tort qu’elles ont aussi externalisé la responsabilité des sauvegardes. Par exemple, après la migration d’une messagerie d’un serveur Exchange (sur site) vers le cloud Microsoft 365. Certaines entreprises ne réalisent pas qu’elles doivent continuer de gérer leurs sauvegardes. Ou les confier à un prestataire externe. 

Beaucoup confondent en fait la disponibilité des données (leur accessibilité entre 99,9 % et 99,9999 % du temps) et l’intégrité des données (leur fiabilité, exhaustivité et exactitude). Or les services cloud indiquent bien la disponibilité dans leurs contrats, mais n’incluent pas la sauvegarde dans les forfaits « de base ». Oui, les données sont stockées dans le cloud. Mais elles ne sont pas protégées par une sauvegarde immuable (une copie qui ne peut pas être altérée, supprimée ou modifiée).

Pour se protéger des incidents ou des attaques, une stratégie et des outils de sauvegarde sont nécessaires. Les données cloud doivent donc être intégrées dans un Plan de Reprise d’activité (qui définit des délais de reprise acceptables pour l’entreprise). Ou un Plan de continuité d’activité (lorsque tout arrêt de l’activité doit être évité).

Par exemple, pour l’un de nos clients dans le domaine des travaux publics, nous avons une obligation de restauration de données et de reprise d’activité en moins de 9 minutes. Car à la 10ème minute, des matériaux vont sécher et endommager des machines indispensables sur les chantiers.

Vous avez un besoin spécifique ?

Je contacte un expert Naitways

Sans oublier l’archivage des données cloud

De plus, l’intégrité des données doit s’appliquer tout au long du cycle de vie de la donnée. Y compris lorsque la donnée n’est plus utilisée en production. L’archivage de ces données « froides » doit notamment permettre de respecter certaines durées légales de conservation.

Par exemple, pour des documents comptables. L’administration fiscale indique que les liasses fiscales et factures doivent être conservées 6 ans à partir de la clôture de l’exercice auquel elles sont rattachées. Soit jusqu’à 7 ans, voire près de 8 s’il s’agit d’un premier exercice de plus de 12 mois. Ou encore dans l’industrie agroalimentaire. La durée de conservation de documents pour la traçabilité, comme des numéros de lots, dépend alors des dates limites de consommation ou de durabilité minimale.

Enfin, les règles de conservation des dossiers médicaux sont extrêmement complexes. Pour les cliniques et hôpitaux, les dossiers doivent être conservés 20 ans à partir de la date de la dernière consultation ou hospitalisation. D’autres règles s’appliquent pour les patients mineurs ou en cas de décès. Et les pharmacies, les laboratoires, et les cabinets médicaux sont soumis à encore d’autres obligations de stockage de données médicales. 

C’est pourquoi les sauvegardes et l’archivage cloud nécessitent des outils spécialisés en gestion du cycle de vie des données. Citons en particulier les outils de Veeam, sur lesquels les équipes Naitways sont certifiées. 

Un cloud français pour protéger la souveraineté des données

Enfin, certaines entreprises ont besoin de garantir que leurs sauvegardes de données ne quittent pas le territoire français. Ceci concerne les données de santé, mais aussi des secteurs sensibles ou critiques comme la Défense et les hautes technologies. Ces acteurs peuvent sauvegarder leurs données sur site ou dans un cloud français pour respecter leurs obligations réglementaires. C’est aussi une protection contre l’espionnage industriel et le vol de propriété intellectuelle. 

Choisir un cloud français pour ses sauvegardes est intéressant sur le plan technique et économique. Car maintenir une infrastructure de sauvegarde demande des moyens techniques et des compétences pointues. Pour de l’archivage longue durée, sur 5, 10 ou 20 ans, l’entreprise devra aussi prendre en compte les risques et les coûts associés aux migrations matérielles et logicielles sur plusieurs générations de technologies.

L’externalisation des sauvegardes et de l’archivage dans un cloud souverain français permet de bénéficier d’optimisation budgétaire. Car les coûts sont alors répartis sur plusieurs clients. Ceci implique que les responsabilités du partenaire d’externalisation soient clairement définies. Avec une validation par le client de la durée maximale d’interruption admissible (RTO) ainsi que la perte de données maximale admissible (RPO).

Conclusion

Choisir d’externaliser ses sauvegardes et son archivage cloud demande donc une étude préalable pour déterminer la criticité des données, les délais de reprise à contractualiser, et optimiser le budget. Bien sûr, l’équipe Naitways peut vous aider à bâtir une stratégie de sauvegarde adaptée aux contraintes des PME-ETI. Sans compromis sur la sécurité.