Protection des données pour les PME : en cloud ou sur site ?

Alors même que le cloud commence à faire son chemin dans les esprits et dans les systèmes d’informations, certains experts prédisent déjà un retour dans les prochaines années à l’hébergement local des données. Que faut-il en penser ?

Alors même que Google explique que l'incident qui a privé de leurs contenus des milliers d'utilisateurs de Gmail provient de la nouvelle version de l'application de sauvegarde, on peut légitimement s’inquiéter de la sécurité des données. Cela ne veut pas dire qu’il ne faut pas sauter le pas, bien au contraire, car les avantages du cloud sont nombreux. Mais il convient auparavant d’évaluer les avantages et les inconvénients de l’une et l’autre solutions

Mise en œuvre d'un plan de reprise d'activité après un sinistre : quels éléments faut-il prendre en compte ?

C'est l'un des principaux défis que doivent relever les petites et moyennes entreprises (PME) : une équipe IT réduite et débordée, avec un budget IT restreint. Ces restrictions affectent la capacité des entreprises à assurer une protection et une sauvegarde efficaces des données, ce qui pourrait engendrer des effets négatifs sérieux sur leur activité en cas de sinistre.

Comme les grandes entreprises, les PME doivent stocker et protéger les données critiques, souvent celles de leurs clients, et s'assurer qu'elles sont facilement disponibles lorsqu'elles sont exigées, souvent à la demande du gouvernement ou d'autres entités. Grâce aux technologies cloud, il est aujourd'hui plus simple pour les entreprises de toutes tailles de mettre en place un plan efficace évitant la perte des données critiques relatives aux clients et à l'activité en cas de sinistre. Les PME vont rapidement atteindre un point de basculement qui les amènera à utiliser un nouveau modèle de sauvegarde et de récupération des données basé sur le principe du cloud, un modèle plus rapide, plus fiable et plus sûr que par le passé.

Pourquoi il est essentiel de planifier la reprise sur sinistre ?

Les données sont le noyau de nombreuses petites et moyennes entreprises. Leur sauvegarde et leur protection sont donc essentielles. Nous pouvons espérer que les catastrophes naturelles ou les pannes complètes n'arrivent qu'aux autres, mais la prudence nous dicte de toujours nous préparer au pire. Il en va de notre activité, et des données critiques de nos clients également. En fonction de votre situation géographique, les sinistres peuvent être des catastrophes naturelles, par ex. des séismes, des inondations, des ouragans, des tempêtes de neige ou des tornades. Cependant, les sinistres peuvent également résulter d'événements aléatoires tels que des incendies, des coupures de courant ou des surtensions, des défaillances de matériel, des erreurs de logiciel ou de firmware, ou encore d'événements d'origine humaine comme des employés mécontents ou des personnes malintentionnées qui souhaitent exposer vos données.

Durant combien de temps votre société pourrait-elle survivre si vous perdiez toutes vos données aujourd'hui ? Votre société devrait-elle interrompre son activité si vous n'avez pas accès à votre inventaire, vos informations financières, vos feuilles de paie, vos listes de clients, vos e-mails et vos données électroniques sur les transactions effectuées ? Il est essentiel d'avoir un plan de reprise sur sinistre en place et il est plus que judicieux de prévoir le pire lorsque tout va pour le mieux.

Qualité / Quantité des données à sauvegarder : quelles procédures mettre en place ?

Lorsque vous développez un plan de préparation et de reprise après sinistre, prenez en compte le temps de récupération admissible de vos données, le point de reprise admissible et l'éventuelle nécessité d'un accès distant à vos données. Votre plan doit également couvrir l'inventaire de votre système, les numéros à appeler en cas d'urgence et les plans d'évacuation. Pour planifier la sécurité et la disponibilité de vos données, la première étape consiste à déterminer quelles sont les données qu'il vous faut protéger et définir quel moyen d'accès à ces données vous est nécessaire en cas de sinistre. Toutes vos données professionnelles sont importantes, mais certaines le sont peut-être plus que d'autres.

Par exemple, votre serveur de messagerie électronique ou votre serveur de commerce électronique peut être vital et une perte de plusieurs minutes, heures ou jours peut causer une longue interruption qui pourrait s'avérer fatale. En revanche, les données qui se trouvent sur l'ordinateur portable d'un collaborateur peuvent être moins vitales et votre activité pourrait se poursuivre en ne subissant qu'une interruption relativement courte si les données s'avéraient indisponibles quelques jours ou quelques semaines. Il est donc pertinent d'établir la liste complète des systèmes vitaux et de ceux qui ne le sont pas avant de poursuivre.

Il est également essentiel de déterminer le point de reprise admissible (RPO). Cela consiste à définir le volume de données que vous pouvez vous permettre de perdre. Le RPO correspond au point de référence dans le temps qui est défini pour la restauration des données. Par exemple, si vous sauvegardez votre système chaque jour à minuit, votre RPO est de 24 heures. En cas d'incident, toutes les données modifiées ou saisies entre minuit et 23h59 seront perdues. Les données sont donc exposées durant 23 heures et 59 minutes. Cela peut être acceptable pour des données conservées sur un ordinateur personnel, mais la plupart des sociétés exigent des fenêtres de sauvegarde plus courtes, parfois de cinq minutes. Une architecture à plusieurs niveaux offre justement ce degré de flexibilité et réduit les coûts tout en atténuant les risques.

Une entreprise déterminera également son temps de récupération admissible (RTO) qui est en corrélation avec le temps nécessaire à la restauration du système et des données à partir de la sauvegarde. Le RTO correspond au délai souhaité par une société pour restaurer un système et ses données en cas de sinistre. Le principal facteur ici est la vitesse à laquelle les données enregistrées sur le support de sauvegarde peuvent être restaurées sur un système. Par exemple, si un fichier est perdu, dans quel délai devez-vous le récupérer ? Il est préférable de planifier tous ces éléments à l'avance. De cette manière, une fois votre plan de reprise sur sinistre en place, vous connaissez le temps nécessaire à votre entreprise pour restaurer et récupérer les données et les systèmes qui sont essentiels à votre activité.

Pour conclure, étant donné que tous les systèmes et toutes les données ne revêtent pas la même importance, il est possible de créer un plan de reprise multi-niveaux. Ce plan multi-niveaux a pour avantage d'optimiser les coûts de la reprise sur sinistre qui peuvent varier en fonction du plan de reprise que vous choisissez de mettre en place. Finalement, votre volonté et votre capacité à atténuer les risques sont directement proportionnelles au type de plan de reprise sur sinistre que vous choisirez.