Les sauvegardes ne sont pas suffisantes pour assurer la sécurité de votre entreprise

Les grandes et les moyennes entreprises, ne sont pas à l’abri des pertes de données coûteuses et préjudiciables. À titre d’exemple, selon le Ponemon Institute, le coût moyen global d’un vol de données s’élève à 3,6 millions de dollars ou 141 dollars par bloc de données. Le vol est évidemment l’une des situations les plus extrêmes de perte de données pour une entreprise. Néanmoins, ce chiffre illustre bien l’impact colossal que la protection de données peut avoir sur les résultats financiers d’une entreprise.

Pertes de données : quelles en sont les causes (y compris celles auxquelles vous n’avez peut-être pas pensé)

Lorsque l’on aborde la question des pertes de données, les cyberattaques sont généralement le premier élément auquel on pense. Les développeurs de rançongiciels continuent de menacer les entreprises et de rançonner leurs données. Les attaques par déni de service distribué (DDoS) peuvent mettre un frein brutal à la productivité des sociétés, tandis que d’autres formes de logiciels malveillants continuent d’infiltrer et de pénétrer les réseaux des entreprises. Les pirates informatiques sont toujours sur la brèche, à l’affût d’une vulnérabilité inédite à exploiter ou d’une nouvelle façon d’infecter un réseau. Tout simplement parce que leurs revenus en dépendent.

Sans nier les graves conséquences que ces attaques peuvent avoir sur le fonctionnement d’une entreprise, il ne faudrait pas non plus oublier certaines causes plus simples, et plus fréquentes, de perte de données pour les entreprises. Il arrive parfois que le matériel soit défaillant, que des collaborateurs commettent des erreurs de conception ou de codage, ou encore que des catastrophes naturelles provoquent des perturbations entraînant des pertes accidentelles ou la suppression de données professionnelles importantes et ultra-sensibles.

Qu’il s’agisse d’un événement mineur ou majeur, une chose est sûre : il est très probable que vos systèmes subissent des interruptions ou des défaillances à un moment donné, et ce indépendamment de votre degré de préparation et d’anticipation. De nos jours, les pertes de données sont une réalité, mais cela ne veut pas dire que vous ne pouvez rien y faire. Votre entreprise peut prendre quelques mesures de base fondamentales pour réduire l’impact de ces événements et minimiser le volume de données perdues.

Par où commencer : changer de perspective

Il est important de commencer par repenser votre stratégie de sauvegarde et de reprise d’activité. Le succès d’une stratégie de reprise d’activité repose exclusivement sur deux facteurs :

1. Sauvegarder ses informations aussi régulièrement que possible.
2. Être capable de restaurer ces sauvegardes en quelques minutes seulement.

Rien de bien compliqué, n’est-ce pas ? En réalité, si vos sauvegardes sont trop anciennes, ou si, pour quelque raison que ce soit, elles sont corrompues ou encore s’il est impossible de les restaurer, votre organisation va au-devant de graves ennuis. Vous devez également faire la distinction entre les données pertinentes et celles qui le sont moins. Si vous ignorez quelles sont les données sauvegardées, à quelle fréquence elles le sont et dans quelle mesure vous pourrez les restaurer, alors vous courez un risque.

Pour mieux comprendre vos sauvegardes et votre capacité à les restaurer, vous pouvez vous appuyer sur les indicateurs RTO (Recovery Time Objective) et RPO (Recovery Point Objective). Le RTO fait référence à la durée nécessaire à la restauration de vos données, tandis que le RPO est un moyen de mesurer la quantité de données qu’il est acceptable de perdre au cours du processus de restauration. Par exemple, si vous avez un RPO de 17 heures, cela signifie qu’il est acceptable pour vous de perdre 17 heures de données.

En plus de ces indicateurs chiffrés, vous devez également déterminer les différences entre les informations opérationnelles de base et les informations stratégiques critiques, afin d’accorder la priorité aux données et systèmes qui vous aideront à reprendre vos activités habituelles plus rapidement. Par exemple, dans le secteur de la vente au détail, les systèmes de transaction (comme les terminaux du point de vente) seront vraisemblablement incontournables pour une reprise rapide des activités, tandis que la restauration d’un document marketing en cours d’élaboration ne revêtira pas le même degré d’urgence.

Or, comme si déterminer ces facteurs n’était pas déjà assez compliqué, il faut ajouter le fait que les environnements informatiques ont considérablement évolué au cours de ces dernières années. Les organisations s’appuient souvent sur un ensemble hétérogène d’environnements sur site, Cloud et hybrides, et les données sont à la fois diversifiées et disséminées sur toute une gamme d’appareils. Dans les sociétés internationales, les collaborateurs distants travaillant dans des bureaux décentralisés sont susceptibles d’utiliser des appareils mobiles, qu’il faut également prendre en compte lors d’une procédure de sauvegarde et de reprise. L’ensemble de ces facteurs peut ajouter une couche de complexité et de confusion au processus de sauvegarde et retarder la capacité d’une entreprise à restaurer efficacement ses données.

Comment repenser les méthodes conventionnelles de sauvegarde pour éviter les sinistres

À présent, vous vous dites sans doute que « le fait d’éviter un sinistre s’apparente en fait beaucoup à des mesures de précaution, non ? ». La réponse est nuancée. Le terme « prévention des sinistres » se rapporte aux façons dont vous pouvez réduire, voire éliminer l’impact et les coûts potentiels de pannes, sans pour autant empêcher intégralement ces événements de se produire. Lorsque cette stratégie fonctionne, cela signifie que la panne est imperceptible au niveau opérationnel, ce qui donne l’impression d’avoir « évité » la catastrophe et de ne subir qu’un problème mineur (en particulier aux yeux des utilisateurs et des autres parties prenantes). Cela revêt une importance majeure à l’ère actuelle de « l’économie de l’expérience ». Plus que jamais, les clients s’attendent à vivre une expérience homogène. C’est pourquoi des pertes de données et des interruptions d’activité prolongées peuvent avoir un impact négatif brutal sur leur satisfaction et leur fidélité à long terme.

Le succès d’une stratégie de prévention des sinistres dépend entièrement de l’investissement de l’ensemble de l’entreprise (et pas uniquement de l’équipe informatique) dans ce domaine. C’est la raison pour laquelle il est primordial que les équipes informatiques travaillent main dans la main avec les équipes d’exploitation pour déterminer où les RTO et les RPO doivent être proches, et quelles applications ne seront pas significativement entravées par une sauvegarde conventionnelle de données. Cela signifie également que les investissements en planification de  reprise après sinistre doivent évoluer. Bien trop souvent, des entreprises engagent des ressources budgétaires dans la planification de reprise après sinistre sans avoir au préalable calculé le risque financier d’une interruption et d’une perte de données (laissez-moi vous dire que cela peut coûter très cher ).

Pour sécuriser des fonds propres afin de disposer d’un programme efficace de continuité des activités et de reprise après sinistre, il est judicieux d’expliquer aux dirigeants de l’entreprise que la probabilité de survenue d’une interruption est extrêmement concrète, et que le fait de ne pas disposer des fonds nécessaires peut au final se traduire pour la société par des coûts bien plus élevés sur le long terme.

1. Créez et comprenez votre profil de risque : les responsables de la continuité des activités doivent se fixer comme priorité de bien comprendre le niveau de risque de l’entreprise. Cela inclut l’évaluation de la durée pendant laquelle l’organisation peut supporter une indisponibilité et les différentes menaces qu’elle est le plus susceptible de rencontrer (qu’il s’agisse d’une attaque par rançongiciel ou d’une panne de serveur). Le fait de comprendre les menaces internes et externes qui pèsent sur l’organisation peut en effet aider les responsables de la continuité des activités à savoir quels sont les systèmes les plus importants à restaurer, en raison de l’impact potentiel qu’ils peuvent exercer sur l’ensemble de l’activité de l’entreprise.

2. Envisagez l’automatisation des charges de travail pour rationaliser le processus : tout cela peut sembler particulièrement chronophage, mais ce n’est pas une fatalité. Par exemple, l’automatisation de charges de travail qui risquent de mobiliser une grande partie du temps de l’équipe informatique ou qui ne sont pas à l’abri de défaillances humaines est une façon de réduire les ressources nécessaires en temps.

Au début, l’automatisation peut s’avérer un exercice délicat, mais au bout du compte le jeu en vaut la chandelle. Lorsque vous faites vos premiers pas dans l’automatisation, commencez par des systèmes de moindre importance stratégique, de façon à pouvoir résoudre les bugs et tout problème imprévu susceptible de se produire. Il est également important de penser à tester régulièrement le processus pour garantir son bon fonctionnement. Il ne s’agit pas uniquement de veiller à la sauvegarde des données, mais aussi de s’assurer que leur restauration est aisée.

3. Définissez vos RPO stratégiques : les différents volets de votre activité nécessitent différents RPO. L’écosystème de votre entreprise comporte sans doute des sphères dans lesquelles des données qui ont plus d’une heure sont inutiles, tandis que dans d’autres sphères, des informations bien plus anciennes sont absolument cruciales. Or, certains responsables de la continuité des activités ne prennent pas le temps nécessaire à la compréhension exacte de la façon dont l’âge des données exerce un impact sur l’intégralité du processus de restauration. Il ne sert pas à grand-chose de rebasculer rapidement en ligne pour reprendre vos activités si vous ne disposez pas des données exactes. Veillez à ce que vos RPO soient en phase avec vos exigences opérationnelles : c’est l’une des mesures les plus critiques à prendre pour prévenir des pertes financières importantes.

4. Regardez du côté des nouvelles technologies pour aider l’équipe à assurer la maintenance et l’exécution du plan : Par le passé, les clients devaient appeler leur fournisseur DRaaS (Disaster Recovery as a Service) pour allumer manuellement une machine virtuelle dans le Cloud afin de transférer des charges de travail. Les coûts pouvaient alors atteindre des sommets. Aujourd’hui en revanche, les clients peuvent accéder automatiquement à leur Cloud et lancer une procédure de basculement. Les progrès réalisés dans le secteur de la DRaaS se sont également soldés par une amélioration des RTO. Ces derniers apparaissent ainsi comme la solution idéale pour protéger des bases de données semi-transactionnelles et quasi transactionnelles. Bon nombre d’entreprises ont des appréhensions quant à l’utilisation d’une technologie de reprise après sinistre. Quels que soient les arguments avancés (coûts prohibitifs ou complexité démesurée), il est temps pour ces sociétés de revenir sur leurs idées reçues. De nouveaux logiciels DRaaS peuvent assurer des RTO et des RPO de quelques minutes. De plus, leur déploiement et leur distribution sont bien souvent un jeu d’enfant.

Il est très important que les (petites et grandes) entreprises admettent le fait que les sinistres sont inévitables. Cette prise de conscience constitue le premier pas vers la réduction de l’impact de ces problèmes, ce qui peut en retour contribuer à préserver leur rentabilité et la fidélité de leurs clients. Les mesures les plus efficaces que peut prendre chaque entreprise pour garantir qu’elle dispose des sauvegardes adéquates en vue d’éviter les catastrophes sont les suivantes : prendre le temps de comprendre les risques, accorder la priorité aux systèmes et données essentiels à l’activité et à la mission de l’entreprise, et investir dans des technologies qui contribueront à gérer le processus de bout en bout.