"Dans une économie de plus en plus numérique, la sécurité informatique et la protection des données d'entreprise sont des enjeux majeurs ", explique Raphaël Henry. "Les entreprises font aujourd’hui face à des menaces internes et externes polymorphes, très dynamiques et dont la complexité ne cesse de croître. Une simple maladresse de la part d’un collaborateur peut mettre à mal l’entièreté de l’infrastructure au même titre qu’un acte de sabotage ou qu’une cyberattaque. De plus, la part croissante prise par les API a un impact phénoménal sur l’industrie digitale. Les systèmes d’informations sont entrés dans une ère d’ultra-connexion où chacun dépend de différents composants traités ou hébergés chez des tiers".
"Ces éléments démontrent l’importance de disposer d’un système d’information de repli en cas d’incident, car le moindre problème dans la chaîne d’approvisionnement peut remettre en cause toute l’activité d’une entreprise", ajoute-t-il. "La base de cette stratégie de secours repose sur la copie des données. Ce principe n’a rien de nouveau puisqu’il remonte au début de la numérisation de notre monde, où l’on a immédiatement entrepris de stocker des données sur différents supports physiques externes, comme des bandes ou des CD, avant de les mettre à l’abri dans un coffre-fort. Néanmoins, il faut à présent prendre en considération les problématiques inhérentes au Cloud et à la mise en conformité des entreprises avec les différentes régulations en vigueur en Europe et au Luxembourg".
Bien comprendre les besoins métier et les enjeux en matière de sauvegarde
"Le Luxembourg possède un contexte différent de ses voisins européens", intervient Franck Lartigue. "Evidemment, chaque entreprise doit se conformer aux règlementations européennes telles que le RGPD ou le règlement DORA, dont le compte à rebours est lancé. Cependant, le Grand-Duché ne se limite pas à appliquer sur son sol les règlementations de l’UE puisque le pays possède ses propres entités régulatrices. La CSSF, par exemple, impose une certaine vigilance en matière de résilience et de backup, ce qui comprend des mesures pour protéger les données personnelles. Toute société, quelle qu’elle soit, doit avoir en sa possession les moyens nécessaires à la continuité de son activité et pouvoir garantir à ses clients qu’elle a la capacité de le faire".
"Il est vital pour une entreprise de bien saisir où se situe son MVC, ou Minimum Viable Company", poursuit Franck Lartigue. "Quels sont les éléments les plus cruciaux ? Quelle est l’étendue des besoins métier qui permettront de remettre en œuvre rapidement l'organisation après une cyberattaque ou autre incident à l'impact similaire ? Toutes les données ne sont pas équivalentes, c’est pour cette raison qu’il faut impérativement classifier les données et les applicatifs de l’entreprise. Pour ce faire, on peut s’appuyer sur un service capable d'apporter du conseil et de construire un BIA - ou Business Impact Analysis ".
"Lors d’une restauration de données, les notions de RPO – Recovery Point Objective - et de RTO – Recovery Time Objective – sont les principaux facteurs derrière les actions puisqu’il faut définir jusqu’à quel point retourner en arrière et la vitesse à laquelle cela doit être fait. Il est essentiel de comprendre ces paramètres pour pouvoir restaurer les données de l'entreprise efficacement et minimiser l'impact d'une perte de données.", précise-il.
Allez plus loin grâce à nos services de Conseil
Le bon backup pour le bon cas d’usage
"Les backups représentent un aspect essentiel de toute stratégie de protection des données. Néanmoins, ils ne sont pas omnipotents pour autant et présentent des limites. Un backup ne peut pas couvrir tous les types d’incidents. Connaître les différentes sources de données d’une organisation, comme le Cloud, les services SaaS de type Microsoft 365 ou encore le back-office, permet d’adapter la stratégie de backup aux exigences de ces mêmes sources", continue Franck Lartigue.
"Il faut souligner que le paradigme du backup a très fortement évolué ces dernières années", précise Alain Eloy. "Auparavant, on se contentait de mettre en place un backup des serveurs et des disques attachés. À l’heure actuelle, ce n’est plus suffisant. En adoptant une stratégie multicloud avec du SaaS, IaaS ou PaaS, la mise en place de solutions de backup devient logiquement beaucoup plus complexe puisqu’il y a plus de technologies et de produits à maîtriser. »
« Les technologies et les supports de stockage évoluant rapidement, il faut aussi réévaluer constamment les solutions pour conserver la maîtrise des coûts, notamment avec la déduplication pour compresser les sauvegardes de manière optimale. On peut aussi noter l’utilisation de technologies d’immutabilité pour rendre la donnée imperméable à toute action durant un certain laps de temps et se protéger de cyber attaque.", continue-t-il.
"Dans le cas du Cloud, le plus simple est d’utiliser la solution du backup affilié. Ce backup se trouvera cependant également sur ce Cloud mais il faut être conscient qu’en cas d’incident majeur, vous ne serez pas le seul à vouloir redémarrer votre système d'information. Il est donc plus prudent d’externaliser le backup vis-à-vis de ce Cloud et de posséder des systèmes capables de remonter l’infrastructure autre part. Avoir un espace de stockage externe supplémentaire pour sauvegarder les données peut fournir une couche de sécurité supplémentaire en cas de perte de données", nuance Alain Eloy.
"Dans le passé", reprend Franck Lartigue, "nous avions l'habitude de discuter des stratégies de backup avec nos clients, en nous concentrant sur les sauvegardes complètes ou les sauvegardes différentielles et incrémentales. De nos jours, ces discussions sont moins courantes et les outils et politiques de sauvegarde ont évolué. Il est indispensable de sauvegarder les données personnelles, d'entreprise et autres sur des supports de sauvegarde fiables pour faciliter une restauration des données efficace en cas de perte de données".
"Il existe cependant une approche historique - dite ‘3-2-1’ - à appliquer pour garantir une bonne gestion de la donnée en tant que telle. Elle consiste à posséder 3 jeux de données complets sur 2 médias différents, dont un sur un média ou site externalisé. Elle a depuis évolué, on peut parler de ‘3-2-1-0’ en s’assurant en plus, que les backups sont bien présents et viables, en effectuant des tests de restauration régulièrement. C’est une étape critique et importante pour l’ensemble des tenants de l’entreprise, des jeux de données à la mailbox individuelle d’un collaborateur.
« Il est important de voir plus loin que l’approche purement technologique, conclut Raphaël Henry, il faut avoir une réflexion globale dans la stratégie de l’entreprise au niveau des impacts business en cas de crise par exemple. Le choix de la solution technologique intervient dans un second temps. A son niveau, EBRC peut vous accompagner de bout-en-bout, de la réflexion stratégique au choix de votre technologie. »
