Aller au contenu principal

Plan de sauvegardes

PREAMBULE

Qu’est-ce qu’un plan de sauvegarde informatique ?

Le plan de sauvegarde informatique, également appelé plan de sauvegarde de données, définit la stratégie adoptée par l’entreprise pour dupliquer et sécuriser toutes les données contenues dans son système informatique.

Il décrit également le processus de restauration à respecter. C’est d’ailleurs pourquoi le plan de sauvegarde informatique va de pair avec :

  • le plan de reprise d’activité,
  • le plan de continuité d’activité.

Contrairement à ce qu’on pourrait croire, toute organisation, qu’importe sa taille, a besoin d’une procédure de sauvegarde. En effet, la perte d’information s’avère souvent très néfaste, même pour les entités les plus modestes. Évidemment, la politique mise en place et les outils utilisés doivent s’adapter.

Pourquoi le plan de sauvegarde informatique est-il important ?

Grâce à la sauvegarde, vous disposez d’une copie pour restauration en cas d’incident entraînant une perte de données (attaque informatique, sinistre, catastrophe naturelle, erreur humaine, etc.),

Un indispensable, donc, pour les entreprises qui souhaitent exercer en totale sécurité. Une solide stratégie de backup réduit au maximum le temps d’arrêt, et par là même :

  • limite les pertes financières découlant de la disparition des informations ;
  • vous prémunit du mieux possible de l’impact négatif qu’un tel événement a sur l’image de l’organisation.

Voyons maintenant les différentes étapes à suivre pour réaliser un plan de sauvegarde informatique efficace.

1ère étape : Réalisez un état des lieux de l’existant

Dans la plupart des organisations, il est très probable que les responsables du projet ne partent pas de zéro. Vraisemblablement, le service informatique accomplit déjà des sauvegardes régulières.

Commencez donc par rassembler l’ensemble des documents associés et examinez la procédure actuellement déployée.

Observez également l’historique des problèmes rencontrés de sorte à comprendre comment l’entreprise les a gérés. Il s’agit d’un bon point de départ pour identifier vos forces, vos faiblesses, puis procéder à un travail d’optimisation du processus.

À savoir : certaines sociétés choisissent de faire appel à un mandataire externe afin de réaliser un audit de sauvegarde informatique, à l’issue duquel elles se verront proposer des préconisations.

2ème étape : Décidez qui a la charge de quoi

Autre prérequis à l’élaboration d’un plan de sauvegarde informatique : savoir précisément qui fait les procédures du plan de sauvegarde informatique, quels sont les acteurs de l’entreprise impliqués.

Dans tous les cas, pour en établir le périmètre, la stratégie doit prendre en compte les avis et retours d’expérience de divers collaborateurs, comme les responsables des technologies et applications ou les administrateurs des données.

Par ailleurs, on vous conseille de travailler de concert avec la Direction et d’obtenir son appui quant au déploiement de cette nouvelle politique de backup.

3ème étape : Identifiez les données prioritaires

En fonction de vos possibilités de budget à allouer, priorisez les informations à sauvegarder.

Pour ce faire, identifiez celles dont la perte impacterait le plus négativement votre business. Ces données clés sont également celles à restaurer en premier en cas de problème.

Cependant, dans la mesure du possible, mieux vaut sauvegarder l’ensemble de vos informations, car toutes sont susceptibles de revêtir de forts enjeux. Et on ne sait jamais à l’avance lesquelles deviendront la cible privilégiée des pirates informatiques…

À savoir : un tel travail nécessite une visibilité optimale sur toutes vos data, d’où l’intérêt d’établir au préalable une solide stratégie de gouvernance des données.

4ème étape : Définissez les méthodes de sauvegarde utilisées

Pour rappel, quels sont les différents types de sauvegarde ?

On retient d’ordinaire les trois modes opératoires suivants :

  • la sauvegarde complète, qui consiste à réaliser une copie totale des données ;
  • la sauvegarde incrémentale, concernant uniquement les informations modifiées depuis la dernière sauvegarde incrémentale ;
  • la sauvegarde différentielle, prenant cette fois-ci en compte les données modifiées depuis la sauvegarde complète précédente.

Chacune présente ses propres avantages et inconvénients.

5ème étape : Déterminez la fréquence des backups

Déterminez ensuite la fréquence de sauvegarde de vos données, selon votre RPO (Recovery Point Objective). Cet acronyme caractérise le volume d’informations non copiées que vous êtes prêt à perdre si incident.

Évidemment, plus votre RPO est court, plus le prix de votre solution de sauvegarde grimpe.

À savoir : la CNIL recommande de réaliser des sauvegardes incrémentales quotidiennes et des sauvegardes complètes à intervalles réguliers, toutes les semaines par exemple.

6ème étape : Choisissez les emplacements des sauvegardes

Une des règles les plus couramment utilisées est celle du 3-2-1.
Elle consiste à disposer :

  • d’au moins 3 copies de vos données,
  • à 2 emplacements différents,
  • dont 1 hors site.

À savoir : l’automatisation permet de gagner en efficacité sur le processus et d’éviter les oublis qui se révèleraient néfastes. La programmation des backups s’opère via des logiciels dédiés.

7ème étape : Testez la procédure de sauvegarde

Testez toujours la procédure de sauvegarde établie de manière à vérifier que tout fonctionne correctement.

Pour cela, utilisez des systèmes de simulation puis observez comment réagirait votre SI en cas de problème réel (temps nécessaire à la remise en marche de votre activité par exemple). Ainsi, vous détectez les anomalies potentielles en vue d’appliquer les mesures correctives nécessaires.

On vous recommande de procéder à ces tests le plus régulièrement possible, en vous appuyant, pourquoi pas, sur un calendrier.

8ème étape : Sélectionnez les bons fournisseurs de service

On l’a vu, difficile de faire l’impasse sur le backup cloud quand il s’agit d’assurer une protection optimale de vos données. Mais encore faut-il choisir les bons fournisseurs !

Tout sur la sauvegarde externalisée : définition, avantages et comparatif de solutions

9ème étape : Formalisez le plan de sauvegarde à l’aide d’un document

Il est temps de formaliser tout ça à l’aide d’un document, une sorte de charte, afin que tous les collaborateurs disposent du même niveau d’information.
Il reprendra alors les éléments suivants :

  • les objectifs attendus par l’organisation ;
  • le périmètre du plan de sauvegarde, mentionnant notamment les membres de l’équipe impliqués ;
  • la politique de backup : règles générales, données concernées, emplacements, etc. ;
  • le processus précis mis en place, c’est-à-dire qui fait quoi et à quel moment ;
  • la procédure de restauration des données ;
  • les divers tests attendus.

10ème étape : Challengez votre plan de sauvegarde

Enfin, pensez à réévaluer fréquemment votre plan de sauvegarde. Ainsi, vous vous assurez de son alignement sur la réalité ainsi que sur les objectifs de l’entreprise.

N’hésitez pas à le modifier, à l’améliorer, car les risques auxquels vous êtes exposés évoluent constamment.

remarque

Les chapitres ci-dessous doivent être modifiés en fonction de la stratégie déployée au sein du SI. Les informations qui sont écrites ci-dessous sont données à titre d’exemple (état de l’art SSI, bon sens et/ou règlementation)

INTRODUCTION

OBJET DU DOCUMENT

L’objet de ce document est de présenter une stratégie de sauvegarde de l’information pour répondre aux besoins de préservation de l’information de [X] .

CHAMP D’APPLICATION DU DOCUMENT

Ce document s’applique au périmètre du [X]. Celui-ci est défini dans la [X].

RESPONSABILITES ET REVUE DU DOCUMENT

Le [X] est chargé de gérer les révisions du présent document.

Il est revu au moins sur une base annuelle.

Une revue peut être effectuée dans les cas suivants : évolution du périmètre, évènement exceptionnel, changement ou incident majeur.

POLITIQUE GENERALE DE SAUVEGARDE

Nous décrivons dans ce chapitre la politique générale de sauvegarde de [X]. Cette politique s’applique à l’ensemble des SI. Il s’agit d’un cadre minimal d’exigences qui sera adapté en fonction des contextes concernés.

RESPONSABILITE

Les équipes [X] mandatrices d’une prestation de sauvegarde restent responsable de l’adéquation de cette sauvegarde avec la présente politique et avec les enjeux du périmètre sauvegardé. Le MCO, le MCS et l’exploitation du service de sauvegarde peuvent être externalisés mais les équipes [X] doivent contrôler et mesurer les résultats de ce type de prestation.

Règles générales du plan de sauvegarde, internalisé ou externalisé

  • RTO : fait souvent référence au temps pendant lequel une application, un système et/ou un processus peut être en panne sans causer de dommages importants à l'entreprise, ainsi qu'au temps passé à restaurer l'application et ses données.
    RTO : [X heures/jours]

  • RPO : fait généralement référence à la quantité de données qui peuvent être perdues au cours de la période la plus opportune pour une entreprise, avant qu'un préjudice important ne se produise, à partir d'un événement critique jusqu'à la sauvegarde la plus précédente.
    RPO : [X heures/jours]

  • Types de sauvegardes :
    incrémentielles, complète

  • Fréquence :
    Les sauvegardes doivent être réalisées à minima toutes les [X Heures].

  • Rétention :
    La rétention standard est la suivante :

    • Quotidien : 1 semaine : 7 points de restauration sur 7 jours glissants]
    • Hebdomadaire : 1 mois : 1 point de restauration par semaine, soit 5 points de restauration sur 5 semaines glissantes]
    • Mensuel : 1 an : 1 point de restauration par mois, soit 12 points de restaurations sur 12 mois glissants
      La rétention minimale acceptée pour des services non critiques est de [X jours] jours glissants.

  • Chiffrement :
    Les données sauvegardées doivent être chiffrées pendant le transfert et au repos avec un algorithme de chiffrement AES 256 bits minimum ou équivalent.

  • Immuabilité :
    L’option de sauvegarde Offline ou immuable doit être sélectionnée lorsque celle-ci est disponible.

  • Stockage :
    Indiquer le lieu de stockage des sauvegarde

  • Tests de sauvegarde et restauration :
    Des tests de restauration doivent être menés, à minima mensuellement sur un échantillon représentatif du périmètre sauvegardé.

  • Supervision et Contrôle :
    La plateforme de sauvegarde doit être supervisée et des alertes doivent être générées en cas de non-exécution des sauvegardes attendues. :
    Rapport de sauvegarde
    Taux de réussite des sauvegardes et de restauration

REGLE SPECIFIQUES DANS LE CAS DES SAUVEGARDES EXTERNALISEES

Dans le cas de l’externalisation d’une prestation de sauvegarde, il convient de s’assurer que les SLA (Service Level Agreement) sont alignés avec les engagements internes et externes du périmètre sauvegardé.

On pourra positionner des indicateurs de niveau de service sur la disponibilité, le taux de réussite des sauvegardes/restaurations.

Une attention toute particulière devra être apportée à la localisation des données afin d’être en conformité avec les législations en vigueur.

Le processus de réversibilité des données devra être étudié pour anticiper les impacts de ce processus sur un changement de mandataire afin de conserver un accès à l’historique des sauvegardes réalisées.

CAS SPECIFIQUE DES ACTIFS RESEAUX

L’infrastructure de sauvegarde est fournie, opérée et sous la responsabilité du [X].

Il convient de sauvegarder au moins annuellement la configuration des actifs réseaux (routeur, switch, pare feux, borne wifi …) et d’effectuer une sauvegarde lors de la modification d’un de ces actifs.

CAS SPECIFIQUE DES APPLICATIONS HEBERGEES DANS LE CLOUD

Il est important de déterminer les responsabilités en termes de sécurité et de sauvegarde suivant le type de Cloud (IaaS , PaaS , SaaS) et la nature de de l’hébergement ( public ou privé) :

  • IaaS (Infrastructure as a service) : Service cloud permettant aux entreprises d’héberger ses logiciels et bases de données
    • Cloud public : Infrastructure mutualisée avec d’autres clients
    • Cloud privé : Infrastructure dédié
      • Qu'il soit public ou privé, ce sera à vous de définir et de mettre en œuvre les architectures et la politique de sauvegarde pour pérenniser vos données, , les services déployés et logiciels tiers. Votre fournisseur sera responsable de la sécurité liée au stockage, aux serveurs et réseaux, à l’hébergement et à la maintenance.

Exemple de IaaS : OVH, Amazon Web Services (AWS), Microsoft Azure, IBM Cloud, Aliyun (Alibaba Cloud)

  • PaaS (Plateforme as a Service) : Service cloud permettant de fournir à l’entreprise un environnement complet et géré, lui permettant de déployer ses applications sereinement.
    Généralement les grands acteurs du cloud public : Nuage SAP, AWS Lambda, Windows Azure, , Dokku, Moteur d’applications Google, Apache Stratos, OpenShift, IBM Cloud Fonderie …
    • La sauvegarde des données est à la charge de l’entreprise hébergée qui peut donc appliquer sa politique de sauvegarde
  • SaaS (Software as a Service) : L’entreprise a souscrit auprès d’un fournisseur l’accès à une application. L’application est entièrement gérée par le fournisseur, incluant aussi les données de l’entreprise nécessaires au bon fonctionnement de l’application. La sécurité, les mises à jour, la correction de bugs et l’obsolescence sont entièrement gérés par le fournisseur.
    Exemples de SaaS : Gmail, Slack, Trello, Salesforce, Dropbox, Sage , Cegid
    • Que ce soit dans un cloud privé ou public , c’est la politique de sauvegarde du fournisseur qui s’applique

ANNEXE 1 – Schéma plan de sauvegarde

Importer son schéma du plan de sauvegarde avec visualisation des flux.

ANNEXE 2 : Liste des actifs support à sauvegarder : serveurs, actifs réseaux, …

Exemple :

Actif SupportRôleRPO (heures)RTO (heures)
SRV1 -DC1Contrôleur de Domaine44
FW1Pare-feu
SW1Switch baie 1

ANNEXE 3 : Liste des applications critiques et non critiques à sauvegarder

Exemple :

ApplicationsFonctionRPO (heures)RTO (heures)
PLMLogiciel de gestion des données techniques
SRV-COMPTALogiciel Comptabilité

ANNEXE 4 Liste des travaux de sauvegarde

Exemple :

Nom du travail :Backup-1
Type :☐Sauvegarde bande

☐Sauvegarde disque

☐Copie
Contenu :
Fréquence :
Rétention :X jours
Type :☐incrementielle

☐complete hebdomadaire

☐Complete mensuelle
Support de stockage :☐Disque Locaux

☐SAN : Nom du support

☐NAS : Nom du support

☐Bande LTO

☐Cloud : Nom du support
chiffrement☐OUI

☐NON

ANNEXE 5 : Matrice RACI

Exemple :

ACTIONRESPONSABLE
Revoir le plan de sauvegarde
Identifier les actifs supports à sauvegarder
Définir la criticité des actifs support à sauvegarder
Identifier les données à sauvegarder
Planification des activité de sauvegarde
Programmation des sauvegardes
Test des sauvegardes et restaurations
Mise à disposition des indicateurs de sauvegarde et restauration
Revue des indicateurs de restaurations
Restauration des sauvegardes

ANNEXE 6 : Annuaire des responsables

Exemple :

NOMFonctionAdresseTel /mail