Assurer la sécurité des données revient à satisfaire quatre besoins : la disponibilité, l’intégrité, la confidentialité et la traçabilité. Une information à laquelle il est possible d’accéder en permanence, qui n’est pas modifiée ni accessible à un tiers sans autorisation, et dont on peut retrouver le parcours entre sa création et son utilisation, est à priori une information sécurisée.
Tous ces paramètres sont évidemment fondamentaux, mais la disponibilité revêt une importance particulière : en effet, une donnée intègre, confidentielle et traçable n’a aucune valeur si elle est inaccessible ou détruite ! La disponibilité est assurée par la sauvegarde, qui consiste à copier sur un support quelconque des informations pour les conserver et pouvoir les restaurer en cas de besoin. Une approche cohérente s’appuie sur la prise en compte de dix facteurs, sur lesquels nous reviendrons sur ce blog :
- Les scénarios de risques: que se passe-t-il si telle information, surtout si elle est stratégique, est effacée, perdue, altérée ? Comment l’utilisateur peut-il continuer à travailler et quels sont les risques pour l’entreprise ? La construction de scénarios de risques aide à identifier les risques, dont la plupart sont insoupçonnés !
- L’audit des besoins : tous les utilisateurs n’ont pas les mêmes exigences en matière de sauvegarde : certains ont besoin de récupérer leurs données en quelques minutes, alors que, pour d’autres, un délai plus long se révèle suffisant.
- La sensibilisation des utilisateurs: faire accepter aux utilisateurs qu’il est préférable de prévenir que de guérir constitue le problème le plus difficile à résoudre pour les responsables sécurité. En matière de sauvegarde, c’est toutefois plus facile dans la mesure où l’utilisateur subit directement, au quotidien, les conséquences des pertes de données.
- La prise en compte des environnements techniques: il s’agit de considérer la diversité des matériels et des logiciels de manière à prendre en compte la diversité des formats de données. L’idéal étant, bien sûr, que tous les utilisateurs travaillent avec le même système d’exploitation et les mêmes configurations de postes de travail, ce qui n’est jamais le cas…
- La cohérence des moyens : toute politique de sécurité repose sur le principe d’un équilibre entre les moyens de protection (contre les risques majeurs à faible probabilité d’occurrence) et les moyens de prévention (pour les risques à plus forte probabilité d’occurrence). Souvent, l’attention des managers se concentre sur la protection alors que les mécanismes de prévention, dont la sauvegarde fait partie, sont très efficaces pour garantir la sécurité du système d’information.
- Le choix du mode sauvegarde : entre une gestion interne et le recours à l’externalisation vers un prestataire, il importe de lister les avantages et inconvénients. Le plus souvent, le mode externalisé convient le mieux.
- Les garanties de sécurité: qu’elles soient gérées par l’entreprise ou par un tiers, les sauvegardes doivent elles-mêmes faire l’objet de garanties de sécurité selon les quatre critères de base : disponibilité, intégrité, confidentialité et traçabilité.
- Le plan de sauvegarde: la politique de sauvegarde doit être formalisée dans un plan de sauvegarde, qui regroupe les procédures. Un tel plan doit être exhaustif, cohérent, évolutif et auditable.
- Les tests: un plan de sauvegarde doit être testé, au moins une fois par an, sinon il perd de son efficacité.
- La récupération des informations: l’utilisateur doit être assuré de récupérer ses données de manière transparente et selon les délais convenus. C’est d’ailleurs le rôle des prestataires de proposer des engagements de services et des tests de restauration réguliers.