Sécurité : Sauvegarder et prévoir la continuité d'activité


Effectuer des sauvegardes régulières pour limiter l’impact d’une disparition non désirée de données.

Des copies de sauvegarde doivent être réalisées et testées régulièrement. Un plan de continuité ou de reprise d’activité anticipant les éventuels incidents (ex : panne matérielle) doit être préparé.

Les précautions élémentaires

S’agissant de la sauvegarde des données

  • Effectuer des sauvegardes fréquentes des données, que celles-ci soient sous forme papier ou électronique. Il peut être opportun de prévoir des sauvegardes incrémentales quotidiennes et des sauvegardes complètes à intervalles réguliers.
  • Stocker les sauvegardes sur un site extérieur, si possible dans des coffres ignifugés et étanches.
  • Protéger les données sauvegardées au même niveau de sécurité que celles stockées sur les serveurs d’exploitation (par exemple en chiffrant les sauvegardes, en prévoyant un stockage dans un lieu sécurité, en encadrant contractuellement une prestation d’externalisation des sauvegardes).
  • Lorsque les sauvegardes sont transmises par le réseau, il convient de chiffrer le canal de transmission si celui-ci n’est pas interne à l’organisme.

S’agissant de la reprise et de la continuité d’activité

  • Rédiger un plan de reprise et de continuité d’activité informatique même sommaire, incluant la liste des intervenants.
  • S’assurer que les utilisateurs, prestataires et sous-traitants savent qui alerter en cas d’incident.
  • Tester régulièrement la restauration des sauvegardes et l’application du plan de continuité ou de reprise de l’activité.
  • À propos des matériels :
    • utiliser un onduleur pour protéger le matériel servant aux traitements essentiels ;
    • prévoir une redondance matérielle des matériels de stockage, par exemple au moyen d’une technologie RAID.

Ce qu’il ne faut pas faire

  • Conserver les sauvegardes au même endroit que les machines hébergeant les données. Un sinistre majeur intervenant à cet endroit aurait comme conséquence une perte définitive des données.

Pour aller plus loin

  • Concernant l’établissement d’un plan de continuité d’activité ou de reprise d’activité, le SGDSN a publié un guide.
  • Si les exigences sur la disponibilité des données et des systèmes sont élevées, il est conseillé de mettre en place une réplication des données vers un site secondaire.

Les mots clés associés à cet article