Les bonnes pratiques pour bien protéger ses données

Depuis les années 1990-2000, les données sont progressivement devenues des ressources stratégiques de premier plan pour les entreprises. Protéger son « capital data » est clé, mais, à l’ère de la transformation numérique, tout s’accélère et il devenu crucial d’opérer ce processus de manière plus agile, performante et fiable.

Si toutes les grandes entreprises ont compris que la protection des données était une priorité, de nombreuses PME considèrent encore que sauvegarder les données est un centre de coût et une activité chronophage. Or perdre ses données peut conduire une entreprise à la catastrophe.  Nous gardons tous à l’esprit les évènements tragiques du 11 septembre 2011 suite auxquels, après l’effondrement des Twin Towers, 150 entreprises présentes dans les tours ont déposé le bilan suite à la perte de leurs données. Toutes ces entreprises avaient ignoré ou sous-estimé la nécessité de pouvoir récupérer leurs données rapidement afin de redémarrer leurs activités sans impact fatal. D’autres situations comme des sinistres naturels, des pannes ou des cyber-attaques peuvent impacter fortement le business d’une entreprise suite à la perte de données. Par exemple, à l’ère de l’e-commerce,  des disfonctionnements isolés peuvent produire des conséquences lourdes : perdre toute la traçabilité du « parcours visiteurs internautes » suite à l’interruption du site marchand, perdre des bases de contacts clients suite à une panne matérielle sur le stockage primaire. Si ces problèmes ne menacent la vie de l’entreprise pour autant, le manque à gagner peut être très important. Il est donc crucial de pouvoir se reposer sur un système de sauvegarde efficient pour que l’entreprise puisse préserver son activité ou la restaurer dans les plus brefs délais avec un minimum de perte d’informations.

Olivier Tant, HPE Pour Olivier Tant, Storage Division Category Manager chez HPE : « En tant que fournisseur leader de l’« hybrid IT », HPE accompagne les entreprises de toute taille dans leur transformation vers des infrastructures de nouvelle génération (environnements hybrides, applications « cloud natives »,) à l’échelle d’une géométrie de plus en plus en élargie (datacenters, site régionaux, devices mobiles, capteurs IoT, Cloud service providers…). Nous constatons que les volumes et la diversité des données ne cessent de croitre et  mieux les  protéger, les gérer est une priorité majeure pour réussir sa transformation numérique »,  Ainsi, pour les PME comme pour les grands groupes,  il s’agit de moderniser les approches et il est important d’identifier les facteurs-clés et les bonnes pratiques pour une protection efficace.

 

Identifier et cartographier les données

 Pour Amine Mokhtari, Big data practice manager chez Umanis, «la première étape dans un processus de sauvegarde est d’identifier les données et les sources de données critiques pour l’entreprise. Où sont les données les plus précieuses, celles qui ont la plus forte valeur ajoutée pour l’entreprise.»  Le SI, les bases de données, les applicatifs métiers sont les lieux où se trouvent les données importantes de l’entreprise. « Mais ce n’est pas tout, souligne notre interlocuteur. Les mails, le réseau social d’entreprise, les Smartphones, les capteurs sont des éléments qui détiennent des informations d’intérêt pour les entreprises. Les RSE, par exemple, concentrent via, les échanges entre différents collaborateurs travaillant sur un même projet, une manne d’informations précieuses pour l’entreprise. » Face à la multiplicité des sources de données, à la volumétrie et à la variété des données, l’entreprise doit, en amont de la sauvegarde, évaluer la criticité de ces data pour déployer un système optimal. « Si se cantonner à la sauvegarde des données reconnues critiques (entendre par là : données systèmes et applicatives de production) pouvait satisfaire bon nombres d’entreprises il y a encore quelques années, protéger et retenir une proportion élargie des données – en intégrant les données humaines / machine – devient désormais pertinent » ajoute Olivier Tant.

Amine Mokhtari, UmanisCela se vérifient en effet de manière concrète à l’échelle de nombreuses industries « Les opérateurs Télécoms par exemple collectent depuis des années un grand volume de données de géolocalisation des utilisateurs. Si pendant longtemps ces data sont restées inexploitées elles se sont avérées très pertinentes pour connaître les parcours clients et déterminer, par exemple, le prix des baux dans une galerie commerciale » raconte Amine Mokhtari.  «Moderniser la protection et la rétention des données doit aller bien au-delà de l’optimisation des processus de disponibilité et de reprise (c.a.d la sauvegarde), les entreprises doivent désormais élaborer une stratégie et puis des règles pour la gouvernance et valorisation de l’information » insiste Olivier Tant. Ainsi, des données considérées comme non critiques à l’instant t peuvent, dans un futur plus ou moins proche, et en les croisant avec d’autres ou en les exploitant par un autre service,  devenir un nouveau gisement de business pour l’entreprise. Mais attention, protéger et retenir PLUS nécessitent de gérer MIEUX, sachant que les règles de gestion à adopter sont variables selon la nature des données, leur sensibilité, les objectifs métiers, les réglementations…. Pour mener à bien cette cartographie de la donnée, la DSI doit consulter chaque service, chaque métier pour cartographier l’information et en extraire des ensembles et des sous-ensembles selon le degré de criticité, le potentiel de valeur extradables, selon les facteurs risques et conformité au fil du temps.

 Définir les critères-clés  de sauvegarde

 L’un des premiers critères de choix d’un plan de sauvegarde concerne le temps. Sur quelle échéance l’entreprise souhaite t’elle sauvegarder et reprendre ses données : mois, jour, heure. « Le RTO ou Recovery time objective, est le temps maximal acceptable d’interruption d’une ressource informatique que ce soit pour un applicatif métier, un site web, un serveur.  Ce temps doit prendre en compte l’importance de la ressource, c’est à dire le temps au-delà duquel une entreprise est en danger si la ressource ne fonctionne pas, explique Olivier  Tant. Pour certaines activités ce temps peut-être de quelques minutes à une heure.  Vient ensuite le RPO ou Recovery Point Objective. « Il s’agit de définir la perte de données maximale acceptable pour l’entreprise en considérant un critère : le laps de temps entre l’incident provoquant la perte de données et la date la plus récente de la version des données pouvant être restaurées en remplacement des données perdues. Cette durée est exprimée généralement en heures ou minutes.

Exploitation des données

La sauvegarde des données consiste grossièrement à prendre une photo à intervalles de temps réguliers du SI d’une entreprise. En cas d’incident, la sauvegarde permet de récupérer la dernière photo du SI. Suite à un sinistre, l’entreprise doit pouvoir facilement accéder au système de sauvegarde et être capables d’utiliser les données ; la data livrée doit donc être ré exploitable de manière la plus fine possible. Ainsi, une autre notion importante, plus récente, est le RGO ou Recovery Granularity Objective « il s’agit ici de se pencher sur la capacité à récupérer de manière avancée et simplifiée des objets applicatifs »  précise Olivier TANT. Par exemple, un fichier, un courrier électronique, un document SharePoint, un répertoire, une boîte aux lettres, un disque dur, une image système complète) ».  « Grâce à des fonctionnalités de plus en plus intégrées entre les environnements de production (baies de stockage primaire, applications, hyperviseurs…) et les dispositifs matériels et logiciels dédiés à la sauvegarde, nous pouvons proposer plus de disponibilité, de granularité, de simplicité à la reprise : auparavant les données étaient sauvegardée et récupérées de façon brute, laissant aux administrateurs ou aux utilisateurs la charge de reconnecter les données avec les applicatifs. Aujourd’hui,  nous pouvons offrir des mécanismes de « restitution intelligente » des données permet de délivrer des données cohérentes et rapidement réutilisables  » insiste Olivier Tant. 

Sauvegarder ses données sur site, dans le Cloud…  

Dernier paramètre enfin : la géographie. Depuis quel lieu géographique l’entreprise doit-elle restaurer ses données ? Est-ce depuis une infrastructure au sein de l’entreprise ou chez un prestataire de services ? Sur quel site doit-elle reprendre les données en fonction de l’ampleur du sinistre, des attentes Business ? EN effet, la sauvegarde peut se faire sur site mais les données issues des sauvegardes sont aussi de plus en plus externalisées chez des fournisseurs de services Cloud hybride. Dans le cas de l’internalisation de la sauvegarde  – option privilégiée pour les données extrêmement critiques –  le lieu de reprise doit être séparé de celui de l’hébergement du SI pour, qu’en cas de sinistre (du type incendie ou dégât des eaux), les systèmes ne soient pas tous deux endommagés. En cas d’hébergement chez un prestataire ou chez un opérateur de Cloud, ce risque n’existe pas : le plan de sauvegarde bénéficie d’une plus grande élasticité en apparence sur le plan technique voire économique… mais attention aux niveaux de services RTO / RPO !  A noter en complément que l’hébergement chez un tiers peut nécessiter le déploiement de solutions de chiffrement pour assurer la sécurité lors du transport des données.

Intégration technologique et pilotage unifié pour le maximum d’efficacité

Olivier Tant conseille de combiner judicieusement  différentes approches technologiques pour moderniser et optimiser son système de sauvegarde. « Intégration aux applications primaires et aux hyperviseurs, pilotage combiné et automatisé des mécanismes de snapshot des baies primaires, de déduplication à la volée, de rétention et de réplication sur des baies secondaires dédiées sauvegardes, rétention long terme sous format objet en environnement hybride… l’éventails des possibilités technologiques est important et il est important d’intégrer, d’unifier et non plus  de juxtaposer les approches autour de la protection. Le choix d’un fournisseur sachant opérer globalement à l’échelle du datacenter Hybride est clé ».

Nous venons de parcourir quelques-uns des sujets essentiels ainsi que certaines bonnes pratiques pour repenser la protection de ses données.  Moderniser sa solution de protection des données passe avant tout par un alignement des technologies sur les exigences de disponibilité des entreprises, de ses applications, de ses données, des contraintes réglementaires…  Les possibilités actuelles, notamment chez HPE,  permettent de plus en plus de mettre en place des solutions de bout en bout sachant combiner les différentes approches, les différents mécanismes technologiques au sein d’environnements privé, cloud hybride voire multi-cloud…  Il ne vous reste plus à qu’à mettre ce sujet « protection des données » en haut de votre « to-do » liste et vous aurez franchi une étape essentielle sur le chemin de votre transformation numérique….