Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sauvegarde de données : la responsabilité de l’entreprise engagée

juin 2021 par Yohann Berhouc, Directeur Général Cyrès

Alors que les technologies mises en œuvres sont contractuellement hors d’atteinte, la responsabilité de l’entreprise est systématiquement engagée en cas de perte de données. Cette automaticité de la responsabilité, souvent mal comprise, doit conduire les entreprises à adopter une stratégie particulière et volontaire de sauvegarde.

La responsabilité de l’hébergeur... d’informer son client

À partir du moment où une entreprise externalise ses données, ou une application, vers un tiers hébergeur, elle doit s’intéresser aux rôles et aux responsabilités de chaque intervenant. Si l’on entend fréquemment parler de « responsabilité partagée » en cas de sinistre, il n’en est rien, ni légalement ni en pratique.

La méconnaissance des entreprises concernant la chaîne de responsabilité liée à la sécurité des données fausse le débat. En réalité, lorsque les données des clients sont externalisées, elles ne bénéficient jamais de sauvegarde automatique, si l’option n’est pas souscrite dès la signature du contrat d’hébergement. Elles sont simplement stockées chez l’hébergeur. La responsabilité de l’hébergeur repose sur l’obligation qui lui est faite d’informer son client de l’existence d’une sauvegarde optionnelle, et des risques éventuels encourus s’il choisit de ne pas y souscrire. La responsabilité de l’hébergeur s’arrête finalement aux technologies qu’il fournit et n’englobe pas les données du client.

La responsabilité du client engagée

Il appartient donc bien à l’entreprise de se poser toutes les questions utiles quant à la conception de son plan de sauvegarde de données, et ce, peu importe l’hébergeur retenu.

Il faut notamment se renseigner sur le périmètre des responsabilités légales, dans le cadre de l’hébergement des sauvegardes, mais également s’interroger sur la durée maximale d’interruption de service que l’entreprise peut tolérer. Dans le même ordre d’idées, il sera utile de déterminer sa capacité à absorber et à anticiper une perte potentielle d’activité, liée à l’arrêt de la production et établir les mesures préventives en cas d’attaque informatique ou d’erreur humaine.

Dans les faits, la complexité de la gestion des sauvegardes pour une entreprise est généralement liée à quatre facteurs de risques : une défaillance dans le ciblage et la définition des données prioritaires nécessitant d’être sauvegardées, des difficultés dans l’identification et la mise en place de procédures adaptées à la réalisation d’un plan de sauvegarde, un manque de compétence pour la mise en œuvre de tests de solidité et d’étapes de validation, ou encore le manque de temps et d’outils adaptés pour exécuter des sauvegardes.

Lorsque l’on parle de la responsabilité du client vis-à-vis de ses propres données, il s’agit principalement de sa capacité à gérer les risques et à les anticiper par le franchissement d’un certain nombre d’obstacles avant tout stratégiques, plus que techniques.

4 niveaux de vigilance pour la protection de ses sauvegardes : la méthode 3-2-1-0

Au-delà des outils et des solutions techniques, une méthodologie relativement simple pour assurer la protection de ses sauvegardes de données existe. Elle repose sur une logique établie en quatre étapes (de 3 à 0), permettant de s’assurer que ses données ne soient pas mises « dans le même panier » et qu’elles bénéficient d’une protection suffisante, quoiqu’il puisse arriver.

La première étape établit 2 copies des données, au moins, et 3 idéalement. Ce qui implique de créer plusieurs sauvegardes.

La deuxième étape repose sur le stockage de ces 3 copies sur deux supports différents, sachant qu’il existe plusieurs alternatives comme le disque dur externe, la sauvegarde sur bande ou encore le cloud.
La troisième étape vise à conserver une copie de sauvegarde en dehors de son site principal.
La quatrième et dernière étape impose de vérifier la cohérence de chaque sauvegarde à fréquence régulière, au moyen de solutions logicielles dédiées.

On le voit, stockage et sauvegarde n’ont ni la même définition ni le même objet. Héberger ses données ou les embarquer dans une application SaaS chez un cloud provider est assimilé à du stockage, mais n’offre aucune garantie de sécurité des données telle que la sauvegarde l’entend.
La sauvegarde, quant à elle, en option chez beaucoup d’hébergeurs, est une manière efficace de protéger ses données et généralement considérée comme l’ultime rempart en cas de sinistre. Cette précaution, cruciale pour toutes les entreprises, est bien de leur responsabilité.




Voir les articles précédents

    

Voir les articles suivants