La sauvegarde et la restauration après sinistre commencent par une étape : un plan. Différents processus peuvent être mis en place en fonction des contraintes et des besoins propres à chaque entreprise. Voici néanmoins quatre étapes initiales qui sont essentielles.
D’après un rapport d’Hiscox Assurances sur la gestion des cyber risques, les pertes liées à une cyberattaque ont été multipliées par 6 en un an. En Europe, le coût moyen de l’ensemble des incidents et failles cyber est d’environ 60 000 euros. En France, il est de 35 000 euros, contre 9 000 euros l’année dernière.
C’est la raison pour laquelle les entreprises françaises sont depuis l’année dernière celles qui consacrent le budget le plus important à leur cybersécurité, devant l’Espagne et l’Allemagne.
L’Hexagone enregistre également la plus forte hausse des dépenses dans le domaine de la cybersécurité (+48 %). Ces dépenses ayant plafonné à 1,9 M€ en moyenne en 2019. Tous ces investissements sont nécessaires pour renforcer la pérennité d’une organisation.
Mais il convient aussi de ne pas oublier l’essentiel : s’organiser pour faire redémarrer son activité le plus rapidement possible après un incident informatique ou un piratage. D’où la nécessité d’établir un plan précis de sauvegarde et, surtout, de restauration des données.
Différentes étapes sont nécessaires pour optimiser ce programme de reprise d’activité.
Étape 1 – Créer une liste de « contacts d’urgence
Créez une fiche (idéalement pas plus d’une page) avec les coordonnées de tous les fournisseurs dont vous pourriez avoir besoin de contacter en cas de catastrophe, au sens large du terme (aussi bien un dégât des eaux qu’une cyberattaque ou un cambriolage).
Cette liste doit contenir les coordonnées des personnes à contacter pour toute garantie matérielle ou logicielle dont vous disposez. Ainsi que les coordonnées de votre fournisseur d’accès à Internet ou de toute autre assistance.
Le fait d’avoir toutes ces informations en un seul endroit simplifie la première étape lorsqu’un problème survient.
Étape 2 – Établir une liste des systèmes critiques par ordre de priorité
Pourtant essentielle, cette étape n’est pas toujours effectuée. Peut-être parce que n’est pas si simple qu’elle n’y parait. Établir un inventaire exhaustif de ces données et de son parc informatique n’est pas une mince affaire.
Ne repoussez pas éternellement cette étape ! Identifiez vos actifs informatiques les plus critiques : courrier électronique, lignes téléphoniques, serveur SQL, données stratégiques et personnelles (en référence au RGPD), etc.
Examinez les dépendances entre les systèmes. Quel est l’impact le plus important d’un seul point de défaillance ? Il est utile de donner une valeur en pourcentage à chaque élément de votre environnement, ce qui donne plus de poids à vos outils commerciaux essentiels.
Une fois que vous avez établi les priorités de vos systèmes, définissez le temps d’arrêt maximum acceptable pour chacun de ces éléments. Utilisez un outil comme un calculateur de coût des temps d’arrêt pour établir une évaluation quantifiable du temps d’arrêt que votre entreprise peut supporter sans que cela ait un impact majeur sur l’activité. Il est important d’établir des attentes avec les responsables afin que, lorsqu’une catastrophe se produit, tout le monde soit sur la même longueur d’onde.
Étape 3 – Créer une liste de scénarios de catastrophe
Déterminez quelles sont les menaces les plus impactantes pour votre environnement informatique : catastrophe naturelle, erreur humaine, panne de courant, défaillance du système, cyberattaques…. Quoi que vous puissiez déterminer pour votre environnement, vous devez également prendre note de ces constatations :
Comme vous pouvez vous en douter, les problèmes techniques ou accidentels sont plus fréquents que les catastrophes naturelles, ces “catastrophes” étant très souvent évitables.
Évaluez les temps d’arrêt que vous avez subis dans le passé, la façon dont ils ont été gérés et ce que vous pouvez apprendre de ces expériences. Déterminez quelles sont les plus grandes vulnérabilités de votre environnement : absence d’alimentation électrique de secours, logiciels vulnérables ou obsolètes, matériel ancien, sauvegardes peu fréquentes ou peu fiables…
Étape 4 – Choisir une solution
La meilleure solution de sauvegarde et de récupération après sinistre… dépendant de votre environnement et de ce que vous sauvegardez ! De nombreux facteurs détermineront la solution de sauvegarde et de reprise après sinistre que vous mettrez finalement en œuvre, mais ces quatre questions constituent un bon point de départ :
1. Capacité : quelle quantité de données sauvegardez-vous régulièrement ?
2. Extensibilité : la solution doit-elle s’adapter à la croissance de votre entreprise ?
3. Vitesse : à quelle vitesse devez-vous lancer ou récupérer les sauvegardes ?
4. Coût : la solution dont vous avez besoin est-elle adaptée à votre budget ?
Il existe essentiellement trois options de sauvegarde et de restauration : sur bande, disque à disque et dans le cloud. L’option à choisir dépend de ce qui est sauvegardé et de ce que vous attendez d’une solution de sauvegarde.
Ces différentes étapes, d’ordre général, doivent être vues comme une base de réflexion. À chaque entreprise de l’adapter pour renforcer sa sécurité.
