Déployer des sauvegardes en négligeant de s’assurer de leur bon fonctionnement est une erreur courante. Cet article explique ce qu’il faut faire pour s’assurer de récupérer les données.
La sauvegarde est essentielle pour garantir qu’une entreprise puisse survivre à toutes sortes d’incidents et de mésaventures, qu’ils soient mineurs – comme un fichier supprimé ou une application corrompue – ou qu’il s’agisse d’une catastrophe à grande échelle comme un incendie, une inondation ou une attaque de ransomware.
Mais les plans de sauvegarde ou de reprise après sinistre ne seront jamais efficaces si les sauvegardes ne sont pas testées ou que leur maintenance n’est pas rigoureuse.
Pourquoi faire de la maintenance pour les sauvegardes ?
La maintenance des sauvegardes comprend deux objectifs clés : garantir l’intégrité technique des fichiers de sauvegarde et s’assurer que les bonnes données sont sauvegardées au bon moment.
Les entreprises tombent parfois dans le piège qui consiste à définir une politique de sauvegarde et à déployer des outils de sauvegarde, puis à les oublier, ce qui est risqué. Les entreprises doivent vérifier qu’elles peuvent récupérer les fichiers et restaurer les données et les applications.
La restauration d’applications peut signifier une restauration à nu sur du nouveau matériel – après un incendie ou une inondation, par exemple – ou la restauration d’une machine virtuelle après une défaillance du système.
Les tests peuvent consister à s’assurer que les fichiers de sauvegarde sont accessibles, qu’ils ne sont pas corrompus et qu’ils peuvent être restaurés sur les systèmes appropriés dans les délais requis.
Les tests de récupération sont particulièrement importants pour les bandes et autres supports de sauvegarde physiques, car lorsque les supports sont stockés hors site – ce qui est recommandé comme mesure anti-ransomware – il existe un risque supplémentaire de dommage physique ou de détérioration. Mais les sauvegardes logiques vers des baies sur site comme vers le cloud doivent également être testées.
Comme le souligne Tony Lock, du cabinet de conseil Freeform Dynamics, les logiciels de sauvegarde doivent être mis à jour et corrigés. Les bogues peuvent corrompre les sauvegardes ou créer des failles de sécurité, mais les mises à jour logicielles doivent également être testées pour s’assurer qu’elles fonctionnent comme prévu.
Sauvegarder et bien sauvegarder
Au niveau technique, les DSI doivent s’assurer que les sauvegardes fonctionnent. Les politiques et les technologies de sauvegarde doivent refléter ce qui se passe dans l’entreprise et les plans de sauvegarde doivent être constamment révisés.
« Les besoins de l’entreprise peuvent évoluer rapidement, de sorte que les politiques et les outils de protection des données mis en place hier pour une donnée ou une application ne sont plus adaptés aujourd’hui. »
Tony LockAnalyste, Freeform Dynamics
Il s’agit notamment de s’adapter à l’utilisation de nouvelles applications, à l’augmentation des ensembles de données et aux modifications des objectifs en matière de temps et de points de récupération (RTO et RPO).
« Le principal problème est que les besoins de l’entreprise peuvent évoluer rapidement, de sorte que les politiques et les outils de protection des données mis en place hier pour une donnée ou une application ne sont plus adaptés aujourd’hui », explique Tony Lock.
Ces besoins sont généralement dictés par l’entreprise, qui souhaite réduire les temps d’arrêt et l’intégrité des données. Mais ils peuvent également résulter de facteurs externes, tels que les exigences réglementaires ou celles des actionnaires. Les entreprises doivent également se prémunir contre les menaces externes pesant sur leurs données, qu’il s’agisse de catastrophes naturelles ou de la possibilité d’une cyberattaque, en particulier d’un ransomware.
Au fur et à mesure que l’entreprise évolue, ces risques changent également. Cela peut être dû au fait que l’entreprise opère dans des territoires plus exposés à la cybercriminalité, ou dans des secteurs verticaux tels que l’informatique ou la finance qui sont des cibles courantes, ou encore dans des infrastructures nationales critiques.
Les entreprises doivent s’interroger sur la rapidité avec laquelle elles peuvent sauvegarder leurs données et sur la rapidité avec laquelle elles doivent les récupérer. Les entreprises, en particulier dans les secteurs réglementés, disposent d’une fenêtre de sauvegarde et de récupération de plus en plus courte. Les clients et les parties prenantes tolèrent de moins en moins les temps d’arrêt.
Un test clé de tout plan de maintenance des sauvegardes est de savoir s’il y a suffisamment de temps pour sauvegarder les fichiers, puis pour les récupérer conformément au RTO du plan de continuité des activités. Des changements tels que l’augmentation du volume de données peuvent faire dérailler ce processus.
Si les entreprises ne procèdent pas à ces tests, la reprise peut échouer. Pour remédier à cette situation, les plans de continuité des activités prévoient souvent la réplication des données, des systèmes miroirs redondants et des sauvegardes en ligne afin de minimiser les temps d’arrêt. Dans certains cas, les entreprises peuvent opter pour la récupération des applications et des données dans un environnement en cloud, même si ce n’est que temporaire.
Maintenance technique des sauvegardes
Sur le plan technique, les équipes informatiques doivent maintenir et corriger les logiciels de sauvegarde, veiller à tester régulièrement l’intégrité des sauvegardes et vérifier qu’elles peuvent être restaurées.
Selon Stephen Young, directeur du prestataire AssureStor, qui fournit des technologies de sauvegarde et de reprise après sinistre aux revendeurs informatiques, cela signifie qu’il faut vérifier que les jeux de sauvegarde protègent les bonnes données conformément aux politiques de conservation. Les sauvegardes doivent ensuite être surveillées et les restaurations testées. Il préconise également de tester les délais, c’est-à-dire vérifier la durée des sauvegardes et des restaurations dans des conditions réelles.
Les entreprises doivent également surveiller leurs journaux pour identifier les problèmes liés aux sauvegardes et les défaillances potentielles. Elles doivent définir une politique de rafraîchissement des supports, y compris pour les disques durs, et s’assurer que le personnel est formé au fonctionnement des logiciels de sauvegarde et à la récupération des données.
Les entreprises doivent également réfléchir à la manière dont les ressources en ligne affectent la disponibilité et l’intégrité des données, ainsi qu’aux options de sauvegarde supplémentaires que ces ressources en ligne apportent.
Les fournisseurs de services en cloud et de logiciels SaaS offrent un niveau de résilience et une garantie de niveau de service dans le cadre de leur offre. Toutefois, les entreprises doivent être conscientes que si le service en cloud protège ses propres opérations, il n’en va pas de même pour la sauvegarde des données du client.
« Le fait de placer vos données dans le cloud n’en fait pas le problème de quelqu’un d’autre. La responsabilité reste celle du propriétaire de l’application. »
Patrick SmithDirecteur technique EMEA, Pure
C’est généralement au client de s’en charger, soit en tant que service à coût supplémentaire, soit par l’intermédiaire d’une tierce partie. La sauvegarde des données des applications en cloud peut signifier la copie des données vers des NAS sur site ou dans un autre cloud (c’est-à-dire la sauvegarde de cloud à cloud). « Le fait de placer vos données dans le cloud n’en fait pas le problème de quelqu’un d’autre. La responsabilité reste celle du propriétaire de l’application », déclare Patrick Smith, directeur technique de la société de stockage Pure pour la région EMEA.
Les entreprises doivent inclure les données basées sur le cloud, y compris celles générées par les applications SaaS, dans leur plan de sauvegarde. Comme pour les sauvegardes sur site, elles doivent s’assurer que ces copies sont des sauvegardes exploitables qui peuvent être restaurées.
Outils de sauvegarde et automatisation
Heureusement, les outils de sauvegarde d’entreprise intègrent désormais des fonctionnalités de gestion et de conservation des copies de sauvegarde. Les logiciels de sauvegarde sont de plus en plus agnostiques en termes de fournisseurs et de plateformes, et capables de gérer plusieurs types de dispositifs de stockage et de cibles de sauvegarde dans le cloud.
Les équipes informatiques doivent choisir un outil de sauvegarde principal pour surveiller tous leurs dispositifs et services de sauvegarde, ou utiliser les journaux de chaque système pour surveiller les performances et repérer toute défaillance potentielle.
Les entreprises peuvent, par exemple, créer des tableaux de bord pour surveiller tous leurs systèmes et scripts de sauvegarde afin de vérifier qu’ils fonctionnent et que les processus de restauration sont efficaces. Et elles peuvent relier cela à une surveillance centralisée.
Mais ces mesures soutiennent (plutôt que de remplacer) la surveillance humaine des sauvegardes.
« Mettez en place des processus pour vous assurer que vous gardez une vue d’ensemble de ce qui se passe réellement dans vos systèmes de protection des données. »
Tony LockAnalyste, Freeform Dynamics
Il s’agit de « processus, de processus et de processus », explique l’analyste Tony Lock, qui ajoute : « mettez en place des processus pour vous assurer que vous n’avez pas de problèmes de sécurité. Mettez en place des processus pour vous assurer que vous gardez une vue d’ensemble de ce qui se passe réellement dans vos systèmes de protection des données et veillez à ce qu’ils s’adaptent aux besoins de l’organisation au fur et à mesure de l’évolution des options et des exigences commerciales. »
En outre, les entreprises devraient utiliser les nouvelles fonctionnalités de leurs outils de sauvegarde. Ces fonctionnalités – telles qu’une plus grande automatisation – permettent de gagner du temps, mais elles ne seront bénéfiques que si les plans de sauvegarde sont mis à jour afin de refléter les nouvelles capacités du logiciel.
L’automatisation jouera un rôle de plus en plus important dans la maintenance des sauvegardes. Un certain nombre d’éditeurs travaillent à la mise au point de logiciels qui découvrent tout seuls les applications nouvellement installées et les nouveaux jeux de données qui devraient être inclus dans les sauvegardes.
À l’avenir, les logiciels de sauvegarde pourraient être suffisamment intelligents, pour déterminer les niveaux de stockage à utiliser en fonction de la fréquence d’accès, appliquer des techniques de réduction des volumes de données, réduire les coûts et éventuellement accélérer les temps de récupération.
L’automatisation devrait conduire à un recours accru aux fournisseurs de sauvegarde en cloud et à la sauvegarde en tant que service. Les services en cloud peuvent s’adapter à l’évolution des applications et fournir une redondance pour les données critiques, mais les DSI doivent toujours s’assurer qu’elles vérifient régulièrement les sauvegardes et qu’elles en testent le fonctionnement.
