Localisation et réglementaire s’invitent à la table de la sauvegarde des données dans le cloud

Il fut une époque, bénie pour certains responsables informatiques encore en place, où la sauvegarde était une activité mécanique simple et rythmée : un jeu de bandes pour les jours pairs, un autre pour les jours impairs, et un jeu complet pour une sauvegarde globale généralement mensuelle, que l’on conservait dans un coffre à la comptabilité, ou dans la table de nuit du PDG.

Mécanique et fastidieux, mais à peine parodique, où l’on comprend que la “backup” était souvent oubliée, tandis qu’une “restaure” n’était pas souhaitable, tant cette opération pouvait se révéler aléatoire, tout comme la sauvegarde elle-même.

Aujourd’hui, cette vision peut sembler révolue, et pourtant c’est elle qui sous-tend les pratiques de beaucoup d’entreprises, qui reposent principalement sur le legacy encore en place, et même stratégique pour les données critiques qui ne doivent pas quitter le périmètre sécurisé du système d’information. Quant au cloud, il affiche une réputation élitiste, celle des ses acteurs – Amazon AWS, Microsoft Azure et Google Cloud en tête – qui par essence sont tellement sécurisés, et en tout cas plus que l’entreprise cliente, qu’il y a moins de risque à y déposer ses données et qu’à ce titre la sauvegarde serait presque inutile… quelle erreur !

La sauvegarde s’impose aujourd’hui comme le composant de secours dans toutes les stratégies de sécurité de la donnée dans l’entreprise. Le rapport de questionnement sur les priorités 2021 du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) rappelle que, une fois traitées les questions de connectivité du terminal et de la personne (qui ont pris toute leur dimension avec la pandémie et le télétravail), la question de la protection des données, les Joyaux de la Couronne, est la priorité.

La sauvegarde prend toute sa dimension, en réponse à l’objectif de protection de la donnée, tandis que la restauration est devenue l’élément principal de la réponse aux attaques, que quoi qu’il arrive l’entreprise et ses collaborateurs subissent.

Sauvegarde et DRaaS face au réglementaire

La mise en place d’une solution de sauvegarde et de PRA/PCA doit prendre en compte les contraintes réglementaires nationales ou régionales (comme le RGPD, le règlement général sur la protection des données), ainsi que celles auxquelles certaines typologies d’organisations doivent se conformer dans l’exécution de leurs activités.

Ces contraintes se confondent souvent avec les bonnes pratiques, mais elles vont plus loin, car elles mettent en jeu la responsabilité de l’entreprise et de son représentant légal. L’organisation se doit donc de respecter la réglementation, les certifications et le RGPD exigés par l’Etat, le secteur d’activité et par les clients. Et il va de soi que ces règles s’appliquent tant au legacy qu’aux déploiements dans le cloud, et aux solutions qui les accompagnent.

En matière de sauvegarde et de continuité d’activité, la CNIL (Commission Nationale de l’Informatique et des Libertés) publie des recommandations, mais peut poursuivre l’entreprise qui ne les suit pas.

Plus précisément, en cas de vol ou pertes de données, l’entreprise peut être condamnée, s’il est démontré qu’elle n’a pas respecté ses obligations légales, ici les recommandations de la CNIL. Que demande-t-elle ? Ses recommandations s’articulent autour de trois axes : effectuer des sauvegardes régulières, réaliser et tester régulièrement des copies de sauvegarde, et préparer un plan de continuité ou de reprise d’activité.

Les précautions élémentaires selon la CNIL

Il est intéressant de se pencher sur les exigences de la CNIL, car elles forment un guide auquel l’entreprise peut se référer.

Pour les sauvegardes, la CNIL invite à :

• Effectuer des sauvegardes fréquentes des données, que celles-ci soient sous forme papier ou électroniques. Il peut être opportun de prévoir des sauvegardes incrémentales quotidiennes et des sauvegardes complètes à intervalles réguliers.
• Stocker les sauvegardes sur un site extérieur, si possible dans des coffres ignifugés et étanches.
• Protéger les données sauvegardées au même niveau de sécurité que celles stockées sur les serveurs d’exploitation (chiffrement par exemple).
• Chiffrer le canal de transmission externe lorsque les sauvegardes sont transmises par le réseau.

Pour la reprise et la continuité d’activité, la CNIL invite à :

• Rédiger un plan de reprise et de continuité d’activité informatique, même sommaire, incluant la liste des intervenants.
• S’assurer que les utilisateurs, prestataires et sous-traitants savent qui alerter en cas d’incident.
• Tester régulièrement la restauration des sauvegardes et l’application du plan de continuité ou de reprise de l’activité.

Notons par ailleurs que la CNIL fournit quelques recommandations sur les matériels : utiliser un onduleur pour protéger le matériel servant aux traitements essentiels, et prévoir une redondance matérielle des matériels de stockage. Elle conseille également de ne pas conserver les sauvegardes au même endroit que les machines hébergeant les données.

Sauvegarde et plan de continuité d’activité à l’ère du RGPD

Le RGPD est certainement le règlement le plus contraignant en matière de sécurité des données pour les organisations dans toute l’Europe, car il impose au responsable du traitement et au sous-traitant la mise en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté à la confidentialité, l’intégrité, la disponibilité et la résilience constante des données, des systèmes et des services. Ce qui inclut la prévention contre tout type de risques, même accidentel, et donc en particulier un plan de continuité d’activité.

Dans les bonnes pratiques proposées par le RGPD, et en complément de celles invitées par la CNIL, nous retiendrons :

• la sensibilisation aux événements de crise ;
• la gestion proactive des risques importants, avec recours aux experts en sécurité ;
• la création d’une planification détaillée, en cas de crise jumelée avec la mise en place de tests ;
• la création d’une structure pour réduire la complexité du processus de réponse aux incidents ;
• la création d’un canal de communication en amont et en aval en période de crise ;
• des mesures de conservation et d’archivage de données, et des systèmes de secours.

Dans une stratégie de sauvegarde et de reprise/continuité moderne et respectueuse des bonnes pratiques, les éléments juridiques, organisationnels et techniques auront la vocation à être directement connectés au “référentiel sécurité”.

Localisation des données sauvegardées et souveraineté

Terminons sur un point qui devient sensible dans les stratégies d’entreprise, bien au-delà d’ailleurs de la seule sécurité des données, la souveraineté. Par trop galvaudée, cette expression pointe ce qui relève de l’Etat. Par extension, évoquant la donnée, elle relève de la localisation dans un Etat ou une région géopolitique. Evoquant le cloud, la souveraineté fait donc référence à la fois au lieu où sont stockées les données, qui détermine les réglementations applicables, et à la société qui développe, propose et/ou héberge l’application et la donnée.

Au sein de l’Union européenne, la souveraineté de la donnée impose qu’elle soit stockée dans un Etat européen, par une société qui dépend du droit européen, sans lien juridique avec une société hors de l’Europe. Les géants du cloud affirment la souveraineté nationale des données qui leurs sont confiées par la présence de leurs filiales, et dans des datacenters situés sur les territoires.

Est-ce suffisant ? Elles restent juridiquement dépendantes du corporate, et donc du droit américain… cette situation se trouve complexifiée par les pratiques pour la sauvegarde de la redondance des infrastructures et par le multicloud. Une donnée stockée dans l’Union européenne devrait être sauvegardée/dupliquée dans l’Union. Mais l’est-elle vraiment ? Et qu’en est-il pour les DRaaS ? C’est un domaine rarement évoqué et les audits sont difficiles. Le sujet mériterait d’être approfondi.