Beaucoup d’entreprises de taille moyenne et petite négligent encore trop souvent la protection de leurs données comptables, économiques et techniques, s’exposant ainsi à un incident informatique ou à une malveillance qui peut être fatale. Ce risque est d’autant plus important que le volume des données produit par l’activité économique ne cesse de croître, devenant par ailleurs de plus en plus stratégique pour les sociétés qui pratiquent le e-commerce. Une récente étude d’IDC, réalisée pour EMC, numéro un mondial des équipements de stockage de données, prédit une croissance explosive du volume global des données sauvegardées qui croîtraient d’un facteur 44 dans les dix ans à venir, passant de 0,9 à 35,2 zetta-octets. Même si 70% de cette volumétrie est le fait du grand public, il n’en demeure pas moins que les entreprises y contribuent également avec une croissance des données produites – et donc stockées – de 65% en 2010 contre seulement 40 % en 2009. Cette tendance exponentielle, dispendieuse en terme d’investissement matériel, oblige les entreprises qui veulent rationaliser leur stockage de données à réfléchir et se poser quelques questions cruciales.

Une réflexion qui s’impose

Pour éviter l’inflation irraisonnée des moyens de stockage il ne faut pas hésiter à remettre à plat la problématique de sauvegarde de l’entreprise et se poser les bonnes questions en abordant d’abord le sujet en interne. Il faut d’abord établir une hiérarchie des différents types de données à sauvegarder et déterminer la durée des périodes durant lesquelles il est nécessaire de les conserver d’un point de vue pratique mais aussi juridique. Le débat est particulièrement important en ce qui concerne les emails qui eux aussi ont tendance à croître et se multiplier de façon déraisonnable. Si le nombre et l’identité des interlocuteurs de chacun des collaborateurs de l’entreprise est clairement défini, il peut être convenu que les échanges de messages a priori conservés et dupliqués dans les serveurs dédiés à cette fonction puissent être aussi copiés dans l’archivage des comptes clients afin d’en conserver l’historique. Mais, à terme, cette double sauvegarde ne se justifiera pas. De même les contrats qui sont des pièces juridiquement et économiquement importantes sont évidemment des éléments qui doivent être conservés en lieu sûr, en plusieurs exemplaires y compris sous forme de fichiers numériques authentifiés. Les e-commerçants ont une responsabilité supplémentaire car ils détiennent des données personnelles et critiques appartenant à des tiers – typiquement des informations liées aux moyens de paiement – qu’ils doivent conserver s’ils veulent faciliter les transactions réitérées de leurs clients habituels mais qu’ils doivent aussi protéger contre le vol ou le détournement. Dans ce domaine d’activité, il convient d’ailleurs de rappeler que les données liées aux transactions doivent nécessairement être sauvegardées dans des systèmes très sécurisés et, qui plus est, certifiés PCI DSS. Chaque type de donnée ou de document électronique doit ainsi faire l’objet d’une analyse afin de lui attribuer un degré de criticité qui déterminera le niveau de sauvegarde qui lui sera affecté. Mais certains métiers ont des obligations légales de sauvegarde (durée décennale pour les architectes par exemple…) ou des contraintes en terme d’agrément d’hébergeur (comme les médecins et les hôpitaux..) qui peuvent influencer les décisions à prendre en matière de sauvegarde.

Délocalisation et priorités

Une fois ce travail d’analyse effectué, il faut déterminer dans quel endroit et sur quel support seront stockées ces données. Si l’entreprise dispose de ses propres moyens informatiques en interne il est bien entendu possible et même souhaitable de dupliquer les données sur site mais ce choix n’est pas raisonnable si c’est l’unique solution envisagée. De même qu’un disque dur externe sera volé ou détérioré par un incendie ou une inondation avec le PC de bureau auquel il est attaché, un serveur de stockage de données utilisé en backup dans la même salle que les moyens informatiques de l’entreprise subira des dommages si celle-ci est sinistrée. Il est donc indispensable de sauvegarder une seconde fois ses données sur un site distinct du premier, soit auprès d’un établissement secondaire qui pourra avoir la même assurance en réciprocité, soit chez un hébergeur spécialisé. Ce dernier aura d’ailleurs avantage a indiquer à son client qu’il a pris lui aussi les précautions qui s’imposent pour restaurer son patrimoine numérique en cas de problème dans ses propres installations.

Le choix du support de sauvegarde n’est pas anodin non plus. Il faut bien entendu tenir compte du coût du moyen utilisé – la bande magnétique demeure encore le support le plus économique – mais aussi de la rapidité avec laquelle on désirera récupérer les données. Sur des gros volumes non stratégiques ont peut utiliser des systèmes peu coûteux et la compression numérique, mais le temps de restitution sera assurément plus long. Pour les données les plus critiques, les systèmes à disque durs sont indispensables car les temps d’accès aux informations sont quasi instantanés. Il convient donc, là aussi, d’établir une hiérarchie des priorités et déterminer ce qu’il est urgent de récupérer et ce qui peut attendre quelques heures ou quelques jours.

Ecrire les scénarios de la reprise

Arrivé à ce stade du raisonnement et une fois les décisions prises en matière d’hébergement des sauvegardes et d’organisation des priorités de restauration, il convient de faire un pas supplémentaire qui est finalement logique : il faut organiser les scénarios de ce qu’il faudra faire en cas de perte totale ou partielle de données. C’est l’objectif du PRA, le plan de reprise d’activité qui est, en quelque sorte, le mode d’emploi des sauvegardes mais dans une perspective de retour le plus rapidement possible à un fonctionnement 100% opérationnel. Cet exercice implique là encore une réflexion en commun entre les utilisateurs des moyens informatiques, les responsables internes des systèmes de gestion des informations et des applications, et l’hébergeur qui est en charge des systèmes de sauvegardes. Ces réunions de travail devront définir des stratégies de reprise d’activité correspondant à différents types de problèmes. Elles seront révisées et testées périodiquement afin que la politique de sauvegarde de données soit non seulement l’assurance de retrouver toutes les informations liées aux clients et aux fournisseurs mais surtout la garantie d’une remise en marche rapide et effective de l’entreprise.