Votre base de données est probablement l’une des ressources les plus précieuses de votre entreprise. En effet, elle est essentielle au bon fonctionnement de toute organisation, qu’elle soit petite ou grande. Toutefois, aucune entreprise n’est à l’abri d’une potentielle perte de données. La question à se poser est donc la suivante : que feriez-vous si vous perdiez ou ne pouviez plus accéder à une partie, ou pire, à la totalité de celles-ci ?
Il s’agit d’une question qui peut sembler inquiétante et d’une situation qui serait catastrophique, certes, mais qui donne matière à réflexion. Vos opérations pourraient être paralysées durant une période inimaginable et même affecter la pérennité de votre entreprise.
Qu’est-ce qui peut provoquer une perte de données ?
Les causes d’une perte de données peuvent être nombreuses : une destruction (à la suite d’un incendie par exemple), une corruption, un vol, une cyberattaque, ou même un problème d’intégrité. Certains diront qu’il suffit de faire des copies de sauvegarde, et le tour est joué. Pas si vite ! Prenons l’exemple d’une cyberattaque. De nos jours, les pirates informatiques tendent à s’installer dans les systèmes de données et attendent malicieusement le meilleur moment avant de procéder à leurs attaques. Ce n’est qu’après un certain temps que les pirates passent à l’action.
De plus, en pareille circonstance, si toutes les copies de sauvegardes ont été cryptées ou corrompues, vous pourriez ne plus être en mesure de les utiliser et elles pourraient être irrécupérables. Un autre élément à considérer est la localisation des copies de sauvegarde. Par exemple, si elles se situent dans le même emplacement que vos systèmes TI ou votre immeuble, en cas d’incendie, de dégât d’eau ou d’inondation, elles seront également perdues dans le sinistre.
L’importance des sauvegardes de données (bien exécutées !)
Tout d’abord, il est important d’instaurer une gouvernance de données au sein de votre organisation. La gouvernance couvre plusieurs aspects, tels que la confidentialité, les règles de stockage, l’intégrité, les règles d’archivage et de récupération ainsi que les rôles et responsabilités tout en précisant le cadre de gestion pour les procédures. Ultimement, elle établit une bonne gestion des données tout en assurant leur qualité et sécurité.
Ce qui nous intéresse tout particulièrement est la fiabilité des copies de sauvegarde, laquelle doit être testée régulièrement. Ainsi, il ne suffit pas d’effectuer uniquement des sauvegardes des bases de données. En plus de cette démarche, il est essentiel de s’assurer que le tout est exécuté adéquatement et en suivant les procédures.
Également, il s’avère important d’effectuer des tests de restauration desdites sauvegardes afin d’avoir la certitude qu’elles pourront être réutilisées à l’intérieur des délais prescrits, tout en respectant les règles en matière de sécurité de l’information (disponibilité, intégrité, confidentialité et traçabilité). Sachez qu’en ne validant pas ce processus complètement, vous pourriez ne rien récupérer à la suite d’un incident ou d’un sinistre, et cela aurait assurément des impacts majeurs qui vous empêcheraient de poursuivre vos opérations !
Les règles de sauvegarde doivent donc être élaborées dans un contexte de plan de relève informatique. C’est là que le Recovery Point Objective (RPO) entre en ligne de compte. En termes simples, le RPO correspond à la période de temps entre l’incident provoquant la perte de données et la plus récente copie de sauvegarde (s’exprimant en temps : secondes, minutes, heures, jours). Le RPO est donc la tolérance à la perte de données pour chaque application. Certaines données sont plus importantes que d’autres et doivent avoir des RPO plus courts (à cause des impacts produits en cas de pertes).
Idéalement, personne ne veut perdre de données, mais il serait faux de prétendre qu’elles nécessitent toutes des sauvegardes très fréquentes (par exemple, aux 5 secondes, aux 5 minutes ou bien à chaque heure). Il faut retenir que plus la fréquence des copies de sauvegarde est grande (par exemple, à chaque heure), plus les coûts associés aux technologiques requises à ces fins sont élevés. Il importe donc de catégoriser les données, de les ordonnancer des plus critiques à celles qui le sont le moins et de déterminer les meilleures approches permettant d’atténuer d’éventuelles pertes d’informations. Bref, d’utiliser le RPO à ces fins !
Une autre approche à utiliser afin de réduire les risques de pertes de données en cas d’incident ou de sinistre est d’appliquer minimalement le principe du 3-2-1. C’est-à-dire d’enregistrer trois copies de vos données sur deux supports différents, et de toujours conserver une copie hors du site d’origine. C’est un minimum à faire, un premier pas dans la bonne direction.
Le plan de relève informatique : la clé !
Toutes ces informations vous ont interpellées et vous souhaitez vous protéger face à une éventuelle perte de données ? Le plan de relève informatique permet d’assurer le rétablissement et/ou le maintien des systèmes informatiques et d’opérations en cas d’incident ou d’interruption des opérations à l’intérieur des délais requis par les besoins d’affaires. Benoit Racette Services-conseils inc., peut vous accompagner dans l’élaboration d’un plan qui correspond à vos besoins. Contactez-nous, nous pourrons vous aider : [email protected].