La protection des données doit être abordée comme une question d’entreprise et même de gouvernance d’entreprise. Pour garantir une récupération rapide des données – et donc rétablir l’activité elle-même – il est essentiel de mettre en œuvre avec soin les meilleures pratiques en matière de protection des données. Qui plus est alors que celles-ci ne cessent de croître et que les coûts liés à leur gestion augmentent tout autant.

Si la plupart des entreprises ont mis en place une stratégie de protection des données, celle-ci repose souvent sur des analyses, des principes et des outils dépassés. Il est tentant d’essayer de patcher les solutions existantes afin de mieux répondre aux vecteurs d’attaque actuels, mais cette approche est vouée à l’échec car le paysage des menaces n’est pas le seul à évoluer constamment. L’environnement métier et les nouvelles technologies sont également des cibles mouvantes. Dans notre société de plus en plus numérisée, il est inévitable que nous devenions également plus dépendants de l’accès aux données et aux systèmes, impliquant la disponibilité continue à la donnée.

Pour l’équipe informatique, le chiffre clé le plus critique en matière de protection des données est sans doute le temps nécessaire à la restauration à partir des sauvegardes, qu’il s’agisse d’une panne matérielle ou d’une cyberattaque. Dans le même temps, les clients du service informatique, généralement les services métiers, doivent également prendre en compte le ratio correspondant : Quelle est la plus longue période acceptable pendant laquelle ils peuvent se passer de l’accès à leurs données ? En estimant et en comparant soigneusement ces chiffres, la direction informatique pourra déterminer s’il existe un écart entre le service rendu et les attentes.

Le scénario de reprise ci-dessus est évidemment un peu simpliste. Toutes les applications n’ont pas le même niveau de criticité pour l’entreprise. Il y a donc des données prioritaires qui alimentent le cœur de l’entreprise, et d’autres qu’il est envisageable de reléguer à un second niveau de disponibilité. Pour établir une protection efficace des données à un coût raisonnable, il faut approfondir ces questions et étudier chaque application et environnement qui soutiennent l’entreprise.

Cela étant dit, mon point de vue – et la bonne nouvelle – est que la protection des données, qui implique profondément la technologie et la sécurité, est maintenant reconnu comme un élément important pour l’activité de l’entreprise. La protection des données ne diffère pas des autres tâches de gestion : la responsabilité, la gouvernance et le travail d’équipe seront les clés de réussite.

Pour garantir une récupération efficace des données, les entreprises doivent adopter les meilleures pratiques suivantes :

Rester à jour. Il est nécessaire de s’assurer que la plateforme de protection des données est à jour et d’adopter les nouvelles fonctionnalités que les fournisseurs mettent sur le marché pour éviter que les données ne tombent dans les failles des solutions existantes.

Adopter une approche de la sécurité multi-niveaux (ou multi-couches). A la manière de la superposition de couches de vêtements en hiver, la protection des données doit se composer de plusieurs couches ! Adopter une approche de la sécurité fondée sur la confiance zéro (l’architecture Zero-Trust), n’autoriser les employés à accéder qu’aux zones dont ils ont besoin pour effectuer leur travail, disposer de solutions de protection de type AIRGAP pour les actifs les plus critiques et utiliser l’authentification multifactorielle ne sont que quelques exemples de ce que les entreprises peuvent faire pour protéger leurs données.

Tester, tester et tester encore ! Il faut une situation d’urgence réelle pour confirmer que l’entreprise dispose d’une protection des données fiable. Mais pour y parvenir, il faut disposer des bons outils et les utiliser correctement. Les procédures de sauvegarde et de restauration comptent au moins autant que la technologie, ce qui peut par exemple être vérifié en effectuant régulièrement des validations et des tests. Les tests révèleront l’état de la protection des données et contribueront à maintenir la capacité à récupérer et à repousser les cyberattaques.

Parce que les données demeurent l’intelligence de l’entreprise et le garant de sa pérennité, il est plus que jamais nécessaire de replacer leur protection au centre de toute stratégie de gouvernance de l’entreprise. Adopter la bonne suite logicielle compte, mais c’est bien sa gestion, au quotidien et plus loin dans le temps qui fera la différence : une solution obsolète ou utilisée sans qualification préalable de la donnée et des accès ouverts n’aura pour effet que de créer de potentielles failles ou de sur-stocker de la donnée en sauvegarde active, quand tant d’entre elles ne sont plus utiles et seraient à archiver par exemple. Rationaliser la gouvernance de la donnée est l’enjeu d’aujourd’hui comme de demain pour toutes les entreprises, pour des questions de sécurité, de conformité… et aussi d’économies !
___________________

Par Xavier Bourdelois, responsable avant-vente chez Commvault

 

À lire également :

« Une entreprise doit toujours rester agile et s’interroger sur son évolution… »

Commvault Disaster Recovery, optimisé pour le cloud

Stocker et sauvegarder les données quel que soit l’environnement