En cas de sinistre, êtes-vous certain de récupérer vos données ?

C’est ce que bon nombre d’entreprises ont vécu début mars 2021, suite à l’incendie du DataCenter d’OVH Cloud à Strasbourg. Il y a les clients qui ont activé leur PRA (Plan de Reprise d’Activité) pour se remettre en route dans un délai limité (RTO/RPO). Et ceux qui ont vu disparaître leurs données de manière définitive dans les flammes.

Que peut-il arriver à vos données ?

Les pertes de données irréversibles peuvent être liées à des catastrophes naturelles, à des erreurs humaines, des cambriolages ou encore à des pannes matérielles.
On appelle ça des « évènements inattendus » de par leur faible probabilité, leur impossibilité de prédiction et leurs conséquences dévastatrices sur l’entreprise.
Aujourd’hui, les cyberattaques sont devenues tellement fréquentes qu’elles ne figurent plus dans la catégorie des évènements inattendus mais restent une menace conséquente de la perte et du vol de données.

Quelles sont les leçons à tirer de cet incident ?

Les données sont certes hébergées dans le Cloud mais on oublie souvent que cela repose sur l’exploitation de serveurs physiques situés dans des DataCenters, comme celui d’OVH, qui sont exposés aux risques matériels.
Le risque zéro n’existe pas. On ne souscrit pas à une assurance voiture pour avoir un accident, mais « au cas où ». Pour les données informatiques, c’est le même principe.
Il incombe donc à chaque entreprise de considérer tous les scénarii possibles et d’évaluer les risques qu’elle peut se permettre d’accepter. 
Cet événement met en lumière les enjeux que représente une bonne gestion de la sauvegarde des données, et l’importance de prévoir un Plan de Reprise d’Activité solide.

Quelles sont les bonnes pratiques à adopter ?

Les principes de bonne gestion en matière de sauvegarde et de continuité d’activité restent inchangés :

  1. S’entourer d’un bon prestataire (fournisseur ou hébergeur). Il saura vous conseiller pour la mise en place de votre PRA, vous sensibiliser sur les risques du Cloud. Dans ses contrats liés à l’externalisation des données, la responsabilité de chaque partie en cas de sinistre devra être clairement précisée. Comparez pour faire le bon choix. Un tarif attractif cache souvent une faille dans le contrat de services.
  2. Observer la règle de sauvegarde du 3-2-1. Conservez au moins 3 copies de vos données, stockées sur 2 types de médias différents avec 1 des copies conservée hors site
  3. Mettre en place un PRA. Une bonne stratégie de sauvegarde vous permettra de récupérer et exploiter vos données après un incident. Quelle que soit la taille de l’entreprise (Gran compte, PME, TPE …), elle doit prévoir la reconstruction de son infrastructure informatique et la remise en route de son activité après sinistre. (en savoir plus)

A qui revient la responsabilité de vos données ?

Suite à cette catastrophe, plusieurs clients ayant perdu tout ou partie de leurs données ont pointé du doigt la responsabilité de l’hébergeur.
Ces accusations infondées reposent sur une méconnaissance de la chaîne de responsabilité. En effet, toute entreprise se doit de prendre les mesures utiles afin de protéger ses données et garantir la continuité de son activité en cas de sinistre.
La responsabilité de la conception et de la mise en place d’un PRA incombe aux entreprises, et non au fournisseur de service cloud ou à l’hébergeur.

Confier l’hébergement de ses données, de ses applications ou de ses serveurs à un prestataire de cloud computing ne règle pas le problème de la protection de son écosystème de données. Ce point est d’ailleurs clairement mentionné dans les conditions générales de vente des hébergeurs, comme des fournisseurs d’applications en mode cloud.

OVH Cloud fait partie des géants du monde de l’informatique. Preuve qu’aucune entreprise n’est infaillible. Qu’en est-il de Microsoft ?

Microsoft est un incontournable dans le monde l’IT. Que ce soit pour le matériel, les licences ou encore les applicatifs. Dans le monde, c’est plus d’un milliard d’utilisateurs de la suite bureautique Microsoft 365, soit 1 personne sur 7.
Les outils Microsoft 365 sont devenus les incontournables dans le quotidien des entreprises, surtout des PME. De plus, à l’ère du Covid-19, le travail collaboratif et le télétravail ont renforcé cette nécessité.
En tant que Leader, nous faisons tous confiance à Microsoft. L’offre est globale, packagée, tarifée à la licence, modulable et adaptée aux besoins des entreprises et de leur activité.
Tout comme OVH, savez-vous où et comment sont hébergées vos données Microsoft ? qu’arriverait-il à vos fichiers, si un des sites de Microsoft venait à subir une catastrophe naturelle ou une cyberattaque ? Avez-vous lu leur contrat de services ? Avez-vous la main sur la gestion de vos données ?

Voici la réponse de Microsoft :

Dans le contrat de services Microsoft, il est stipulé qu’en cas de panne vous ne pourrez pas récupérer votre contenu stocké et qu’il est recommandé de sauvegarder vos données via un service Tiers.

La mission de Microsoft est d’héberger et administrer l’infrastructure de Microsoft 365, d’en assurer la disponibilité et d’en garantir le fonctionnement. La responsabilité de la sauvegarde de vos données Microsoft 365 ne lui incombe pas.
Avec Microsoft 365, les données vous appartiennent : vous les contrôlez, c’est donc à vous de les protéger.

Quelles sont les données concernées par Microsoft 365 ?

Exchange Online, SharePoint Online et OneDrive. Les données postées et partagées dans Microsoft Teams sont journalisées dans Exchange Online et SharePoint Online. (en savoir plus)

De base, vos données sont répliquées sur plusieurs DataCenters Microsoft. Cette réplication permet de protéger Microsoft contre l’endommagement des copies de bases de données. En cas d’échec, les données affectées sont transférées vers un autre centre de données. En cas de sinistres, vous êtes assurés du transfert de vos données sans interruption de service et d’une connectivité transparente.

Cependant la stratégie de rétention de Microsoft et la récupération de vos données ne s’appliquent qu’aux éléments supprimés. Elles ne permettent pas non plus la sauvegarde incrémentale ou la restauration d’éléments ponctuels. De plus, vous n’avez pas accès aux commandes de gestion des données. Vous devez passer par le support Microsoft qui a un délai de traitement de 30 jours.
Rappelons au passage, que OneDrive est un outil de synchronisation et de partage au même titre que Google Drive ou DropBox. Ce n’est donc pas un outil de sauvegarde mais un outil de stockage. Il ne peut donc faire l’objet d’une stratégie de rétention et de sauvegarde pour votre entreprise.

Un autre Leader pour palier au manque de Microsoft

Le n°1 sur le marché est VEEAM. Il a développé une solution entièrement dédiée aux données de Microsoft « Veeam Backup pour Microsoft 365 ». Cette solution vous permet :

  • d’avoir la main sur vos données
  • de les sauvegarder dans un autre Datacenter que ceux de Microsoft
  • de restaurer rapidement des données sensibles de façon ciblée et ponctuelle
  • d’assurer une continuité des activités en cas de sinistre et améliorer des objectifs de délai de reprise (RTO)

Une piste non négligeable à étudier dans un contexte où les données Microsoft sont la cible n°1 pour atteindre les entreprises.

Libre à vous de faire le bon choix.

A la lecture de cet article, vous devez avoir conscience que la responsabilité des données vous incombe ; peu importe leur nature ou votre hébergeur. Sensibiliser vos clients ou votre direction est une démarche indispensable. Vous êtes libre de mettre en place ou non un PRA. Cependant, vous ne pourrez vous retourner contre votre fournisseur en cas de sinistre.
Sachez que :

  • 50 % des entreprises victimes d’une cyberattaque ou vol de données subissent une baisse significative de leur réputation de la fidélité et la confiance de leurs clients. Elles ratent également d’importantes opportunités commerciales.
  • 80% des entreprises qui perdent leurs données subissent une baisse de productivité, une perte de temps et des pertes financières considérables. La plupart d’entre elles ne s’en relèvent pas et font faillite.
  • Les PME sont plus impactées car elles sont moins protégées et pour elles, la perte de data est désastreuse.

AGS Cloud vous accompagne pour la mise en place de votre stratégie de sauvegarde. Un chargé de compte dédié vous proposera un audit gratuit afin de vous proposer une solution 100% personnalisée. N’attendez plus, contactez nous :

Menu