Sauvegarde, PCA, PRA

1. La légitime conservation sécurisée  des données critiques et sensibles

Les données de cette nature, produites en quantité au sein des entreprises (structures de soins, industrie, PME, collectivités, institutions…) représentent sans conteste de la mémoire persistante : dans le milieu de la santé, il s’agit de prescriptions médicales, résultats d’analyses biologiques, comptes rendus de réunions pluridisciplinaires, bilans thérapeutiques du patient, feuilles de soins électroniques, résultats d’imagerie médicale, dossiers de suivi longitudinal du patient, données produites par les objets connectés… Dans le milieu industriel, il s’agit de brevets, de catalogue de produits, de liste de prix, de chiffre d’affaires, de fichier clients/prospects, de documents de conception d’un service ou d’un produit… Dès lors, la conservation et la protection de cette mémoire apparaissent fondamentales aux yeux des patients, des soignants et des pouvoirs publics, et de toutes autres parties prenantes. Il appartient ainsi aux responsables de traitement de recourir à des dispositifs de protection à l’état de l’art, comme la sauvegarde et l’archivage, dans le respect de la politique de sécurisation des systèmes d’information (PSSI) en vigueur.

2. La sauvegarde (back-up) : comment restaurer les données endommagées ?

Parce que le risque Zéro n’existe pas, que les sinistres comme l’incendie, le dégât des eaux, le vandalisme ou le vol sont possibles, que les arrêts de production coûtent cher et que les utilisateurs ne tolèrent désormais plus l’indisponibilité des services numériques (qu’ils soient métier, bureautique, messagerie, téléphonie ou internet), la mise en place d’une politique de sauvegardes contrôlée et adaptée aux risques identifiés est devenue une obligation. L’état de l’art préconise d’ailleurs une sauvegarde 3-2-1, c’est-à-dire la réalisation de 3 copies minimum pour une même donnée sur 2 supports différents avec 1 sauvegarde hors site....

1. Le besoin vital de la disponibilité numérique

Anticiper les risques potentiels permet sans conteste de piloter la sécurité des systèmes d’information (SI) : liste des événements redoutés (impossibilité d’accéder à une information médicale lors d’une opération chirurgicale, arrêt complet de l’activité des stations essence en cas de confinement généralisé lié à une pandémie mondiale…), liste des scénarios de menaces (attaques par ransomware, vol de données par un collaborateur, falsification du moteur d’intelligence artificielle permettant de piloter la stratégie de construction de plateforme pétrolière, maintenance d’un onduleur avec des conséquences en termes de risque d’incendie…), cartographie des risques, définition des mesures de sécurité, etc. Autant de sujets structurants à étudier bien en amont avant de se lancer dans la mise en œuvre d’une stratégie globale de sécurisation d’activité.

Les processus métier étant fortement digitalisés ou en passe de l’être, il devient donc indispensable de mettre en place un ensemble de solutions fiables pour sécuriser le SI permettant à l’entreprise...

1. De la continuité à la résilience

C’est presque toujours l’environnement contextuel d’un écosystème, générateur d’événements importants, qui entraîne un changement de paradigme. La transition numérique des entreprises, entamée depuis de nombreuses années, se voit désormais amplifiée et accélérée par le contexte post-covidien où la disponibilité et la continuité d’activité font place à d’autres concepts comme l’adaptabilité, l’agilité et la résilience, non seulement du SI mais de toutes les activités de l’entreprise. Elle redessine surtout un nouveau paysage bâti autour de trois tendances majeures - la dépendance aux technologies et aux outils, la généralisation du cloud et l’interconnexion des systèmes d’information - qui entraînent son cortège de nouveaux risques tout en augmentant la surface d’exposition. L’entreprise doit faire preuve de résilience et d’autonomie vis-à-vis de ses parties prenantes : prospects et clients, collaborateurs, actionnaires, fournisseurs ou autres tutelles, et pour y arriver, le maître-mot est l’anticipation continue.

2. Vers la normalité de l’hybridation du SI

C’est un fait : le SI est désormais hybride . Il repose et utilise tout ou partie des caractéristiques des environnements on-premise, cloud privé, cloud public et Edge Computing pour la réalisation de traitements au plus proche de la donnée, particulièrement pertinents pour le domaine de l’IOT et des systèmes autonomes connectés. En logeant les briques applicatives au meilleur endroit, cela permet déjà de répartir le risque mais surtout d’aligner le bon service au bon usage. Par exemple, le recours au cloud public s’impose lorsqu’il...

1. Contexte

Le cas d’usage porte sur une entreprise de 300 personnes dans le secteur du textile qui dispose de 12 sites en France (administratifs et techniques) et d’un siège social à Biarritz. Ce siège héberge l’informatique de l’entreprise qui est constituée des éléments suivants :

2. Besoin

Le besoin exprimé est de disposer d’une solution de sécurisation des serveurs critiques du SI de type plan de reprise d’activité incluant des notions de criticité d’application, de délai maximal de redémarrage ainsi que de fraîcheur de données. Ce PRA passe nécessairement par le recours à un service de cloud. Aucun site secondaire ne sera fourni par l’entreprise.

L’entreprise souhaite également bénéficier de l’accompagnement d’un prestataire pour la mise en œuvre du PRA, du déclenchement au retour à la normale.

3. Méthodologie

Le projet de PRA passe par plusieurs étapes incontournables :