Pourquoi une bonne stratégie de sauvegarde est si importante avec la nLPD
Avec le déploiement de la nouvelle Loi sur la protection des données, les données des clients doivent être mieux protégées. Un défi est désormais lancé aux entreprises qui doivent mettre en œuvre différentes mesures. Découvrez ici comment sécuriser les données avec succès et conformément à la nLPD.
Qu’est-ce que la loi révisée sur la protection des données et qui concerne-t-elle?
La nouvelle Loi sur la protection des données (nLPD) entrera en vigueur le 1er septembre 2023, remplaçant la législation de 1993. Les modifications comprennent notamment des adaptations aux développements technologiques de ces dernières années, avec un accent sur une meilleure protection et un renforcement de l’autodétermination en matière de données personnelles.
Toute entreprise qui traite des données personnelles est concernée par ces changements. Outre les mesures techniques et juridiques, certaines mesures de protection organisationnelles, comme un concept de back-up, sont nécessaires.
En mettant en œuvre la bonne stratégie de sauvegarde, les entreprises sont non seulement conformes à la nLPD, mais aussi efficaces dans la protection de leurs données.
Les données sont les ressources les plus précieuses pour l’entreprise
Les entreprises doivent être attentives à protéger leurs données, qui constituent leur ressource la plus précieuse. Les dangers pour les données des entreprises se situent à différents niveaux:
-
dangers écologiques comme le feu et l’eau
-
cyberattaques, telles que les ransomware
-
documents mal sauvegardés
Pour contrer ces dangers, il est recommandé que les entreprises procèdent à des back-up réguliers de leurs systèmes. Outre le fait d’apporter un surcroît de protection aux données, cette pratique permet de minimiser la période pendant laquelle l’entreprise ne peut opérer en raison des facteurs susmentionnés.
Une stratégie de sauvegarde adaptée, gage d’une protection complète
Il n’y a pas que les sauvegardes qui importent, mais aussi la manière et le lieu où on les réalise. En cas de panne du système, la question du "comment" et du "où" de la sauvegarde peut s’avérer décisive. On parle souvent de stratégie "3-2-1-1":
Au moins trois sauvegardes des données
Lorsqu’elles sauvegardent leurs données, les entreprises devraient toujours partir du scénario le plus pessimiste. Plus il y a de copies de données, moins il est probable qu’elles ne rencontrent toutes des défaillances indépendamment les unes des autres.
Les sauvegardes sur au moins deux supports de données différents
A chaque technologie de back-up et à chaque support de données ses risques d’erreur spécifiques. Pour minimiser l’éventualité d’une panne, les sauvegardes doivent être effectuées sur des supports de données différents. On peut privilégier l’emploi d’un stockage local, comme un NAS, ou opter pour le cloud. Ce qui importe, c’est que le fournisseur de back-up retenu offre des mécanismes de sécurité appropriés.
Une copie de sécurité sur un site externe
Si les sauvegardes ne sont pas physiquement séparées les unes des autres, elles seront toutes perdues en cas de catastrophe. Ce risque peut être éliminé si au moins une sauvegarde est stockée à l’extérieur, que ce soit dans le cloud ou dans un centre de données externe.
Une sauvegarde stockée offline
Pour assurer une indépendance par rapport à Internet, il faut qu’au moins une sauvegarde soit disponible offline. Cela peut notamment se faire sous la forme d’un disque dur externe.
Conclusion
La mise en conformité avec la nLPD étant un travail de longue haleine, il importe de se saisir rapidement du sujet. Avec une stratégie de sauvegarde bien pensée et adaptée à l’organisation, les entreprises couvrent une part importante des exigences de la nLPD et elles diminuent également les pertes de données et les interruptions.
----------
Les services de back-up dans le cloud ont l’avantage de la flexibilité
La sauvegarde des données est un processus complexe aux multiples dimensions. Une bonne stratégie de back-up combine différentes approches et répond au exigences de disponibilité des données de l’entreprise, explique Oliver Widmer, Specialized Sales IT Security chez Alltron, en interview. Interview: Yannick Züllig
Quel est le changement le plus important pour les entreprises dans la nouvelle loi sur la protection des données?
Il y a toute une série de changements importants. J’en retiendrai un en particulier: l’obligation de tenir un registre des activités de traitement. Cela signifie qu’à l’avenir, les entreprises seront non seulement tenues par le législateur de respecter la protection des données, mais qu’elles devront également documenter de manière probante la manière dont elles s’y prennent.
A quelle fréquence faut-il effectuer les back-up pour protéger efficacement les entreprises?
L’entreprise doit fondamentalement réfléchir au délai acceptable entre les sauvegardes – autrement dit, à la perte de données qu’elle tolère. Cette valeur – on parle de RPO (Recovery Point Objective) – peut différer pour chaque système et chaque entreprise. Ces derniers temps, les choses ont évolué sur le plan technique. Certaines solutions de sauvegarde offrent la possibilité de sauvegarder les données utiles sans interruption, tandis que les autres données du système (comme le système d’exploitation) ne sont sauvegardées qu’une fois par jour, par exemple. Avec Acronis Cyber Protect, il est possible de définir une application ou un lien dont les données sont immédiatement sauvegardées à chaque modification. Le RPO peut ainsi être pratiquement réduit à zéro.
Entre les catastrophes naturelles et les cyberattaques, quel est actuellement le risque le plus important pour les données des entreprises?
Ce sont deux sources de danger légitimes, qui nécessitent des approches différentes. Vu que les catastrophes naturelles sont généralement plus rares et plus locales, ce risque peut déjà être fortement réduit par une sauvegarde des données à différents endroits (géo-réplication). En revanche, les cyberattaques se manifestent à tout moment et en tout lieu, et elles sont en outre souvent ciblées et menées avec beaucoup d’énergie. La menace est très complexe et nécessite des concepts de protection à plusieurs niveaux pour protéger les entreprises contre les différents types de cyberattaques.
Vaut-il mieux investir en priorité dans des supports matériels ou dans des solutions de back-up dans le cloud?
Une bonne stratégie de back-up devrait toujours combiner les deux approches. Les sauvegardes locales permettent de restaurer rapidement les données après une catastrophe – sans le goulot d’étranglement de la ligne Internet. Et il faudrait toujours disposer d’une copie à un autre endroit, par exemple dans le cloud, afin de pouvoir accéder aux sauvegardes en tout lieu. Les services cloud ont l’avantage de la flexibilité: ils ne nécessitent pas d’investissement important et des ressources et services supplémentaires peuvent être réservés aisément.
Jusqu’à quel point la stratégie "3-2-1-1" peut-elle être étendue avant de créer trop de redondances?
Il est bien sûr possible d’ajouter d’autres copies, d’autres types de supports (Tape, par exemple) et d’autres sites, mais cela crée effectivement des redondances. Tout dépend des exigences en matière de disponibilité des données après un sinistre. Selon le type de sinistre, la redondance accrue permet de restaurer les données plus rapidement – ce que l’entreprise définit dans son RTO (Recovery Time Objective).
