Mots-clés : Protéger

7 techniques rapides de sauvegarde de données pour TPE/PME

Découvrez des actions de sauvegarde rapides et faciles pour protéger votre entreprise à peu de frais.

Hadrien
Mise à jour le

Pourquoi sauvegarder ses données ?

D’après l’étude Global Data Protection Index menée par l’entreprise DELL, 35% des organisations reconnaissent avoir subi des pertes de données en 2019.
Pourtant, sauvegarder les données de votre entreprise, même s’il s’agit d’une TPE / PME,
doit faire partie de vos priorités pour assurer une défense efficace et une bonne résilience face aux cyberattaques ou aux accidents / catastrophes.

Les données sont un actif précieux des entreprises qui s’exposent, en cas de perte, à des conséquences considérables (financières, réputationnelles, juridiques voire humaines). Un constat confirmé par les cyberattaques récentes via rançongiciels (ransomwares) contre des hôpitaux français : qui pourrait imaginer que l’on perde de précieuses données de santé ?

Pourtant, il est possible de prévenir ce type de déconvenues en définissant et en appliquant une politique de sauvegarde des données adaptée !
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) indique notamment qu’effectuer des sauvegardes régulières est « un des premiers principes de défense » et publie en ce sens un guide de la cybersécurité des TPE/PME.

Nous vous livrons ici des solutions simples à mettre en place qui constituent une première étape dans l’identification, la catégorisation et la sauvegarde de vos données (backup en anglais). Cet article fait office d’introduction car définir une véritable politique de sauvegarde des données est un exercice complexe qui nécessite l’intervention de professionnels.

Note

Le terme « donnée » comprend une multitude de typologies d’actifs informatiques : fichiers, logiciels, emails, configurations, bases de données, code source…

Comment identifier et catégoriser vos données ?

Identifier les données de votre entreprise

Commencez par faire un inventaire en mode « brainstorming » pour identifier l’ensemble des données utilisées ou collectées par votre entreprise : ne vous privez pas d’idées, vous recouperez les informations dans un second temps.

N’hésitez pas à impliquer vos collaborateurs dans cette réflexion ; ils manient peut-être des données dont vous ignorez l’existence.

Attention, de nombreuses données peuvent être « cachées », c’est-à-dire qu’elles ne sont pas directement visibles par les utilisateurs. Une certaine connaissance des systèmes d’information peut être nécessaire pour identifier ces données.

Catégoriser les données préalablement identifiées

Une fois la liste exhaustive de vos données établie, la prochaine étape consiste à les catégoriser afin de définir le traitement le plus adapté. Par exemple, vos données les plus critiques devraient être chiffrées. Vous identifierez également les données concernées par le RGPD (Règlement Général sur la Protection des Données). Tenez compte des spécificités de votre entreprise et adaptez les modèles proposés si nécessaire.

Les principales questions à vous poser dans cet exercice de catégorisation portent sur :

La criticité

Quelle est l’importance de cette donnée pour la gestion quotidienne et la continuité d’activité de votre entreprise ?

La disponibilité

Est-il important que vous puissiez accéder à cette donnée de manière rapide ?

La sensibilité

Quel serait l’impact lié à une fuite de cette donnée ?

L'intégrité

Est-il essentiel que cette donnée ne soit pas modifiée lorsqu’elle est déplacée ou stockée ?

La conservation

Combien de temps devez-vous conserver cette donnée pour respecter vos obligations légales et réglementaires ? Référez-vous notamment au site de la CNIL pour identifier les régimes applicables dans le cadre du RGPD.

Tâchez ensuite lors de cette classification de distinguer :

Les données publiques

Elles sont accessibles gratuitement et par tout le monde : articles de presse, résultats annuels publiés, publications au Journal Officiel… La divulgation, l’altération ou la destruction accidentelle de ces données font peser un risque faible voire nul à votre entreprise.

Les données internes à votre entreprise

Documents de travail, emails internes, procédures, supports de formation… La divulgation, l’altération ou la destruction accidentelle de ces données font peser un risque faible à moyen à votre entreprise.

Les données confidentielles

Ce sont les données internes à votre entreprise et à caractère sensible : bases de données clients, fiches de paie de vos collaborateurs, contenu des entretiens annuels… La divulgation, l’altération ou la destruction accidentelle de ces données font peser un risque fort à votre entreprise. Au-delà des risques réputationnels et financiers, vous vous exposez également à des amendes infligées par le régulateur en cas de fuite de données.

Les données à accès limité

Ce sont les données les plus sensibles de votre entreprise : propriété intellectuelle, brevets, plans stratégiques, informations comptables… La divulgation, l’altération ou la destruction accidentelle de ces données font peser un risque critique à votre entreprise ainsi qu’à vos partenaires économiques.

Soyez vigilant car avec le RGPD certaines informations publiques sont désormais également des données personnelles. Par exemple, un avis client est accessible publiquement mais contient des données personnelles (nom ou pseudonyme). Comme cette donnée est hébergée sur votre site, vous devez en garantir la confidentialité et la sécurité.

Si toutes les données d’un fichier n’appartiennent pas à la même catégorie, classez ce fichier dans la catégorie la plus sensible. Par exemple, si un fichier contient des noms de fournisseur et les noms de leurs dirigeants, alors il sera classé dans la catégorie « données confidentielles ». Même si le nom du fournisseur est une donnée publique, le nom du dirigeant est une donnée confidentielle.

Afin d’avoir un référentiel à jour, nous vous conseillons de réitérer cet exercice de catégorisation régulièrement : tous les semestres ou tous les ans par exemple.

Comment sauvegarder facilement vos données d'entreprise, comment faire des backups ?

La règle d'or de la sauvegarde

Une règle régulièrement utilisée pour aborder la sauvegarde de données est la règle des
3
2
1
:
3

Vous devez disposer d’au moins trois copies (backups) de vos données, dont deux sauvegardes. Cela réduit grandement le risque de perte de données en cas d’incident.

2

Vous devez stocker ces backups sur deux supports distincts. Parmi la liste des supports de sauvegarde citons le disque dur, la clé USB, la carte SD, le serveur Cloud, le papier ou encore les cassettes à bandes magnétiques.

1

Vous devez conserver au moins une copie de vos données à l’extérieur de votre lieu de travail principal pour vous protéger contre les risques d’incidents types catastrophe naturelle, incendie, inondation...

Nous vous conseillons de sauvegarder vos données sur une base hebdomadaire, en changeant de support d’une semaine à l’autre. Pourquoi alterner et ne pas sauvegarder sur deux supports à la fois ? Si votre système est infecté par un logiciel malveillant, ce dernier sera sauvegardé en même temps que vos données saines. Votre sauvegarde sera donc vérolée et vous ne pourrez plus l’utiliser pour restaurer vos données. Vous pourrez en revanche utiliser la sauvegarde de la semaine précédente qui n’aura pas été contaminée.

Contamination de sauvegardes par des logiciels malveillants

Enfin, vérifiez que vos sauvegardes se sont bien déroulées, par exemple en comparant la taille du dossier source à la taille du dossier de sauvegarde et en ouvrant des documents sauvegardés pour en constater l’intégrité. Pensez aussi à vérifier l’état de santé de vos disques durs, leur durée de vie moyenne étant de 3 ans.

Quelques actions concrètes pour sauvegarder vos données d'entreprise

Fini la théorie, place à la pratique ! Voici quelques pistes, quelques idées, pour mettre en place rapidement et à moindre frais des actions de sauvegarde.

Techniques rapides de sauvegarde

Cliquez sur une catégorie pour afficher le détail.

7 types
  • Votre site est hébergé chez un hébergeur : vous disposez déjà certainement de fonctions de sauvegarde. Vous pouvez contacter l’équipe support de votre fournisseur pour vous renseigner sur les fonctions de sauvegarde.
  • Votre site est basé sur WordPress : vous pouvez commencer par installer un plugin dédié. Vous pourrez ensuite sauvegarder manuellement et automatiquement, sur le cloud et sur votre ordinateur, le contenu intégral de votre site (bases de données, thèmes et fichiers). En cas d’incident, la restauration pourra se faire directement depuis l’interface de WordPress.
  • Facebook : exportez manuellement votre page professionnelle en suivant ce tutoriel officiel. Des éditeurs tiers proposent également des solutions de sauvegarde automatique mais nous vous conseillons de lire attentivement leurs conditions générales de vente.
  • LinkedIn : exportez manuellement vos données en suivant ce tutoriel officiel.
  • Instagram : exportez manuellement vos données en suivant ce tutoriel officiel.
  • Twitter : exportez manuellement votre profil en suivant ce tutoriel officiel.

Les tutoriels proposés par Google (Exporter vos données depuis Gmail) et par Windows (Sauvegarder votre courier) pour sauvegarder vos emails.

La majorité des logiciels comptables sont en mode SaaS, c’est-à-dire qu’ils sont accessibles depuis un navigateur Internet et que vos données sont hébergées chez le fournisseur.
L’export manuel est une fonction standard que nous avons observée dans la majorité des solutions. Contactez l’équipe support de votre fournisseur pour obtenir une copie des données si ça n’est pas le cas ; ou pour connaître la disponibilité de la fonction de sauvegarde automatique.

  • Backup and Sync de Google permet de sauvegarder gratuitement jusqu’à 15Go de données. L’application propose une option de sauvegarde automatique lorsque votre ordinateur démarre ou lorsqu’un périphérique y est connecté.
  • Onedrive de Microsoft est une solution similaire à Backup and Sync. La version gratuite propose 5Go de stockage et vous disposerez de 1To si vous êtes abonné à Microsoft 365.

Windows et Apple proposent chacun leur logiciel de sauvegarde de données. Sélectionnez les fichiers à sauvegarder, puis branchez un disque dur ou une clé USB avant de lancer la sauvegarde. Evitez l’utilisation de CD/DVD car ils sont moins efficaces lors du processus de restauration des données.

Des solutions payantes comme Backblaze, Idrive ou Acronis vous permettent, à partir d’une seule interface, de sauvegarder automatiquement vos données de sources multiples (site web, poste de travail, page facebook...) sur un support physique ou sur le cloud.

Besoin d'évaluer vos risques ?

Nos experts peuvent vous éclairer sur les risques liés à votre politique de sauvegarde actuelle et vous conseiller.
Notre expertise porte également sur de nombreux autres aspects de cybersécurité.

En savoir plus

Et dans les grandes entreprises ?

Les manipulations ci-dessus sont des sauvegardes intégrales, c’est-à-dire que vous sauvegardez la totalité de vos données à chaque sauvegarde. Les grandes entreprises qui traitent un volume de données beaucoup plus important utilisent d’autres stratégies telles que les sauvegardes incrémentielles et différentielles.

  • La sauvegarde incrémentielle ne sauvegarde que les fichiers modifiés depuis la dernière sauvegarde incrémentielle, offrant un temps de sauvegarde rapide et plus de flexibilité lors de la restauration.
  • La sauvegarde différentielle ne sauvegarde que les fichiers modifiés depuis la dernière sauvegarde intégrale. Comparativement à la sauvegarde incrémentielle, le temps de sauvegarde est plus long mais la restauration des données est plus rapide.

Dans la pratique, une entreprise pourra donc choisir de combiner ces différents modes de sauvegarde. Par exemple, il est possible d’effectuer des sauvegardes incrémentielles en semaine, puis une grosse sauvegarde intégrale le week-end lorsque personne ne travaille. On parle alors de mettre en place un plan de sauvegarde.

Plan de sauvegarde intégral
Exemple de plan de sauvegarde intégral uniquement en week-end
Plan de sauvegarde incrémentielle
Exemple d'un plan de sauvegarde incrémentiel en semaine et intégral les week-ends
Plan de sauvegarde différentielle
Exemple d'un plan de sauvegarde différentiel en semaine et intégral les week-ends

Cette explication est donnée à titre d’exemple car les politiques de sauvegarde des grandes entreprises sont des sujets complexes qui comprennent une multitude d’expertises, de contraintes et d’outils. La technicité de ces sujets conduit généralement à en confier la responsabilité à la Direction des Systèmes d’Information (DSI).

Un professionnel est par exemple amené à réfléchir aux problématiques suivantes pour assurer une défense efficace contre les cyberattaques :

  • Comment protéger les backups contre les logiciels malveillants (virus, ransomware…) ? (Il n’est pas envisageable de restaurer des données vérolées !)
  • Au-delà des données, faut-il sauvegarder les systèmes, les configurations, les applications… Autrement dit, quelles sont les interdépendances de la chaîne de restauration et comment la mettre en place pour disposer d’un système d’information fonctionnel de bout en bout ?
  • Comment s’assurer de l’intégrité des backups, même en l’absence de malware (copies corrompues, supports endommagés, etc.) ? 
  • Comment restaurer rapidement les systèmes et les données ? Dans le cas d’une restauration via le réseau, attention à la saturation de l’infrastructure avec un tel volume de données en transit ! Quid des postes de travail : la restauration est-elle à la charge des utilisateurs ? Si oui, il est nécessaire de proposer des programmes de formation adaptés ; si non, il faut prévoir un support informatique équipé de bancs de masterisation fonctionnels. 

Toutes ces actions sont chronophages et nécessitent une organisation minutieuse, surtout si l’entreprise en question ne dispose pas de procédures de gestion de crise et n’a jamais effectué de tests de restauration. Raison de plus pour se préparer en amont d’un incident !

Conclusion

Vous voilà parés pour sauvegarder efficacement vos précieuses données ! N’oubliez pas qu’il ne s’agit que d’une première étape vers la sécurisation de votre entreprise. Contactez-nous pour savoir comment nous pouvons vous accompagner dans cette démarche.

Recevez nos conseils et alertes, demandez les actualités cendium !

Maximum 1 email par mois, révocable à tout moment.

Hadrien
Mise à jour le
Hadrien est consultant indépendant auprès d’institutions financières. Certifié PMP, ISO 27001 et Security+, son expertise s’articule autour de 3 piliers : la gestion des projets de digitalisation, le domaine de la GRC (Gouvernance, Risque, Compliance) et l’analyse de données.
Cybermalveillance.gouv.fr Assistance et prévention du risque numérique