Dans notre article précédent (Incident OVH de début d’année: comment éviter que cela vous arrive?), David Vanderoost, directeur général d’Approach, évoquait les responsabilités qui incombent à toute société qui confie l’hébergement de son site Internet (transactionnel ou non) à un tiers. Souvent, en effet, le service dont il bénéficie est loin de couvrir l’ensemble des opérations qui permettent de garantir la préservation et l’opérationnalité de ses données.

Voici donc une liste de conseils qu’il désire formuler aux entreprises désireuses de se prémunir face aux risques de perte de données et de discontinuité.

Informer en interne

La première chose à faire, selon lui, est de conscientiser l’entreprise [et ses responsables] sur les risques encourus. “Il existe une foule de sources d’information. On s’y perd parfois. Les prestataires ne sont nécessairement pas les meilleures sources d’informations: ils ne sont pas toujours objectifs, ou transparents, mettant surtout en avant un service complet “tout en un”à prix abordable. Il est dès lors recommandé de se connecter aux groupes d’intérêt, de suivre la presse spécialisée…”

Décrypter les offres

“Il s’agit de bien comprendre, de comparer et de challenger les offres et les contrats d’hébergement – et de se doter des compétences nécessaires pour cela. D’autant plus quand les services sont ‘tout inclus’, packagés, et/ou sous-traités.

Il convient ainsi de ne pas confondre niveau de disponibilité (et SLA – service level agreements) et résilience des données (fiabilité des sauvegardes et méthode de restauration).

Ne pas confondre non plus sauvegarde, archivage et snapshots, qui répondent à des besoins différents. Et tenir compte de la rétention légale dans l’archivage (durée et protection des données RGPD, droit à l’oubli).

Bien lire et challenger les contrats. Le diable est dans les détails…”

IT et business, main dans la main

“Impliquer l’IT et le business dans cette évaluation préalable à la conclusion d’un contrat.

L’infrastructure n’est qu’un maillon de la chaîne. La seule chose qui est importante est le fonctionnement de la solution complète. Les SLA peuvent paraître acceptables à l’IT du client mais, en pratique, les downtimes peuvent de loin être supérieurs à la tolérance du business du client.

Les pénalités prévues dans les contrats, sont liées au non-respect des SLA et sont surtout un argument de vente et de marketing. Les montants des dédommagements sont très souvent de loin inférieurs au dommage subi par le business. Les pénalités sont calculées sur le montant du contrat infra (ex. x% du montant du contrat) et sont donc dé-corrélées des coûts qu’une panne sérieuse (voire qu’un arrêt complet) peut engendrer pour le business.”

Degré d’acceptabilité

“Identifier et connaître ses besoins en termes de backup et de continuité et ses seuils de tolérance – autrement dit, son “appétence au risque”.

Evaluer, de concert avec le business:
– la perte acceptable de données, aussi appelée “RPO” – qui définira le besoin en fréquence des sauvegardes
– le temps maximal admissible suite à une panne majeure par application critique – qui définira ensuite l’objectif de restauration (RTO)
– et les mesures de restauration et de récupération: plan organisationnels et techniques (BCP/DRP), redondance, hot/cold sites, etc.

Les PME se doivent d’adopter des méthodes pragmatiques (voir, ci-dessous, la règle 3-2-1 pour procéder aux sauvegardes) et se faire accompagner lors des étapes cruciales: besoin, sélection, mise en place, gestion d’incident, etc.

Autre conseil: vérifier les clauses du contrat et les niveaux de services offerts par chaque offre et option en fonction de votre appétence au risque, de vos besoins et de votre budget.”

Comment choisir?

“Vient ensuite le choix de l’hébergeur: le choix se fera sur base de son niveau d’assurance (tier level), de ses certifications (ISO 27001…) etc. Il faut redoubler de prudence dans le cas où l’infrastructure est sous-traitée en cascade. Dans ce cas, tous les intervenants de cette “cascade” doivent clairement définir les responsabilités, les SLA et les liabilities entre eux-mêmes et leur prestataire de services.

En matière de sauvegarde et de continuité, la règle d’or à respecter, côté sauvegarde, est celle du 3-2-1. En clair: multiplier les lieux de stockage – trois copies différentes des données sur deux supports différents ; l’une d’elle étant hors site c’est-à-dire déportée et physiquement isolée (“air-gap”).

Par ailleurs, et afin de se prémunir également du risque de corruption des données par une intrusion malveillante (par exemple du fait d’un rançongiciel), nous recommandons de dissocier totalement le système de sauvegarde du reste de l’infrastructure. Dissocié de l’Active Directory, avec framework d’authentification distinct.

Il faut par ailleurs activer les système dit ‘immuables’ – impossibles à modifier ou à supprimer une fois écrits.

David Vanderoost (Approach): “Ne jamais faire confiance aveuglement et autant que faire se peut contrôler le bon fonctionnement du processus de change management de l’hébergeur.”

S’assurer de sauvegardes saines et fiable: tester régulièrement la restauration. La fréquence des tests doit être alignée sur la criticité pour le business et tenir compte du nombre et de l’importance des changements .Enfin, il existe des solutions qui permettent d’effectuer un scan anti-virus en cours de restauration.

Ne jamais faire confiance aveuglement et autant que faire se peut contrôler le bon fonctionnement du processus de change management de l’hébergeur: une modification considérée comme mineure par l’hébergeur peut, vue du client, pour sa solution end-to-end, avoir un impact majeur pour le plan de continuité par exemple, routage en dur dans un fichier de configuration …).”

Résilience

Résilience. Autrement dit, la résistance aux aléas.

“La règle à tenir à l’esprit est d’envisager le pire pour s’y préparer… L’idéal est de disposer d’un plan de reprise ou de continuité de l’activité, afin de pouvoir assurer la gestion d’un désastre majeur. En envisageant quelques plans ou scénarios catastrophe, cela amène à la réflexion afin de revoir sa stratégie et affiner ses dispositifs.

Dernier recours: souscrire à une police d’assurance cyber pour couvrir le risque résiduel et se doter d’une possibilité d’action rapide et à moindre de frais lors d’un désastre.”