Le livre blanc de la cybersécurité
Chapitre 9

Tout ce qu’il faut savoir sur les sauvegardes et les archives!

La gestion des sauvegardes et des archives touche à l’un des trois piliers de la sécurité numérique : la disponibilité. Pour faire votre travail efficacement, vos documents et contenus médiatiques doivent être disponibles, à jour et sauvegardés dans des endroits adéquats.


Comment assurer la disponibilité de vos documents?

Les mesures visant à optimiser la sauvegarde et les archives de documents touchent précisément à cet aspect essentiel de votre travail. Elles ont pour objectif de vous aider à trouver vos documents à jour au quotidien, ainsi qu’à faciliter leur récupération en cas d’attaque informatique, de vol, de bris ou de perte de matériel. Vous vous dites sûrement : mon organisme et moi avons peu de risque de subir une attaque informatique… pourquoi donc se soucier de cela?

La réponse est simple. Les causes les plus fréquentes de défaillances en matière de cybersécurité sont souvent très banales.

Saviez-vous qu’au Québec, la cause première des pannes Internet n’est pas les organisations criminelles ou des hacker.euse.s engagé.e.s par les services secrets d’États-nations? Ce sont les écureuils qui, en creusant et en grugeant des choses, en viennent à sectionner des câbles. 

La majorité des enjeux en matière de cybersécurité auront eux aussi une cause plutôt anodine : le vol aléatoire d’un ordinateur, votre batterie qui se vide en mettant votre appareil hors tension alors que vous êtes en train de modifier un document, ou encore votre chat qui, dans sa quête d’affection, renverse votre verre de vin sur votre clavier.

Bref, avoir un protocole efficace en matière d’archivage et de sauvegardes vous permet de minimiser l’impact de ces évènements et de vous remettre rapidement sur pied. C’est pourquoi il faut, encore ici, planifier et formaliser ces stratégies afin qu’elles soient efficaces et systématiques dans les pratiques de votre équipe. Nous vous aidons à mettre en place un protocole de sauvegarde dans ce chapitre.

Quelle est la différence entre une sauvegarde et une archive?

Avant toute chose, il importera de différencier ce que constitue une sauvegarde en comparaison à une archive

Une sauvegarde relève de mécanismes de gestion des données à court terme (ou pendant un projet en cours) tandis que les archives s’occupent de garder les informations à long terme. Notamment, grâce à des logiciels comme Time Machine (Mac OS) vous pouvez faire une copie exacte de votre ordinateur à un moment donné. Ainsi, si vous échappez un café sur votre appareil, au moins, vous pourrez récupérer l’ensemble de son contenu. Plus vous aurez fait cette sauvegarde souvent, moins de travail vous aurez perdu! Si, en plus, vos documents les plus importants sont sauvegardés et synchronisés sur un service d’infonuagique en temps réel, vous n’aurez absolument rien perdu!… à part votre ordinateur… 

Les archives, pour leur part, sont aussi une copie des documents, mais sauvegardée avec l’intention particulière d’y accéder dans le futur. Les dossiers et fichiers les plus importants y sont donc organisés de manière cohérente et formalisée. Retrouver des données perdues peut prendre du temps, surtout si les fichiers sont mal nommés, ou s’ils sont organisés d’une façon inefficace. 

Normalement, le processus d’archivage peut servir à libérer de l’espace sur le disque dur de votre ordinateur ou sur les serveurs de l’organisme. Par exemple, lorsqu’un projet est terminé, vous pouvez le sauvegarder sur un disque dur externe et le ranger sous clé. Vous pouvez également garder une copie de vos archives dans un lieu différent. Une inondation, un vol ou un incendie peuvent toujours avoir lieu. Diversifier les lieux physiques où vous conservez les disques durs externes est toujours une stratégie gagnante. 

Plusieurs actions peuvent être entreprises pour faciliter la systématisation des processus d’archivage et de sauvegarde. Il importe d’abord de formaliser un système de référencement commun et de s’entendre sur les protocoles de sauvegarde afin qu’ils soient compris et respectés par tous les individus dans votre organisme. Enfin, en ce qui a trait à l’archivage, il peut être judicieux de désigner une personne responsable pour mener et documenter les opérations.

La stratégie du « 3-2-1 »

Nous espérons vous avoir convaincu.e de l’importance, de l’utilité et de l’efficacité des processus de sauvegarde et d’archivage. Maintenant, comment établir une stratégie optimale?

Dans le milieu de la cybersécurité, nous référons souvent à la stratégie « 3-2-1 » pour gérer les copies de sauvegarde et les documents importants. Sommairement, il s’agit de garder trois copies différentes de ce que l’on veut protéger. Idéalement, deux de ces copies seront sur des dispositifs différents (un ordinateur, un disque dur externe) et au moins une de ces copies sera dans un lieu externe. 

À titre d’exemple, si vous travaillez sur la production d’un court métrage, vous pourriez appliquer la stratégie du « 3-2-1 ». Pour ce faire, vous fonctionnerez en permanence avec trois copies de votre document de travail : la première pourrait être sauvegardée localement sur votre ordinateur. La seconde pourrait être stockée sur un disque dur externe que vous gardez dans un lieu distinct (chez un.e ami.e de confiance, par exemple.) La troisième pourrait être sauvegardée sur un service d’infonuagique.  Pour plus d’information concernant la sécurité des services infonuagiques, consultez le chapitre Sécurité infonuagique.

Évidemment, cette méthode est construite pour assurer une résilience extrêmement solide de vos documents. Vos stratégies peuvent mobiliser des situations intermédiaires, selon la sensibilité des documents. L’important, c’est surtout de formaliser un plan et de l’exécuter rigoureusement au quotidien.

Chiffrer les copies de sauvegarde

Que vous utilisiez une sauvegarde locale ou infonuagique, nous vous recommandons de chiffrer vos données sensibles et de configurer correctement le partage des fichiers. 

Pour être pleinement efficace et pour minimiser les risques associés au fait que certain.e.s employé.e.s puissent oublier leurs accès ou une phrase de passe, cette méthode doit être mise en place une fois que le protocole de phrase de passe est bien acquis par tou.te.s. Effectivement, une fois les données chiffrées, si on oublie sa phrase de passe on ne peut plus y accéder. Il importe donc de commencer par maîtriser votre gestionnaire de phrases de passe avant de passer au chiffrement de vos disques durs. 

Soyez patient.e et indulgent.e envers vous. La sécurité, c’est un processus. Il est beaucoup plus efficace et pertinent de changer tranquillement, mais sûrement vos pratiques organisationnelles et individuelles de manière durable plutôt que de tenter de tout changer du jour au lendemain.  

Plus vous serez prêt.e et entraîné.e à récupérer vos données, plus votre perte de temps (et donc d’argent) en cas de problème sera diminuée. Nous vous encourageons à effectuer des simulations de votre plan de remise en marche pour vous assurer de son efficacité. Vous aurez également une meilleure idée du temps requis pour faire l’opération.


Récapitulatif

  • S’habituer à faire des sauvegardes régulières;
  • Organiser et formaliser vos méthodes de sauvegarde et d’archivage au sein de votre organisme;
  • Utiliser la stratégie du « 3-2-1 » pour les données les plus sensibles et des dérivés de la stratégie pour les autres documents;
  • Choisir vos stratégies de sauvegarde en fonction des méthodes de sauvegarde locale et des solutions en infonuagique;
  • Chiffrer vos données sensibles (si vous êtes à l’aise avec ce procédé);
  • Tester votre plan de remise en marche.

Liens utiles

Chapitre 10 Sécurité infonuagique Tous les chapitres