Identification des éléments à inclure dans les procédures de sauvegarde (types de données, fréquence, destinations, etc.)
L’identification des éléments à inclure dans les procédures de sauvegarde est une étape cruciale pour garantir que les sauvegardes sont effectuées de manière appropriée et efficace. Voici les principaux éléments à prendre en compte lors de l’élaboration de ces procédures :
Types de données : Identifier clairement les types de données à sauvegarder. Cela peut inclure :
Les données clients
Les données financières
Les données de ressources humaines
Les bases de données d’applications
Les configurations système
Les documents d’entreprise
Fréquence des sauvegardes : déterminer à quelle fréquence les sauvegardes doivent être effectuées en fonction de la criticité des données. Par exemple :
Sauvegardes quotidiennes pour les données critiques
Sauvegardes hebdomadaires pour les données moins critiques
Sauvegardes mensuelles pour les données statiques
Méthodes de Sauvegarde : préciser quelles méthodes de sauvegarde seront utilisées. Les méthodes courantes comprennent :
Sauvegardes complètes : toutes les données sont sauvegardées.
Sauvegardes incrémentielles : seules les données modifiées depuis la dernière sauvegarde sont sauvegardées.
Sauvegardes différentielles : seules les données modifiées depuis la dernière sauvegarde complète sont sauvegardées.
Destinations des sauvegardes : spécifier où les sauvegardes seront stockées. Cela peut inclure :
Les disques locaux
Les supports amovibles (disques durs externes, bandes)
Le stockage en cloud
Les serveurs de sauvegarde dédiés
Les sites de secours
Conseil
Appliquer la règle 3-2-1.
Appliquer des mesures de sécurité à prendre pour protéger les données sauvegardées contre l’accès non autorisé.
Rétention des données : indiquer la durée où les données sauvegardées seront conservées. Cela dépendra des besoins de l’entreprise et des exigences légales. Par exemple :
Conservation des sauvegardes quotidiennes pendant 30 jours
Conservation des sauvegardes mensuelles pendant 12 mois
Conservation des sauvegardes annuelles pendant 7 ans
Chiffrement des données : chiffrer les données sauvegardées pour garantir leur sécurité pendant le stockage et la transmission.
Vérification des sauvegardes : inclure des procédures pour vérifier régulièrement l’intégrité des sauvegardes. Cela peut impliquer la vérification des journaux d’activité, la comparaison des données sauvegardées avec les données sources, etc.
Documentation : documenter toutes les procédures de sauvegarde de manière claire et concise. Assurez-vous que la documentation est régulièrement mise à jour en fonction des changements dans l’environnement informatique de l’entreprise.
En identifiant ces éléments et en les intégrant dans les procédures de sauvegarde, vous pouvez garantir que les sauvegardes sont réalisées de manière cohérente, conforme aux besoins de l’entreprise et en ligne avec les meilleures pratiques de gestion de la continuité des activités. Cela permet de minimiser les risques de perte de données et de perturbation des opérations en cas d’incident.
Documentation des étapes détaillées pour réaliser les sauvegardes conformément aux bonnes pratiques
Bonnes pratiques pour réaliser des sauvegardes
Étape 1 : identifier les périphériques contenant des données,
Étape 2 : déterminer les données à sauvegarder (données système d’un OS + logiciels inclus),
Étape 3 : sauvegarder régulièrement les données choisies,
Étape 4 : choisir les outils/solutions adaptés aux besoins,
Étape 5 : planifier les sauvegardes,
Étape 6 : vérifier l’état de santé des supports accueillant les sauvegardes,
Étape 7 : déconnecter les supports accueillant les sauvegardes après les sauvegardes,
Étape 8 : protéger les sauvegardes,
Étape 9 : tester les sauvegardes.
Fiche de découverte des bonnes pratiques à adopter pour les sauvegardes
Établissement des procédures détaillées pour la restauration des différentes catégories de données
Responsabilités :
Responsable de la restauration : identifier la personne ou l’équipe responsable de la mise en œuvre des procédures de restauration,
Responsabilités des utilisateurs : expliquer les responsabilités des utilisateurs finaux en cas de perte de données, notamment la notification des problèmes.
Méthodes de restauration :
Restaurer des données à partir des sauvegardes : décrire les méthodes spécifiques pour restaurer des données à partir des sauvegardes, y compris la restauration complète, incrémentielle et différentielle.
Restaurer des données à partir du cloud : si des données sont stockées dans le cloud, indiquez comment les restaurer, y compris les procédures d’accès aux données dans le cloud.
Étapes de vérification, de validation et de suivi des restaurations de données
La vérification, la validation et le suivi des restaurations de données sont des étapes garantissant que les données restaurées soient exactes, complètes et conformes.
Vérification initiale de la restauration :
Vérification de l’intégrité : avant d’entamer la restauration, s’assurer que les sauvegardes sont intactes et n’ont pas été corrompues. Cela peut être fait en vérifiant les journaux d’activité des sauvegardes et vérifier les supports de sauvegardes.
Vérification des autorisations : s’assurer que l’utilisateur ou l’équipe chargée de la restauration a les autorisations nécessaires mais minimums (moindre privilège) pour accéder aux données et aux ressources associées pour restaurer.
Action de restauration :
Restauration des données : suivre les procédures de restauration pour restaurer les données à partir des sauvegardes ou du stockage approprié. S’assurer de respecter le planning de restauration établi.
Vérification de la restauration :
Comparaison avec les données sources : comparer les données restaurées avec les données sources pour vérifier leur similitude. Vous pouvez utiliser des outils de comparaison de fichiers pour cette étape (exemples d’outils : WinMerge, Beyond Compare, KDiif3, Meld, DiffMerge, Araxis Merge, ExamDiff, FileMerge/openDiff, Diffuse, Guiffy, etc.).
Vérification de l’intégrité : vérifier que les données restaurées soient complètes et que rien n’ait été tronqué ou manquant.
Validation de la restauration :
Validation des données : si possible, effectuer des tests pour valider l’exactitude des données restaurées. (Exemple : exécutez des requêtes pour vérifier que les données sont cohérentes sur une base de données.)
Validation des applications : si les données restaurées sont liées à des applications, s’assurer que ces applications fonctionnent correctement avec les jeux de données restaurées.
Suivi de la restauration :
Documentation : documenter tous les détails de la restauration, y compris l’horodatage, les fichiers restaurés, les résultats des vérifications, etc.
Rapports d’erreurs : si des erreurs ou des problèmes ont été rencontrés lors de la restauration, les documenter et décrire les actions correctives entreprises.
Recettage : demander aux parties prenantes (clients ou utilisateurs finaux) de valider les données restaurées.
Conformité avec les procédures : suivre toutes les procédures de restauration établies.
Formation et sensibilisation : s’assurer que les personnes responsables de la restauration sont formées et connaissent les dernières procédures et les meilleures pratiques.
Post-suivi : effectuer régulièrement des vérifications de la restauration, même après que le système est revenu à la normale. Les données peuvent se dégrader au fil du temps, il est donc important de maintenir la qualité des sauvegardes (4 à 10 fois par an).
Révisions et mises à jour de la documentation : réviser régulièrement la documentation des étapes de vérification, de validation et de suivi pour vous assurer qu’elle reste à jour et reflète les changements dans l’environnement informatique de l’entreprise.
En suivant ces étapes de vérification, de validation et de suivi des restaurations de données, vous pouvez garantir que les données restaurées soient fiables et conformes, ce qui est essentiel pour maintenir la continuité des activités ou reprendre la productivité et maintenir la sécurité des données.
Établissement d’un calendrier de sauvegardes en fonction des exigences de chaque type de donnée
Guide général pour établir le calendrier
Le guide repose, avant d’établir une notion de temps, sur l’identification du type de données, leur importance et la fréquence de sauvegarde.
Choisir le bon moment de la sauvegarde : décider du moment de la journée où les sauvegardes auront lieu (exemple : les sauvegardes complètes peuvent être programmées la nuit pour minimiser l’impact sur les opérations en cours).
Établir un calendrier : créer un calendrier de sauvegardes qui spécifie les jours et les heures où chaque type de donnée sera sauvegardé. Utiliser un format de calendrier facile à comprendre (et à exporter) afin que les parties prenantes sachent quand exécuter les sauvegardes ou quand elles seront exécutées.
Automatiser les sauvegardes : utiliser des outils d’automatisation (ou scripts avec planificateur = Microsoft Task Scheduler ou Linux Crontab) pour planifier et exécuter les sauvegardes en fonction du calendrier établi. Cela garantit une exécution régulière et fiable des sauvegardes.
Documenter le planning : documenter le calendrier de sauvegardes et s’assurer que toutes les parties concernées, y compris les administrateurs système, sont informées de leurs responsabilités en matière de sauvegarde.
ExempleExemple concret d’un guide calendaire de sauvegarde
Entreprise : PME IT-IT, une entreprise de services informatiques offrant des solutions d’infrastructures pour d’autres entreprises.
Types de Données :
Données clients : inclut les informations client, les historiques d’achat, les données de facturation, etc.
Données financières : comprend les données comptables, les relevés bancaires, les rapports financiers, etc.
Données employés : contient les dossiers des employés, les informations de paie, les contrats, etc.
Données développement : englobe les codes sources, les bases de données de développement, les versions de logiciels, etc.
Données de sauvegardes : les sauvegardes, y compris les fichiers système, de configuration, les logs, etc.
Niveaux d’importance :
Données clients : critique
Données financières : critique
Données employés : importante
Données développement : importante
Données de sauvegardes : essentielle
Fréquence de Sauvegarde :
Données clients : sauvegarde quotidienne
Données financières : sauvegarde quotidienne
Données des employés : sauvegarde hebdomadaire
Données développement : sauvegarde hebdomadaire
Données de sauvegardes : sauvegarde quotidienne
Calendrier de sauvegarde :
Lundi : sauvegarde des données des employés
Mardi : sauvegarde des données des employés et des données de sauvegarde
Mercredi : sauvegarde des données des employés
Jeudi : sauvegarde des données de développement
Vendredi : sauvegarde des données clients et des données financières
Samedi : sauvegarde des données de développement et des données de sauvegarde
Dimanche : sauvegarde des données de sauvegarde
Nota :
Les sauvegardes quotidiennes sont effectuées en dehors des heures de bureau pour minimiser l’impact sur les opérations en cours.
Les sauvegardes hebdomadaires sont programmées pour les jours où l’entreprise est moins active.
Les données de sauvegarde système sont essentielles pour garantir la récupération du système en cas de sinistre.
Le calendrier est documenté et régulièrement révisé pour s’assurer qu’il répond toujours aux besoins.
Cet exemple illustre comment une PME peut établir un calendrier de sauvegardes en fonction des exigences spécifiques pour chaque type de donnée, en tenant compte de leur importance et de la fréquence nécessaire pour minimiser, voire éviter les risques de perte de données.
Définir des priorités de sauvegarde en cas de contraintes de ressources
Lorsqu’une entreprise est confrontée à des contraintes de ressources (matérielles, logicielles, humaines, budgétaires et temporaires), il est essentiel de définir des priorités de sauvegarde pour s’assurer que les données critiques sont protégées en premier lieu.
Pour prioriser en fonction des contraintes de ressources, il faut identifier les données vitales.
À partir de là, on détermine à quelle fréquence ces données doivent être sauvegardées. Les données très critiques peuvent nécessiter des sauvegardes plus fréquentes que d’autres.
On classe les données par priorité : on crée une classification des données en fonction de leur importance. Par exemple :
Priorité 1 (la plus haute) : données extrêmement critiques nécessitant des sauvegardes fréquentes (exemple : données de production),
Priorité 2 : données importantes nécessitant des sauvegardes régulières (exemple : données financières),
Priorité 3 : données moins critiques nécessitant des sauvegardes périodiques (exemple : données clientes),
Priorité 4 : données moins critiques nécessitant des sauvegardes occasionnelles (exemple : données historiques et données non sensibles).
Nota :
Ces priorités peuvent être adaptées/révisées aux besoins spécifiques de chaque organisation. Elles doivent être écrites noir sur blanc pour que les parties prenantes comprennent bien le classement.
On sauvegarde en différentielle ou en incrémentielle si les ressources (vitesse de transmission ou matériel ou stockage) sont limitées, cela économise de l’espace de stockage et du temps.
On met en place une rotation de données si les contraintes de stockage sont importantes, cela signifie que seules certaines données sont sauvegardées à certains moments, tandis que d’autres sont exclues.
Nota :
S’assurer que les données exclues ne sont pas essentielles à court terme.
On planifie et on exécute les sauvegardes en fonction des priorités établies.
Définir un plan de tests réguliers pour évaluer l’efficacité des procédures de restauration
Pour évaluer l’efficacité des procédures de restauration, il est essentiel de mettre en place un plan de tests réguliers.
Plan général de tests réguliers pour évaluer l’efficacité des procédures de restauration
Objectif des tests : évaluer l’efficacité des procédures de restauration des données en cas de sinistre ou de perte de données.
Fréquence des tests : les tests doivent être effectués de manière régulière, généralement plusieurs fois par an (jusqu’à 1 fois par mois), pour garantir la fiabilité des procédures de restauration.
Étape 1 : préparation
Définition des objectifs : définissez clairement les objectifs du test, tels que la récupération réussie des données critiques dans un délai spécifié.
Sélection des données : choisissez les données à restaurer lors du test. Vous pouvez sélectionner des données représentatives de chaque type de donnée critique.
Planification : élaborez un plan de test détaillé, y compris une chronologie et une liste de contrôle des étapes à suivre.
Étape 2 : exécution du test
Simuler une situation de sinistre : créez un scénario de test réaliste qui simule une perte de données ou un sinistre. Par exemple, supposez qu’un serveur ait subi une défaillance matérielle.
Lancement de la procédure de restauration : appliquez la procédure de restauration conformément au plan établi. Suivez chaque étape et documentez les délais.
Validation : vérifiez que les données sont restaurées avec succès. Assurez-vous que les données récupérées sont cohérentes et complètes.
Étape 3 : évaluation et documentation
Analyse des résultats : évaluez les résultats du test. Identifiez les problèmes éventuels rencontrés lors de la restauration.
Améliorations : si des problèmes sont identifiés, apportez les améliorations nécessaires aux procédures de restauration et au plan de continuité.
Documentation : documentez les résultats du test, y compris les étapes effectuées, les temps de restauration, les problèmes rencontrés et les actions correctives prises.
Étape 4 : rapport et communication
Rapport : rédigez un rapport de test complet, y compris les résultats, les améliorations apportées et les recommandations.
Communication : partagez le rapport avec toutes les parties prenantes impliquées dans la gestion de la continuité des activités et des sauvegardes.
Étape 5 : révision et suivi
Révision : périodiquement, révisez les procédures de restauration en fonction des résultats des tests précédents et des changements dans l’infrastructure.
Formation : assurez-vous que le personnel responsable de la restauration est formé aux procédures mises à jour.
En suivant ce plan de tests réguliers, vous pouvez garantir que vos procédures de restauration soient efficaces et que l’entreprise sera prête face à des situations de perte de données ou de sinistre.
ExempleExemple concret d’un plan de tests réguliers d’évaluation de procédures de restauration pour une PME
Entreprise : la PME IT-IT est une entreprise de services informatiques offrant des solutions d’infrastructures pour d’autres entreprises.
Objectif des tests : évaluer l’efficacité des procédures de restauration des données de la PME IT-IT en cas de sinistre ou de perte de données.
Fréquence des tests : les tests seront effectués 4 fois par an, en janvier, en avril, en juillet et en octobre, pour garantir la fiabilité des procédures de restauration.
Étape 1 : préparation
Définition des objectifs : l’objectif principal est de garantir que les données critiques peuvent être restaurées dans les 4 heures suivant un sinistre.
Sélection des données : pour ce test, nous sélectionnerons des données représentatives, y compris des données clients, des données financières, des données de projets en cours et des données de ressources humaines.
Planification : un plan de test détaillé sera élaboré, couvrant toutes les étapes, de la notification du sinistre à la vérification de la restauration.
Étape 2 : exécution des tests (janvier = test 1, avril = test 2, juillet = test 3, octobre = test 4)
Simulation du sinistre : nous simulerons une défaillance matérielle majeure d’un serveur critique sur les 4 tests.
Lancement de la procédure de restauration : nous appliquerons la procédure de restauration préalablement établie, en suivant les étapes du plan.
Validation : nous vérifierons que les données sont restaurées avec succès dans les 4 heures max suivant le début du test1 et moins sur les autres tests.
Étape 3 : évaluation et documentation
Analyse des résultats : les résultats du test1 montreront que la restauration a été effectuée en 3 heures, ce qui est plus rapide que l’objectif fixé. Idem (moins de 3 h) pour les tests 2, 3 et 4.
Améliorations : bien que le test1 ait été réussi, nous identifions une opportunité d’amélioration en optimisant davantage les procédures pour gagner en efficacité (succès, car la restauration effectuée en tests 2, 3 et 4 se fait en moins de 3 heures).
Documentation : les résultats de tous les tests sont documentés, y compris les temps de restauration, les améliorations proposées et les actions correctives prises.
Étape 4 : rapport et communication (février = test 1, mai = test 2, août = test 3, novembre = test 4)
Rapport : un rapport complet est rédigé, indiquant que les procédures de restauration ont atteint l’objectif de temps.
Communication : le rapport est partagé avec le comité de gestion et les employés concernés pour leur donner confiance dans la capacité de l’entreprise à faire face à des sinistres.
Étape 5 : révision et suivi (mars = test 1, juin = test 2, septembre = test 3, décembre = test 4)
Révision : le plan de restauration est révisé en fonction des résultats des tests avec un accent sur l’optimisation des procédures.
Formation : le personnel averti est formé à chaque fin d’administration du test adéquat, aux procédures mises à jour, en mettant l’accent sur l’accélération de la restauration.
En suivant ce plan de tests réguliers, les procédures de restauration de l’entreprise IT-IT sont forcément efficaces et l’entreprise est prête face à des situations de perte de données ou de sinistres divers.
Programmer des tests de restauration selon les priorités et les contraintes de l’entreprise
La programmation de tests de restauration en fonction des priorités et des contraintes de l’entreprise est presque vitale pour s’assurer que les données critiques ou non peuvent être récupérées en cas de nécessité.
Programmer un plan de tests de restauration selon les priorités et les contraintes de l’entreprise
Étape 1 : repérer les données sauvegardées critiques de l’entreprise (données financières, des données clients, des données de production, etc.) et les classer par ordre d’importance de restauration.
Étape 2 : déterminer la fréquence à laquelle les tests de restauration doivent être effectués. Les données sauvegardées critiques nécessiteront des tests plus fréquents que les données sauvegardées moins importantes.
Étape 3 : créer un calendrier de tests en fonction des fréquences définies (exemple : les données critiques peuvent être testées mensuellement, tandis que les données moins importantes peuvent être testées trimestriellement).
Étape 4 : intégrer les tests de restauration dans la routine de gestion des sauvegardes et de la continuité des activités de l’entreprise (exemple : les tests mensuels peuvent être programmés le premier vendredi de chaque mois).
Étape 5 : utiliser des outils de restauration pour effectuer ces restaurations. Les outils de restauration soit sont dans l’outil de sauvegarde, soit ce sont des commandes de langages de scripting (Bash, PowerShell, Python, etc.).
Étape 6 : créer des tableaux de bord regroupant les résultats des tests. On retrouvera dans ce dashboard le temps de restauration, la réussite ou non, les problèmes éventuels rencontrés (et les mesures correctives prises le cas échéant) puis d’autres informations en cas de besoin, sans oublier de transmettre à qui de droit ces rapports.
Étape 7 : analyser et comparer les résultats des tests de restauration des mêmes données. Identifier les tendances et les similitudes afin de corriger et d’améliorer les tests.
Étape 8 : réviser les classements de priorités si nécessaires et ajuster le calendrier des tests à chaque changement dans la société sans oublier de mettre à jour les procédures de restauration.
Étape 9 : former le personnel en continu sur les procédures de restaurations.
En suivant ces étapes, vous pouvez programmer des tests de restauration qui répondent aux priorités de l’entreprise et qui assurent que les données les plus critiques sont récupérées de manière fiable, contribuant ainsi à la continuité des activités et en respectant les contraintes.
ExempleExemple concret d’un plan de tests de restauration selon les priorités et les contraintes de l’entreprise IT-IT
Entreprise : la PME IT-IT est une entreprise de services informatiques offrant des solutions d’infrastructures pour d’autres entreprises.
Objectif des tests : assurer que les données critiques de l’entreprise peuvent être restaurées avec succès en cas de sinistre ou de perte de données.
Priorités des Données : IT-IT a identifié trois catégories de données critiques : finances, clients et développement.
Fréquence des tests (peu importe les ressources attribuées) :
Données financières (priorité haute) : test mensuel, le premier vendredi de chaque mois
Données clients (priorité moyenne) : test trimestriel, le premier lundi de chaque trimestre
Données de développement (priorité basse) : test semestriel, le premier mercredi de chaque semestre
Calendrier des tests :
Janvier : test des données financières
Février : test des données de développement
Avril : test des données clients
Juillet : test des données financières
Août : test des données de développement
Octobre : test des données clients
Automatisation : les tests de restauration seront effectués et automatisés à l’aide de CRONTAB et de scripts BASH incluant au moins la commande tar -xvzf.
Documentation : les résultats de chaque test seront soigneusement documentés et intégrés dans un tableau de type Excel.
Formation : le personnel responsable des tests de restauration sera formé en interne par l’ingénieur système (ressource interne).
Révision : en janvier de chaque année, le calendrier des tests est révisé pour rester en phrase avec les attentes/besoins.
Communication : les fichiers Excel représentant les tableaux de bord sont communiqués à tous les employés et la direction. Une anonymisation et/ou une pseudonymisation des données sont implémentées.
En suivant ce plan de programmation des tests de restauration, l’entreprise IT-IT peut permettre à ses données d’être récupérées en cas de besoin, tout en tenant compte de la priorité des données et des contraintes de ressources.