Même si la notion de capital informationnel n’est apparue que dans les années 2000, plus de 20 ans après les premières problématiques de sécurité informatique, la majorité des PME sont sensibilisées à cette notion. Elles ont compris que l’information fait partie intégrante de leur capital, et elles savent également que priver une entreprise de l’accès à son système d’information, même quelques heures, peut se révéler extrêmement coûteux et créer une véritable crise au sein de la structure.
C’est ce que constatait fin 2012 une enquête réalisée par le cabinet d’études indépendant Vanson Bourne : sur les 500 PME interrogée aux États-Unis, au Royaume-Uni, en Allemagne et en France, la moitié déclaraient qu’un arrêt d’activité en cas de défaillance de l’infrastructure IT leur coûte près de 150 000 dollars ou davantage par heure.
Et pourtant, les informations critiques continuent de circuler par email, et les ordinateurs portables et autres supports mobiles ne bénéficient pas toujours de sauvegardes régulières. Pourquoi les PME n’ont-elles pas encore mis en place de systèmes de sauvegardes performants ? Quelles sont les différentes solutions de sauvegarde qui s’offrent a elles ?
Nous allons passer ensemble en revue les typologies de données sensibles de l’entreprise, parcourir les risques encourus par ces données, et tenter de décrypter quels sont aujourd’hui les moyens les plus efficaces pour les protéger, avec le cas particulier de la sauvegarde externalisée.
Des données précieuses
Nous venons de dire que les données de l’entreprise sont précieuses. Mais toutes les données de l’entreprise possèdent-elles le même potentiel, le même degré de criticité ?
A première vue, non, puisqu’il est évident que les données concernant les applications métier, les données comptables, ou encore, les données de reporting méritent une attention toute particulière et se doivent d’être préservées sur le plus long terme.
Mais c’est faire abstraction d’autres données importantes, comme celles des ressources humaines, qui participent au bon fonctionnement de l’entreprise au quotidien.
Plus encore, c’est faire abstraction de données plus fragmentées, mais tout aussi importantes, que représentent les emails. Chaque jour, l’entreprise échange par email sur des points vitaux de son fonctionnement, ses achats, ses ventes, ses partenariats. De plus, en cas de litige, les emails peuvent être désormais utilisés comme preuves juridiques.
Cela nous montre ainsi que la majeure partie des informations collectées et échangées par l’entreprise sont vitales et doivent à ce titre bénéficier de mesure de protection, de sauvegardes et de restauration importantes, et ce, jusque dans la messagerie web.
Les risques encourus
Quels sont donc les risques encourus par les entreprises, et en particulier par les PME, vis à vis de l’intégrité de ces informations ? Faut-il réellement s’alarmer ?
On pourrait penser que pour une PME le risque de parte de données est relatif, et pourtant, en 2010, une étude mondiale sur la protection des données dans les PME réalisée dans 28 pays, dont la France, affirmait que 33% des entreprises avaient déjà connues une perte de données.
De plus, il faut savoir que ce risque s’accroît et évolue. Ainsi, selon le rapport Internet Security Threat Report (ISTR), Volume 18, de Symantec, en 2012, la cybercriminalité s’est modifiée : alors qu’en 2011, seulement 11% des PME étaient concernées par les attaques informatiques, elles sont un an plus tard plus de 31% à en subir les méfaits. Au programme : virus, mais aussi, piratages, vols d’information, ou encore, demande de rançons logicielles. Pour être infecté, il suffit parfois de naviguer sur un site internet connu ou populaire, sans autre action particulière.
Les appareils mobiles, avec les nouveaux usages tels que le BYOD, favorisent eux aussi la propagation des infections, car ces terminaux ne sont généralement pas aussi bien protégés que les ordinateurs traditionnellement gérés par l’entreprise.
Enfin, dernière évolution dans les comportements des cybercriminels, les attaques sont de plus en plus ciblées. Il s’agit alors de récupérer certaines informations, qui seront par exemples utiles pour des piratages plus importants ou tout simplement pour leur valeur intrinsèque, auprès de la concurrence par exemple. Ainsi, les patrons d’entreprises, ou les personnels en R&D, sont encore plus concernés qu’avant par ces problèmes de sécurité.
Comment mettre ses données à l’abri ?
La sauvegarde sur support physique
Face à ces risques, les entreprises ne sont pas totalement démunies. Le tout est de prendre conscience de l’importance du problème et de se donner les moyens de se protéger.
La première méthode couramment utilisée par les entreprises est la sauvegarde sur support physique. Le problème est que ces sauvegardes sont tout sauf adaptées aux usages des PME. En effet, elles sont généralement effectuées par des personnes dont ce n’est pas le métier, et rares sont les entreprises à mettre en place des procédures pour la poursuite des sauvegardes lors des absences ou des congés.
Le support de sauvegarde lui, doit être stocké en dehors de l’entreprise (ce qui est rarement le cas), afin de prévenir d’éventuels sinistres pouvant survenir dans les locaux.
De plus, ces sauvegardes nécessitent des manipulations fréquentes et chronophages, et par là même, elles sont souvent génératrices d’erreurs ou d’oublis. Enfin, un élément rarement pris en compte par les entreprises, les supports physiques, CD, clés USB et disques dur, sont soumis aux aléas du temps, des manipulations et connaissent des durées de vie limitées.
La sauvegarde externalisée
L’autre solution, de plus en plus en vogue, c’est la sauvegarde externalisée. Comme son nom l’indique, la sauvegarde externalisée est effectuée en dehors de l’entreprise, par un prestataire externe. Et les avantages sont nombreux :
- l’entreprise client ne s’occupe de rien, elle confie la sauvegarde de ses données à une équipe spécialisée et experte dans ce domaine
- la synchronisation des sauvegardes peut être réglée de façon très fine, ce qui signifie qu’en cas d’incident, très peu de données, voir aucune, ne seront perdues.
- Les capacités de stockages sont importantes, sans avoir pour cela à réaliser investissement en matériel ou en maintenance
- Des précautions supplémentaires de sécurité sont possibles, avec le stockage des données en continue sur plusieurs datacenter différents, en des lieux physiques différents.
- Les données sont stockées dans des conditions optimales, à l’abri de tout problème de sécurité, vol, incendie ou dégradation.
Enfin, un autre avantage de la sauvegarde externalisée, c‘est qu’elle va de pair avec la mise en place de Plan de Reprise d’Activité (PRA) ou de Plan de Continuité d’Activité (PCA) virtuels, plus simples et plus accessibles pour les PME que les PRA et PCA traditionnels.
Ainsi, malgré le développement de la notion de capital informationnel, les PME ne semblent pas avoir encore pris la mesure des risques encourus en cas de perte d’information ou d’indisponibilités de leurs données.
Face à la traditionnelle sauvegarde sur support physique, la sauvegarde externalisée représente une alternative fiable, pratique et efficace, permettant aux entreprises de diminuer les risques liés à la perte d’information.
Dans le cadre d’un dispositif global de sécurisation du capital informationnel de l’entreprise, et pour éviter ou limiter les pertes en cas de non accès momentané à l’information, les PME peuvent également mettre en place des PRA ou des PCA virtualisés. Grâce à ces nouvelles solutions de gestion des données de l’entreprise en externe, prises en charges par des experts et dans des conditions de sécurité optimales, toute entreprise peut bénéficier des mêmes garanties que celles obtenues par les grands groupe, et ce, sans avoir besoin ni d’investir dans du matériel coûteux, ni de posséder les compétences nécessaires en interne.
Pour en savoir plus, n’hésitez pas à consulter notre page dédiée sur la sauvegarde externalisée.