Utilisateurs de solutions SaaS, PaaS ou IaaS : en cas de sinistre, vous êtes responsable de vos données !

Dans le monde, une entreprise sur trois a déjà connu une perte de données irréversible.

Les événements imprévisibles touchent autant les entreprises que les fournisseurs de service cloud. En cas de sinistre majeur, les conséquences peuvent être lourdes pour votre organisation : risque réputationnel, perte de confiance de vos partenaires et clients, baisse de votre chiffre d’affaires, etc. Si le cloud offre de nombreux avantages, vous devez comprendre le principe de responsabilités lorsque vous mettez en place une délégation dans le cloud (SaaS, PaaS ou IaaS).

Pourquoi est-il important de ne pas vous reposer sur votre fournisseur cloud ? Que devez-vous comprendre de la responsabilité partagée dans le modèle “as a service”? Quelles bonnes pratiques adopter pour protéger vos données en cas de sinistre ?

***

VOUS N'êTES PAS A L'ABRI DES "CYGNES NOIRS"

Popularisée par le statisticien et essayiste Nassim Nicholas Tayeb, l’expression “cygnes noirs” fait référence à des événements peu probables, impossibles à prédire et aux conséquences graves. C’est le cas des erreurs humaines, des pannes matérielles, des catastrophes naturelles, des malveillances, etc. Les cyberattaques ne figurent pas dans la catégorie de “cygnes noirs”, tant elles sont devenues fréquentes. L’actualité nous rappelle régulièrement qu’aucune entreprise ni aucun fournisseur cloud n’est à l’abri d’un sinistre et qu’une catastrophe peut être très préjudiciable pour une organisation.

***

La responsabilité partagée, un leurre ?

Pour anticiper au mieux ces “cygnes noirs” et éviter les mauvaises surprises lorsque vous mettez en place une délégation dans le cloud, voici ce que vous devez comprendre.

Dans le modèle “as a Service,” vous confiez la gestion de tout ou partie de votre infrastructure informatique à votre prestataire de services. Mais quel que soit le modèle adopté, SaaS, PaaS ou IaaS, et malgré la répartition des responsabilités, les données sont toujours sous votre protection. Si les fournisseurs de cloud sont responsables de la sécurité du cloud et mettent à votre disposition des outils et des moyens techniques pour vous offrir certaines garanties, vous êtes le seul responsable de la sécurité et de la conformité de vos données dans le cloud.

***

ALORS, COMMENT PROTéger vos données dans le cloud ?

Pour protéger vos actifs les plus stratégiques, évitez de mettre tous vos œufs dans le même panier. Des bonnes pratiques existent pour vous prémunir des catastrophes et assurer une reprise de votre activité en cas de sinistre, dans des délais raisonnables.

Ainsi, nous vous recommandons de :

• Lire rigoureusement vos contrats liés à l’externalisation de vos données car la responsabilité de chaque partie en cas de sinistre y est précisée ;
• Appliquer la règle des sauvegardes 3-2-1 (disposez d’au moins trois copies de vos données, stockez-les sur deux supports différents et conservez une copie de votre sauvegarde en dehors de votre site, idéalement hors ligne (principe du “Air gap”) ;
• Mettre en place un PRA (Plan de Reprise d’Activité) aussi complet que possible afin de pouvoir récupérer vos données et rétablir votre infrastructure informatique après un incident. Le concept d’un PRA relève de votre responsabilité, et non de celle de votre hébergeur.

Ce sont vos données, vos actifs les plus stratégiques qui sont en jeu. Après tout, le cloud n’est autre qu’un ensemble de machines garantissant un service. Enfin, opter pour des solutions de protection de vos données et de reprise après sinistre reste le moyen le plus efficace de protéger votre infrastructure informatique en cas de catastrophe. Besoin d’une solution de protection de vos données et de reprise après sinistre ? Retrouvez toutes les bonnes pratiques pour réussir votre PRA dans notre livre blanc en cliquant ici.

***

Pour prolonger la lecture :

• 5 bonnes pratiques lors de la mise en place d'un PRA dans le cloud
• Webinaire - Protégez vos ressources les plus précieuses 
• Les services publics de plus en plus exposés aux cyberattaques