La présence de processus de sauvegarde et de reprise solides a toujours été un aspect essentiel de la stratégie de toute entreprise prudente, mais il y a désormais des raisons encore plus fortes de se pencher sérieusement sur ces aspects. Dans un environnement où la confidentialité et la sécurité sont considérées comme des priorités par les clients et les régulateurs, les lois sur la conformité dans le domaine de la sauvegarde des données sensibles sont de plus en plus strictes.
L’un des plus grands changements dans les lois de protection des données est le Règlement général sur la protection des données (RGPD), qui est entré en vigueur le 25 mai et a introduit une énorme quantité de règles modifiées et renforcées stipulant comment les entreprises doivent protéger les données personnelles, qu'il s’agisse des informations des clients ou des employés.
Alors que de nombreux autres organismes renforcent également leurs règles sur la protection des données, il est important de ne jamais perdre de vue la conformité. Voici quelques domaines importants à prendre en compte :
1. Où se trouvent vos données ?
Avec les méthodes traditionnelles de sauvegarde, les données sont généralement copiées sur une bande, un disque dur ou autre support physique, qui est ensuite déplacé dans un lieu hors site sécurisé. Mais ces processus deviennent de moins en moins pratiques pour les entreprises et sont remplacés par des solutions telles que la sauvegarde sur le cloud. Cependant, ces nouveaux processus peuvent introduire leurs propres problèmes, car à la différence des méthodes plus anciennes ils réduisent le contrôle des entreprises sur le lieu exact où résident leurs données.
Ceci peut créer de graves problèmes de conformité si les données sont conservées dans un territoire ayant des lois de confidentialité et de sécurité différentes. Il est donc crucial que les entreprises sachent exactement où leurs données seront stockées. Dans l’idéal, ce lieu doit se trouver dans le même environnement juridique que les bases de données principales afin de réduire les conflits. Vous devez donc demander aux fournisseurs externes de services de sauvegarde où leurs serveurs sont physiquement situés.
2. Sauvegardez tôt, sauvegardez souvent
Les règlements tels que le RGPD donnent aux citoyens le droit de savoir exactement quelles sont les données que les entreprises possèdent à leur propos, ce qui signifie que ces informations doivent être exactes et tenues à jour. Si vous sauvegardez ces données seulement une fois par semaine ou même une fois par mois, votre entreprise peut courir un risque de violation des règles de conformité si, pour une raison quelconque, vous devez vous appuyer sur ces sauvegardes.
Il est donc important de réévaluer votre stratégie de fréquence de sauvegarde et, dans la mesure du possible, de veiller à ce que les données couvertes par la réglementation bénéficie d'une priorité particulièrement élevée. Les systèmes modernes de cloud facilitent beaucoup ces procédures par rapport aux supports physiques plus anciens et il n’y a donc aucune excuse dans l’environnement actuel pour manquer à tenir à jour les informations qui se trouvent dans vos systèmes de sauvegarde.
3. Tester, tester et tester encore
L’un des meilleurs moyens de démontrer que votre entreprise est conforme à la réglementation (pas seulement pour la réglementation mais dans tous les autres domaines également) est d’avoir un programme de tests fréquents et bien documentés qui pourra prouver aux autorités que vous suivez de près les problèmes et appliquez les nouvelles règles à vos opérations.
Il est prudent de réaliser des tests de sauvegarde et de reprise après sinistre le plus souvent possible. Pourtant, de nombreuses entreprises ne le font pas. Une étude de 2017 menée par Kroll Ontrack, par exemple, la conclu que près d'un quart des entreprises (24 pour cent) ne testaient jamais leurs procédures de sauvegarde, alors que 14 pour cent ne le faisaient qu'une fois par an. Dans l’environnement actuel, c’est loin d’être suffisant. Et bien entendu l’utilité d’un programme de tests réguliers ne se limite pas à la conformité - Kroll Ontrack a conclu qu’un quart des entreprises qui avaient souffert d’une perte de données avaient signalé que leur sauvegarde n’avait pas fonctionné correctement.
4. N’oubliez pas le droit à l’oubli
Un nouveau règlement qui sera particulièrement important pour les entreprises dans le monde entier est l’Article 17 du RGPD qui détaille le « droit à l'oubli » d'une personne, ou son droit de faire effacer ses données quand elles ne sont plus pertinentes. Ce droit a déjà été confirmé par les tribunaux européens en rapport avec des domaines tels que les résultats de recherche de Google, mais tous les citoyens européens ont désormais le droit de demander à n’importe quelle entreprise d’effacer leurs données.
Ceci peut être complexe au niveau des sauvegardes, car il peut être irréalisable voire impossible d’effacer des informations individuelles des serveurs de sauvegarde, mais si les données anciennes expirent automatiquement dans le cadre du calendrier de rétention standard d’une entreprise, cela peut respecter les exigences réglementaires. Les entreprises doivent donc commencer à réfléchir à la durée pendant laquelle elles doivent réellement conserver leurs sauvegardes, et aux situations dans lesquelles elles doivent se tourner vers d'autres solutions comme l’archivage.
Accédez aux dernières connaissances commerciales en informatique
Avoir accès
Tech Insights for Professionals
Insights for Professionals vous propose un accès gratuit aux thought leadership les plus récents de marques présentes à échelle mondiale. Nos abonnés bénéficient de contenu spécialisé de haute qualité créé ou regroupé pour les professionnels chevronnés.
Commentaires
Rejoindre la conversation…