Malgré la popularisation croissante du Cloud public, il s’avère toujours compliqué de savoir précisément si un Cloud est réellement sécurisé ou non. Il existe un besoin réel de rassurer les clients et prestataires par rapport aux aspects de la sécurité des offres Cloud, notamment sur la disponibilité, la confidentialité, ainsi que l’usage qu'il peut être fait de leurs données.
L'archivage numérique se développe depuis plus de 20 ans et résulte de la rencontre entre quatre phénomènes principaux :
- L’augmentation des volumes de données dans les entreprises et leur importance accrue
- La multiplicité des solutions logicielles et matérielles autour de l'information numérique et la rapidité de leur obsolescence, avec des difficultés d'interopérabilité entre les plateformes
- Les nouvelles problématiques de cyber-menaces en termes de sécurité et d'intégrité
- La reconnaissance de la valeur légale de l'écrit sous forme électronique
L'enjeu de conservation est donc devenu crucial pour les entreprises d'aujourd'hui et le Cloud apporte avec lui des techniques simplifiant l'archivage numérique et des capacités de diminution des coûts.
Depuis 2 ans se développe la crainte de tous les responsables informatiques et RSSI : une infection par ransomware couplée d’une attaque plus sophistiquée empêchant la restauration traditionnelle !
Les messages de prévention partagés ces dernières années pour les ransomwares sont obsolètes, il ne suffit plus d’une solide politique de sauvegarde et de restauration. Il faut intégrer de la rupture de technologie.
Comment est-il possible que les politiques de sauvegardes traditionnelle et rigoureuses ne suffisent plus ? Voici 2 exemples concrets pour vous aider à y voir plus clair :
Les termes RTO (Recovery Time Objective) et RPO (Recovery Point Objective) sont étroitement liés au Plan de Reprise d’Activité (PRA), partie intégrante de la stratégie de Cyber-résilience d’une entreprise.
Au préalable de la construction d’un PRA il faut réaliser un bilan d’impact sur l’activité et la définition des RTO et RPO. Ce sont les bases pour identifier et analyser les stratégies à inclure dans votre plan de continuité d’activité.
A première vue les termes RPO et RTO semblent très similaires, en réalité ils définissent deux notions bien spécifiques. Un bonne façon de se souvenir de leur différence est de prendre les 2 premières lettre RT : « Temps de Reprise » et RP : « Paramètres de Reprise »
Tout d’abord, nous allons définir brièvement les deux modes de sauvegarde : avec agent ou sans agent.
Le mode Avec Agent
Un agent (un exécutable) est installé sur chaque serveur (physique ou virtuel) pour assurer la sauvegarde. Le serveur doit être allumé lors de la sauvegarde et il doit se faire sur une plage horaire précise.
Dans la réalité, plusieurs exécutables (et services) sont installés dans chaque serveur.
Le mode Sans Agent
En réalité, cette solution n’est pas vraiment sans agent, elle nécessite un, qui va servir à toutes les sauvegardes d'un hôte (ou d'un ensemble de hôtes).
C’est une solution de sauvegarde centralisée, les VMs n'ont pas d'agent installé et elles n'ont pas besoin d'être allumées pour être sauvegardée. Cette solution fonctionne en parcourant les fichiers pour déterminer les changements qui ont été effectués depuis la précédente sauvegarde.
Les avantages et inconvénients de chacune des solutions
L'année 2018 a encore été chargée en cyberattaques contre les données des entreprises. Aucun secteur d'activité n'a été épargné, ransomware, malware et autres actions malveillantes ont causés des dégâts importants pour des milliers d'entreprises qui ont subi une interruption d'activité lourde en conséquences. Viennent s'ajouter à ces menaces les erreurs humaines engendrées par les salariés de l'entreprise, mais qui aboutissent à des pertes de données, avec le même résultat final.
Pour pallier à ces pertes données qui mettent en danger les entreprises, les professionnels de la sécurité se penchent de plus en plus vers des Plans de Reprise d'Activité, permettant la sécurisation des données et la reprise de l'activité en cas de sinistre ou indisponibilité du SI. C'est là que le PRA as a service a tout son rôle à jouer auprès des PME qui ont un budget restreint pour la sécurité de leur SI.
Nuabee s'engage vers la certification ISO 27001
Nuabee est engagé depuis 2017 dans une démarche de certification ISO 27001:2013, notamment grâce à l'intégration fin 2017 de la société Ysosecure qui accompagne depuis plus de 15 ans les entreprises dans la mise en oeuvre de Système de Management de la Sécurité de lInformation (SMSI) suivant le référentiel ISO 27001.
La norme ISO 27001, référence internationale en matière de gestion de la sécurité de l’information, implique la mise en œuvre d’un SMSI et de mesures de sécurité organisationnelles et techniques via l’intégration de procédures strictes en matière de collecte, de traitement, de manipulation et de stockage de données.