En cas d’attaque, il est recommandé d’éteindre l’ensemble des machines, notamment afin de protéger celles qui ne seraient pas encore infectées.
- Cybersécurité : on peut prouver que « la sécurité parfaite n'existe pas », le problème de l'humain
- « Un jour on sera attaqué » : cryptographie et méthodes formelles au chevet de la cybersécurité
La CNIL recommande également de ne pas payer la rançon « car cela ne garantira pas que l’ensemble des données seront restituées et n’immunisera pas contre de nouvelles attaques ». Elle demande de conserver les preuves et de déposer plainte.
Quelques « bonnes pratiques » pour finir :
- Disposer de sauvegardes « hors ligne » de données, à jour et testées
- Segmenter le système d’information selon des zones présentant chacune un niveau de sécurité homogène
- Sensibiliser le personnel aux risques de sécurité et aux bonnes pratiques à suivre
- Mettre à jour les principaux outils utilisés
- Créer un compte « utilisateur »
- Mettre en œuvre un mécanisme de détection d’altération massive des fichiers
- Limiter les droits d’écriture sur les serveurs de fichiers
Commentaires (11)
#1
Je fais mon mémoire d’ingénieur sur la sauvegarde en entreprise, mais je ne trouve presque aucunes normes ou obligations légales. Plus j’avance, plus j’ai l’impression que c’est au pifomètre, que chacun fais à sa sauce.
A part le concept marketing de 3-2-1 et la norme 27002 qui suggère une distance de 50km entre le datacenter et l’entrepôt de sauvegarde, où sont les règles en matières de sauvegarde ?
please help
#1.1
L’ANSSI publie des guides de bonnes pratiques mais je pense qu’en dehors des certifications pour certaines entreprises comme les OIV il n’y a pas d’exigence particulière, cf la perte de données de certains clients d’OVH suite à l’incendie dans le datacenter de Strasbourg
#2
C’est plutôt une bonne chose.
Généralement le laxisme s’invite dés qu’il y a un règlement et une norme car:
#2.1
J’ai exactement le point de vue inverse
S’il n’y a aucune norme, les informaticiens de toute la France sont obligés de faire des plans de sauvegarde au doigt mouillé, avec des rétentions plus ou moins longues et chaque entreprise fonctionne différemment. De même que si aucune sauvegarde n’est réalisée, l’entreprise n’est pas hors la loi.
S’il y avait une norme ou un arrêté préfectorale sur la durée des rétentions en fonction de la donnée (mail, fichier, logs, etc), ça permettrai de mettre tout le monde au diapason.
Concernant mon mémoire, je n’ai pas envie d’écrire n’importe quoi et j’aimerais trouver le maximum de normes, règles, papiers officiels de corps intermédiaires. Pour l’instant je n’ai presque rien
#2.2
Pour avoir un moment “trempé” dans la politique de sauvegarde de certains clients, je sais que l’archivage (qui n’est pas une sauvegarde) de certaines données est réglementé, la base de la durée de rétention est grosso-modo la même que ce qui se faisait au format papier, avant.
C’est le cas par exemple des feuilles de paies, des données fiscales… tu dois pouvoir retrouver aisément ces rares cas.
Le métier de l’entreprise est à considérer également: une banque n’a pas les mêmes obligations qu’un éditeur de logiciels.
Pour le reste, c’est à chacun d’évaluer le bénéfice/risque/coût de la sauvegarde des données, ou de leur possible reconstruction à partir d’autres sources.
#2.3
Les contraintes légales en termes de durée de rétention dépendent du milieu et sont définies par les différents régulateurs - pour les milieux que je connais un petit peu, FDA ou équivalents européens dans la pharma, AMF pour la banque / finance. Je ne sais pas quelles sont les contraintes dans l’industrie mais là aussi, elle dépendront du milieu : elles sont évidemment beaucoup plus fortes dans l’industrie nucléaire ou dans les industries aéronautiques que dans la fabrication de chaussures ou de frigos.
Il te faudrait donc rechercher du côté des différents codes et régulateurs pour avoir une idée des exigences, sachant qu’à ma connaissance les régulateurs fixent les objectifs (par exemple : la donnée doit être disponible pendant 10 ans après un événement donné et pouvoir être fournie en 1 jour si demandée) sans fixer les moyens (sauvegarde sur bande, en cloud ou autre formule). Ce qui est heureux, dans la mesure où ça laisse la possibilité d’innover.
#2.4
idem, on nous demande dans le médical souvent des “X temps après arrêt de l’utilisation du système” ou que ce soit disponible 20 ans 10 ans suivant le type de données mais pour le comment tu peux faire comme tu veux
#3
C’est bien. Moi J’ai abandonné mes idéaux de Jeunesse. (vieux con inside)
Les deux sont liés par les organismes certificateurs (l’organisme reconnaît la norme XXXX comme répondant à l’exigence réglementaire YYYYY). De plus une norme est parfois créée pour répondre à un règlement, et un règlement est parfois créé pour “imposer” une norme. Bref c’est très poule et oeuf :)
Ce que tu cherches est donc du coté “légal” et pas du coté normatif. Il faut donc voir les textes de loi pour chaque profession règlementée.
#4
D’un autre coté imposer une durée des rétentions en fonction de la donnée cela me parait compliqué.
Nous avons pas tous les mêmes besoins et les mêmes contraintes.
En Belgique (je travaille en Belgique), la justice vient justement d’annuler la conservation des données de connexion (en gros les logs).
D’un autre cotés, le RGPD impose d’une certain façon la traçabilité.
Des règles minimale ou de bonne pratique serait une bonne idée.
Mais cela reste très dépendant du besoin et des moyens (humain et financier).
Un backup hors ligne, disque dur ? tape ?
Sur quel durée ?
Le SI ne doit pas prendre seul la décision mais doit voir avec la direction.
C’est un peu comme pour le DRP, faut communiquer avec la direction afin qu’ils prennent bien conscience des risques et d’allouer les moyens qui leur semble équilibré entre le risque et le coût.
Beaucoup de PME font une confiance aveugle au fournisseur.
La direction selon moi doit s’impliquer activement dans ce processus
#5
Je suis disposé à vous aider sur ce sujet que je connais relativement bien, en particulier en environnement réglementé pharmaceutique.
De manière générale, les obligations légales sont multiples et peuvent fortement varier d’un pays à l’autre. Dès qu’un produit est exporté dans un autre pays, il est possible que des obligations légales “locales” s’appliquent également aux données en lien avec le produit (développement, fabrication, vérification, etc.).
“one size fits all” n’est en aucun cas possible ni pertinent pour la gestion des données.
D’autre part, il ne faut surtout pas confondre la sauvegarde des données qui est une mesure de protection à court terme avec l’archivage des données qui est, par définition, une mesure à long terme de préservation de la disponibilité des données.
Je sais qu’il y a encore des entreprises qui considèrent que mettre annuellement de côté une sauvegarde pour les 10 prochaines années équivaut à archivage ; c’est malheureusement totalement erroné et c’est la PIRE des décisions concernant la préservation des données, surtout si une telle préservation des données est requise par la réglementation ou par la loi.
Pour les données de santé, la période de conservation en Europe (d’autres pays peuvent avoir des exigences plus longues, par exemple le Japon) est généralement de 30 ans.
Les données en lien avec les produits sanguins et les tissus cellulaires doivent être également conservées 30 ans.
Le problème pour les produits sanguins est que l’historique du donneur fait partie des données du produit. Donc si un donneur commence à donner à 20 ans et qu’il fait son dernier don à 70 ans (ce qui est possible dans certains pays européens), l’intégralité de l’historique doit être conservé 30 ans après le dernier don, c’est-à-dire 80 ans après le premier don !
Selon les contextes, le compte-à-rebours de la conservation des données ne commence pas à la génération des données mais (beaucoup) plus tard. Par exemple pour des données de production d’un lot pharmaceutique, la période de conservation des données commence à la libération du lot par le pharmacien responsable, tandis que certaines données peuvent avoir été créées plusieurs mois ou années avant la libération du lot.
De même les données en lien avec le cycle de vie des équipements doivent être conservées aussi longtemps que les données du dernier lot produit par l’équipement. Les équipements industriels pouvant être utilisés de manière opérationnelle pendant plusieurs décennies, les données en lien avec la conception et la qualification de l’équipement peuvent devoir être conservées pendant 30 ans, 40 ans, voire plus.
N’hésitez pas à me laisser un moyen de contact si vous avez d’autres questions.
#6
Nul n’est censé ignorer la loi. Si une entreprise ne fait pas de sauvegarde des données - en particulier fiscales, comptables, garantie du produit et responsabilité civile, … - elle est hors la loi.
L’élaboration d’une stratégie pertinente et conforme de gestion des données est un vrai travail et cela se fait sur la base de la gestion du risque :
La gestion du risque est tout sauf du “doigt mouillé” !!!
Outre les publications de l’ANSSI, du BSI (Allemagne), de l’ENISA, il y a également des documents très intéressants publiés par le NIST. Contrairement à l’ISO, tous ces documents sont en accès libre.