« La plupart des entreprises ont maintenant réalisé qu'une partie importante de leur valeur provient de leurs données. Leur protection doit être garantie où qu'elles soient stockées, dans le Data Center de l'entreprise ou dans le Cloud. En ce qui concerne Microsoft 365, il est essentiel de penser à la sécurisation du contenu de l'application de messagerie et des données créées par SharePoint et OneDrive. Il ne faut pas non plus oublier que Teams pourrait très bien contenir des données cruciales, » explique l’expert. Il souligne le fait que de plus en plus d'entreprises échangent désormais des documents critiques par le biais de courriels ou d'outils de collaboration, les transformant en éléments clés qu'il est impératif de protéger et garder sous contrôle.
Gérer les responsabilités et les droits
Par conséquent, les entreprises et leurs employés doivent être conscients des responsabilités de chacun en ce qui concerne les données et leur utilisation. Plusieurs modèles de responsabilité partagée ont été développés par les principaux acteurs du SaaS au cours des dernières années.
« Dans la plupart des cas, les fournisseurs de services SaaS sont responsables de la disponibilité de leur service, mais la responsabilité de la gestion des données et de l'accès des utilisateurs reste à charge du client, » souligne Nicolas Kléber. Comme l'explique la documentation de Microsoft, la société basée à Redmond protège principalement les données pour pouvoir les restaurer après la survenance d’un incident sur ses propres infrastructures, et indique clairement qu'elle ne couvre pas tous les besoins de protection des données de ses clients. « En tant que « Data Owner » (propriétaire des données), le client reste responsable de la sécurité de ses propres données. Être responsable ne signifie pas seulement sauvegarder les données, mais aussi les mettre à la disposition des personnes qui en ont besoin et qui peuvent effectivement y accéder. La gestion des droits est donc essentielle, tout comme la classification des données et leur cycle de vie, » souligne l’expert.
La migration vers le Cloud n'enlève pas aux entreprises la responsabilité des données : il leur appartient toujours de garantir la sécurité des données. Comme l'explique l'expert, la récupération intégrée à un moment donné (integrated point in time recovery) ne couvre pas nécessairement tous les scénarios. « C'est pourquoi, afin de garantir le plus haut niveau de sécurité et de conformité, les entreprises et les responsables informatiques doivent s'assurer que leur solution de sauvegarde est externe à Microsoft 365 et Azure. Ils pourront ainsi limiter les risques de perte de données, même si l'hypothèse d'une catastrophe entraînant la perte de toute l'infrastructure et des données hébergées reste très improbable au sein de M365 », souligne Nicolas Kléber. Les entités réglementées sont encore plus préoccupées, et respectent les lois sur la protection des données : au Luxembourg, la CSSF (Commission de Surveillance du Secteur Financier) exige une sauvegarde externe des données stockées dans un Cloud public, car cette sauvegarde externe garantit la capacité de l'entité réglementée à maintenir ses activités et ses services si le fournisseur de services de Cloud devait faire face à une crise, et peut être utilisée dans une stratégie de plan de sortie si le prestataire de service Cloud met fin à son service. « En fait, il serait souvent tout simplement impossible de reconstruire l'activité et de continuer à fournir les services aux clients si les données n'étaient plus disponibles. Si un plan de sortie clair est obligatoire dans de nombreux secteurs réglementés, c'est tout simplement une question de bon sens pour tout type d'entreprise utilisant les services XaaS aujourd'hui. », ajoute l’Innovation Consultant.
Sauvegarder les données pour permettre la continuité des activités
De multiples enquêtes menées par des entreprises de premier plan telles qu'IDC, Gartner, McAfee et d'autres, ont démontré que les entreprises doivent sauvegarder les données de Microsoft 365, mais aussi qu’une majorité d’utilisateurs sous-estime fortement ce besoin. Par exemple, 70 à 80 % des utilisateurs ne sauvegardent en fait pas du tout ces informations, pensant que Microsoft remplit cette obligation spécifique. « Un retour sur Terre brusque et inattendu se produit trop souvent : lorsque l'utilisateur efface accidentellement ses données ou même le compte entier suite à une cyberattaque externe, un logiciel malveillant (malware), ou lorsqu'un outil tiers n'est pas configuré de manière optimale, etc. » ajoute Nicolas Kléber.
Dans l'environnement numérique actuel, TBRS 365 constitue la première étape pour sécuriser et maîtriser les données Microsoft 365 de la société. « Ce service permet à l'entreprise et à ses employés de sauvegarder le contenu suivant : Exchange online, SharePoint online et OneDrive. Les données partagées et créées via l'application Teams sont également protégées si elles sont stockées dans SharePoint. Cette offre est personnalisable et peut être adaptée aux besoins spécifiques de chaque client, » dit Mr. Kléber. Comme tout autre service proposé par EBRC, TBRS 365 offre un modèle clair de responsabilité partagée. « En tant que prestataire de services, EBRC assure la continuité de la prestation de services. Si nécessaire, vos équipes peuvent être formées à l'utilisation de la plateforme et assistées dans la définition d'une politique de sauvegarde robuste, » explique d’abord l’Innovation Consultant, qui poursuit : « En tant que propriétaire des données (Data Owner), le client doit définir sa propre politique de conservation des données et la stratégie de sauvegarde qui lui est directement liée. En tant qu'administrateur de Microsoft 365, le client est également responsable des opérations quotidiennes telles que la validation des tâches de sauvegarde et des plans de sauvegarde spécifiques ». En outre, si la disponibilité de l'application de messagerie est essentielle pour les opérations de l'entreprise, une approche spécifique et personnalisée peut être définie. La combinaison des ressources Microsoft 365 du client, TBRS 365 et l'option EBRC Hybrid Recovery for Exchange garantira la continuité des activités en cas de crise majeure. Un service similaire sera disponible dans les mois à venir, sécurisant les utilisations de SharePoint et OneDrive.
Points clés et conclusion
Compte tenu du fait que les données sont désormais un élément clé du développement et du succès des entreprises, la gestion de leur cycle de vie n'a jamais été aussi importante.
Dans la plupart des cas d’utilisation des solutions SaaS, le client reste le propriétaire des données (Data Owner) et est toujours responsable de leur sécurisation.
Il est essentiel de sauvegarder ces données en dehors du Cloud que vous utilisez quotidiennement. Le risque de voir vos données Microsoft 365 disparaître est proche de zéro, mais que se passerait-il si vous deviez entrer en conflit avec votre prestataire de services actuel ? Veillez à lire correctement les documents contractuels.
Il est également crucial de différencier « sauvegarde » (backup) et « archives », car l'archivage consiste à ne conserver qu'une seule copie des données, sans « deuxième copie externe » qui pourrait être utilisée en cas de suppression, de corruption ou de logiciels malveillants (malwares).
EBRC, grâce à ses 20 ans d'expérience en matière de résilience numérique et de gestion du cycle de vie des données, est bien placée pour conseiller ses clients dans l'adoption de services de protection des données. « Nous combinons flexibilité, sécurité et résilience pour offrir des services locaux de protection des données de confiance (Trusted data protection services), hébergés dans plusieurs Data Centers Tier IV au Luxembourg. TBRS 365 est un nouvel élément clé de ce portefeuille » conclut Nicolas Kléber.