Copier n’est pas sauvegarder

L’évolution des supports engendre de nouvelles pratiques allant jusqu’à poser la question d’une redéfinition  de la sauvegarde de données. Quelle est la différence entre copier et sauvegarder ? Et surtout comment concilier pérennité et sécurité des données ? Autant d’enjeux qui  portent sur l’application des garanties des contrats d’assurance.

Le Larousse définit la sauvegarde de données comme la « Procédure de protection des informations contenues dans un système informatique, par copie de ces informations sur disque ou bande magnétique ». Si cette définition a le mérite d’exister, il est compliqué de trouver une source qui mette tout le monde d’accord sur ce que doit techniquement être une sauvegarde.

Historiquement, rien de bien compliqué : il s’agissait de copier des données sur un support externe (cassette ZIP, bande DAT, …) qui était physiquement emporté hors de l’entreprise ou stocké dans un coffre ignifugé.

Depuis l’apparition de nouveaux supports tels que les Cloud ou les NAS (Network Attached Storage), les pratiques en la matière ont évolué. Prenons le cas des NAS, disques durs visibles sur le réseau par les utilisateurs,  aujourd’hui répandus en qualité de système de sauvegarde. La copie des données de l’entreprise sur un NAS permet de disposer d’un backup en cas de crash disk d’un serveur de la société.

Une ressource qui s’avère inefficace en cas d’attaque par ransomware, virus qui parcourt l’intégralité du réseau de l’entreprise et crypte l’ensemble des fichiers qu’il rencontre. Les fichiers stockés sur le NAS sont visibles du ransomware et seront également cryptés. Il est légitime de se demander si cette solution constitue bien une sauvegarde ou une simple copie des données, car elle n’offre pas la garantie nécessaire d’inaltérabilité selon le type de sinistre.

Les contrats d’assurance, pour leur part, prévoient traditionnellement une clause d’exclusion de garantie en cas d’absence de sauvegarde de données. Ils ne s’intéressent cependant pas aux modalités techniques de mise en œuvre de cette sauvegarde.

De surcroît, certains contrats sont plus souples que d’autres et considèrent qu’une sauvegarde « acceptable » est un jeu de données complet de moins de ‘X’ jours. Cette flexibilité, si elle peut paraître dans certains cas acceptable, pourrait être remise en cause en fonction de l’activité de l’assuré. La perte de deux jours de données n’a pas les mêmes conséquences pour un logisticien ou un expert-comptable.

En résumé, nous vivons l’émergence de nouveaux risques (cybercriminalité), couplée à l’évolution des technologies de stockage. Il est dès lors nécessaire d’engager une réelle réflexion sur la définition de la sauvegarde, dans laquelle apparaîtraient les notions de pérennité et d’inaltérabilité.

Olivier GEVAUDAN expert Technologies de l’Information et de la Communication