Les solutions, c'est bien, mais en matière de fuite de données rien ne vaut un peu de ménage au préalable. "Nous-même ne savons pas où sont nos données, alors pour qu'un attaquant trouve ce qui l'intéresse dans un tel bazar, on lui souhaite bien du courage", nous confiait, à peine ironique, un RSSI lors du dernier CSO Interchange à Paris.

Pour tenter d'y voir (un peu) plus clair, voici quatre questions qui méritent de se poser :

Avez-vous adapté votre politique de sauvegarde de données aux nouveaux usages (virtualisation, PaaS, clients légers à la Citrix, etc) ? Ces technologies changent dramatiquement la façon dont les données sont générées et circulent au sein de l'entreprise. Si elles ne sont pas prises en compte par le plan de backup (qui est probablement antérieur à leur apparition !), ces technologies peuvent aboutir à la création d'un monde parallèle hors de toute stratégie de sauvegarde.

Disposez-vous d'une politique de destruction des données ? Les disques durs usagés des machines mises au rebut, mais aussi ceux des copieurs multi-fonctions, sont des sources d'informations prisées des "récupérateurs". Sans une politique formelle précisant dans quelles conditions un poste de travail peut être retiré de l'inventaire ou un copieur dépanné, et comment doit être traité ses supports, vous créez un canal de fuite des données.

Avez-vous corrélé votre politique de sauvegarde avec vos exigences juridiques ? Que la IT se concerte avec les métiers pour définir un plan de backup réaliste, c'est bien. Mais votre conseil juridique a-t-il été impliqué dans l'affaire ? La politique du "tout effacer" ou, au contraire, du "on conserve tout pendant sept ans" ne suffit pas. Un conseil juridique est nécessaire afin de dresser la liste des exigences locales en matière de conservation des données et de croiser ces dernières avec le plan de sauvegarde. A l'inverse, une simple politique de conservation des données (Data Retention Policy) restera probablement lettre morte si elle n'est pas associée au plan de sauvegardes et d'archivage.

Combien de temps vous faut-il pour retrouver la bonne donnée ? Archiver, c'est bien. Tester, c'est mieux. Mais il ne suffit pas pour cela de s'assurer de l'intégrité des archives. Il est important de procéder à des restaurations en situation réelle, afin de déterminer le temps nécessaire à la récupération de telle ou telle donnée légale. Il n'est pas envisageable de produire une preuve devant un tribunal plusieurs semaines après la requête. Le délai d'identification et de récupération de l'information est ainsi plus pertinent que le seul temps de restauration souvent annoncé. Si vous externalisez vos sauvegardes ou votre archivage, ce critère est-il pris en compte dans votre SLA ?