Les politiques de rétention des données sont un aspect essentiel de la gestion des données. Lorsque les administrateurs élaborent une politique de rétention des sauvegardes de données, ils doivent tenir compte non seulement des opérations internes, mais aussi des réglementations et des attentes externes.
Les politiques de rétention indiquent les données qu’une entreprise doit conserver et permettent aux administrateurs de savoir quelles données doivent être supprimées. À une époque où les gens génèrent des quantités massives de données, il peut être facile pour les données critiques de se perdre dans une pile de copies redondantes ou inutiles. La meilleure pratique en matière de sauvegarde des données consiste à disposer d’au moins trois copies des données, ce qui peut occuper un espace de stockage important.
Les réponses aux questions suivantes auront un effet majeur sur la manière dont une entreprise élabore sa politique de rétention des données :
- Le service informatique doit-il libérer de l’espace sur certains serveurs ?
- Le contenu des serveurs devient-il si encombré qu’il est de plus en plus difficile de localiser les données ?
Une fois qu’une entreprise a identifié qu’elle doit libérer de l’espace pour mieux localiser les données critiques, il existe plusieurs bonnes pratiques en matière de rétention des sauvegardes qui aideront à créer une politique optimale.
Ce guide vous permettra de mieux comprendre les politiques de rétention et de connaître les meilleures pratiques. Ensuite, consultez le modèle de politique de rétention des sauvegardes inclus pour créer ou modifier une politique de rétention des sauvegardes pour votre entreprise.
Qu’est-ce qu’une politique de rétention des sauvegardes ?
Une politique de rétention des sauvegardes est une règle interne qui détermine quelles données l’entreprise conserve, où elle conserve les données et pendant combien de temps.
Une politique de rétention peut indiquer les types de sauvegarde acceptables. Par exemple, elle peut stipuler que les données doivent se trouver sur plusieurs supports de sauvegarde, tels que des bandes ou des clouds. Différentes méthodes, telles que les sauvegardes complètes, les sauvegardes incrémentielles et les sauvegardes différentielles, peuvent également faire partie d’une politique de rétention.
Les politiques de rétention existent pour de nombreuses raisons, et elles garantissent souvent que les données des clients sont sécurisées et accessibles. Les secteurs de la santé, de l’éducation, de l’informatique et de la vente au détail ont tous des exigences différentes dans leurs politiques de rétention respectives. Certaines politiques de rétention peuvent également inclure des règles pour les données qui doivent être supprimées après une certaine période.
Pourquoi les politiques de rétention des sauvegardes sont-elles nécessaires ?
Les politiques de rétention des sauvegardes précisent la durée pendant laquelle une sauvegarde doit être conservée après sa création. Ces politiques sont importantes pour plusieurs raisons.
L’une d’entre elles est que de nombreuses entreprises sont soumises à des obligations de conformité qui régissent la conservation des sauvegardes. Le respect d’une politique de rétention des sauvegardes est un élément essentiel du maintien de la conformité réglementaire de l’entreprise.
Une autre raison pour laquelle les politiques de rétention des sauvegardes sont importantes est qu’elles peuvent être guidées par les besoins de l’entreprise. Une entreprise peut, par exemple, déterminer qu’en cas de perte importante de données affectant également les sauvegardes récentes, une sauvegarde datant de six semaines serait encore utile, mais pas les sauvegardes plus anciennes. Une telle entreprise devrait élaborer une politique de rétention des sauvegardes établissant que toutes les sauvegardes doivent être conservées jusqu’à ce qu’elles aient plus de six semaines. Ce type de politique empêcherait que des sauvegardes plus anciennes, mais potentiellement utiles, soient purgées.
Les politiques de rétention des sauvegardes ont également une incidence sur les coûts de stockage, puisque la création et la conservation d’une sauvegarde entraînent des dépenses directes. Cela est particulièrement vrai lorsque les sauvegardes sont écrites sur un stockage en cloud ou un stockage immuable, qui sont tous deux généralement facturés par gigaoctet et par mois. Si l’objectif premier d’une politique de rétention des sauvegardes est de préciser la durée pendant laquelle les sauvegardes doivent être conservées, elle fournit également des indications sur les sauvegardes qui peuvent être supprimées. La suppression des anciennes sauvegardes supprime les coûts associés au stockage de ces sauvegardes.
Considérations relatives à la politique de rétention
Lors de l’élaboration d’une politique de rétention, trois considérations majeures doivent être prises en compte : les données que l’entreprise doit conserver, les règles de conformité pertinentes et les futures mises à jour de la politique.
Quelles sont les données à conserver ? La loi exige que certaines données soient conservées pendant une certaine durée ; d’autres données sont intéressantes à conserver, mais ne sont pas légalement exigées par une politique de rétention. Les entreprises peuvent également mettre en place des règles internes concernant les données qu’elles conservent et leur durée de rétention, à condition qu’elles respectent ou dépassent les réglementations en matière de conformité. Les types de données conservées les plus courants sont les fichiers, les messages électroniques et les enregistrements de bases de données.
L’une des premières bonnes pratiques en matière de conservation des sauvegardes est de savoir quelles données doivent rester actives et quelles données l’entreprise doit archiver. En général, cette détermination est basée sur l’âge des données, mais ce n’est pas toujours le cas. Dans certains cas, les administrateurs examinent des critères tels que la date du dernier accès aux données et le type de données.
Par exemple, une entreprise peut disposer de beaucoup d’espace libre sur le serveur de fichiers, mais vouloir réduire l’encombrement. Avec cet objectif de suppression de données en tête, elle décide de créer une politique d’archivage qui déplace les données de plus de cinq ans vers les archives, puis supprime les données de plus de dix ans.
Bien que cela puisse sembler une approche raisonnable de la création d’une politique de rétention des données, cela pourrait avoir des conséquences indésirables. Que se passe-t-il si une feuille de calcul a été créée il y a six ans, mais qu’elle est régulièrement mise à jour ? Si la politique de rétention des données ne tient compte que de la date de création, la feuille de calcul sera archivée, même si elle est régulièrement utilisée. Il est généralement beaucoup plus efficace de fonder une politique de rétention sur la date du dernier accès plutôt que sur la date de création.
Les politiques de rétention des données peuvent également avoir d’autres effets pervers. Par exemple, si une entreprise a signé un bail de 15 ans pour son immeuble de bureaux il y a 11 ans, il est fort probable que personne n’ait consulté le document au cours des 10 dernières années. Pourtant, l’entreprise souhaite probablement le conserver. La politique doit prendre en compte les cas de ce type.
Conformité. L’une des principales raisons pour lesquelles une entreprise conserve des données est la conformité. Outre ses règles de conformité internes, une entreprise doit tenir compte de plusieurs lois et réglementations lors de l’élaboration de sa politique de rétention des données. Il est important de déterminer les lois applicables ; un auditeur externe peut vous aider.
Le RGPD, par exemple, qui est entré en vigueur en mai 2018, comporte des mandats qui s’appliquent aux données personnelles produites par les résidents de l’UE, quel que soit l’endroit où elles sont stockées. Une entreprise qui collecte des données devrait disposer d’une politique de rétention des données qui décrit spécifiquement les questions de conformité au RGPD.
La loi Sarbanes-Oxley aux États-Unis et la norme de sécurité des données de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard) sont d’autres réglementations qui prévoient des exigences en matière de conservation des données. Dans le cadre de ces réglementations, une entreprise ne doit conserver que les données personnelles dont elle a besoin.
La conformité réglementaire est une préoccupation courante des entreprises. Les infractions sont sanctionnées par des amendes et une perte de réputation. Un calendrier de conservation des données dans le cadre d’une politique interne peut être un outil utile pour la conformité. Les entreprises doivent également s’assurer que les politiques sont mises à jour pour refléter les changements dans la production de données et les lois sur la conformité ou la sécurité des données.
Mises à jour des politiques. Une entreprise doit être en mesure de modifier dynamiquement ses politiques de rétention si nécessaire. Par exemple, une entreprise faisant l’objet d’un litige peut être tenue de conserver toutes les sauvegardes d’une certaine période, même si la politique de rétention des sauvegardes de l’entreprise autoriserait normalement la suppression des sauvegardes. Les politiques doivent être adaptables et pouvoir être mises à jour si nécessaire.
Politique de rétention des sauvegardes et planification
Les nuances dans les politiques de rétention varient d’une entreprise à l’autre, mais la liste ci-dessous présente quelques étapes de base nécessaires à l’élaboration d’un solide plan de rétention des sauvegardes. Les administrateurs peuvent utiliser le calendrier suivant lorsqu’ils créent une politique de rétention des données :
1/ Définir les données.
2/ Organiser les données par cycle de vie.
3/ Déterminer le nombre de versions à conserver.
4/ Définir le type et la fréquence des sauvegardes.
5/ Créer une politique de cycle de vie pour chaque ensemble de données.
6/ Supprimer et purger les fichiers inutiles.
7/ Examiner et appliquer la politique de rétention des sauvegardes.
La dernière étape est cruciale pour la réussite de la politique, il ne faut donc pas négliger le processus de révision. Cette étape permettra aux administrateurs de savoir s’il y a des éléments qu’ils doivent mettre à jour, idéalement avant qu’ils n’affectent les données des clients.
Bonnes pratiques pour les politiques de rétention des sauvegardes
Vous trouverez ci-dessous les meilleures pratiques en matière de conservation des sauvegardes auxquelles les administrateurs peuvent se référer lorsqu’ils créent une nouvelle politique pour leur entreprise. Certaines réglementations et préoccupations en matière de sécurité peuvent ne pas concerner certaines entreprises, mais les meilleures pratiques générales pour les administrateurs de sauvegardes sont les suivantes :
- Tenir compte de l’impact des réglementations sectorielles sur la stratégie de conservation.
- Toujours prendre en compte les jeux de données, le type et la fréquence des sauvegardes.
- Identifier et traiter les scénarios de restauration.
- Maintenir les sauvegardes incrémentielles à une taille raisonnable.
- Conserver la dernière sauvegarde dans un endroit facilement accessible.
- Évaluer la conservation des sauvegardes en fonction du cycle ou du temps.
- S’assurer qu’il y a suffisamment d’espace de stockage pour les sauvegardes de données.
- Programmer les sauvegardes au moment où la bande passante de l’entreprise est la plus disponible.
Où stocker les sauvegardes ?
Les règles et réglementations déterminent souvent une période de rétention. Comme les périodes de rétention vont de quelques minutes à plusieurs années, une entreprise peut avoir besoin de différents types de supports pour stocker les données.
Certains types de supports de stockage, par exemple, offrent une garantie d’intégrité des données de 15 ans. Passé ce délai, les données peuvent commencer à se dégrader. Par conséquent, si une entreprise prévoit de conserver certaines données pendant 50 ans, est-il judicieux de stocker ces données sur un dispositif dont la durée de vie n’est que de 15 ans ? En fonction de la longévité des données, une politique de rétention des sauvegardes peut nécessiter de prendre en compte les types de supports requis, voire de mettre en place un plan de rotation des supports vieillissants.
Le cloud public est un lieu de stockage populaire pour la conservation à long terme. Amazon S3 Glacier, Microsoft Azure Blob Storage et Google Nearline font partie des options de stockage d’archives à faible coût dans le cloud. Le stockage est hors site, ce qui est bon pour la protection des données. Les délais et les coûts de restauration peuvent toutefois être élevés, en fonction de la quantité de données qu’une entreprise doit extraire du cloud.
La bande est un autre type de support pour le stockage à long terme qui est moins cher que d’autres options, telles que le disque. La durée de vie des cartouches LTO les plus récentes est généralement estimée à 30 ans. La cartouche LTO-9 offre une capacité de stockage compressée de 45 To. La vitesse de restauration est toutefois lente, de sorte qu’une entreprise ne devrait pas utiliser uniquement des bandes pour conserver des données nécessitant une récupération rapide.
Le disque est plus cher, mais plus rapide que la bande. Il n’est pas rentable de stocker de grandes quantités de données qui doivent être conservées à long terme et auxquelles l’entreprise n’accèdera probablement pas fréquemment.
Une bonne politique de rétention des sauvegardes pourrait utiliser la méthode de sauvegarde 3-2-1. Cette méthode est peut-être un peu simple compte tenu de la variété des options de sauvegarde actuelles, mais c’est un bon point de départ pour les administrateurs qui élaborent une politique.
Comment mettre en œuvre une politique de rétention des sauvegardes
La mise en œuvre d’une politique de rétention des sauvegardes comporte plusieurs étapes :
1/ Identifiez les exigences de l’entreprise et de conformité pour vos données. N’oubliez pas que les exigences en matière de conservation peuvent varier d’un ensemble de données à l’autre.
2/ Établissez différents niveaux de rétention (court, moyen et long) et définissez une période de temps pour chaque niveau. Vous pouvez ensuite commencer à faire correspondre vos différents ensembles de données aux niveaux de conservation appropriés.
3/ Déterminez votre fréquence de sauvegarde. La fréquence à laquelle vous sauvegardez vos données déterminera l’objectif du point de récupération de ces données. En d’autres termes, plus vous sauvegardez vos données fréquemment, moins il y a de données susceptibles d’être perdues à la suite d’un événement indésirable. Certaines entreprises lient la fréquence des sauvegardes au taux de changement des données – par exemple, certaines données sont sauvegardées toutes les quelques secondes, alors que d’autres ne le sont qu’une fois par jour.
4/ Choisissez le support et l’emplacement de stockage que vous préférez. La meilleure pratique consiste à créer des sauvegardes à plusieurs niveaux, dans lesquelles les données sont stockées à plusieurs endroits et sur au moins deux types de supports différents. Lorsque vous choisissez vos types de supports de sauvegarde, tenez compte de leur durée de vie estimée, car ils doivent rester viables suffisamment longtemps pour répondre à vos exigences en matière de conservation des données.
5/ Définissez la sécurité de vos sauvegardes et les contrôles d’accès. Une partie du processus d’élaboration de la politique de rétention des données consiste à déterminer comment vous sécuriserez vos sauvegardes et comment vous contrôlerez l’accès à ces sauvegardes. Dans certains cas, la sécurité et les contrôles d’accès seront régis par des exigences réglementaires. Dans d’autres cas, ils seront laissés à la discrétion de l’entreprise. Lorsque vous évaluez vos options de sécurité et de contrôle d’accès, il est important de trouver un équilibre entre la sécurité et l’accessibilité. Il ne faut jamais appliquer un niveau de sécurité si élevé à une sauvegarde qu’il soit impossible d’y accéder en cas de crise parce que les systèmes de dépendance sont hors ligne.
6/ Automatisez l’application de la politique. Pour être efficaces, les politiques de rétention des sauvegardes doivent être automatisées. Vous devrez donc déterminer les contrôles que vous mettrez en place pour vous assurer que les sauvegardes sont conservées pendant la durée requise et qu’elles sont automatiquement purgées à l’expiration de la période de conservation.
7/ Testez et validez votre politique de rétention des sauvegardes. Vous ne pouvez pas supposer que votre politique de rétention des sauvegardes fonctionnera comme prévu. Vous devez établir des procédures pour tester l’application automatisée de votre politique afin de vous assurer qu’elle fonctionne correctement.
8/ Documentez votre politique et formez le personnel informatique. Votre politique de rétention des sauvegardes doit être formellement documentée. Vous devrez également expliquer la politique et son contrôle au personnel informatique afin de vous assurer que les politiques ne sont pas violées ou contournées.
9/ Révisez et mettez à jour régulièrement la politique. La politique de rétention des sauvegardes que vous mettez en place aujourd’hui ne répondra peut-être plus à vos besoins dans un an. Il est essentiel de prévoir des révisions régulières de votre politique de sauvegarde et de disposer d’un système permettant de l’adapter à l’évolution des besoins de l’entreprise ou des exigences réglementaires.
N’oubliez pas de consulter le modèle de politique de rétention des données de sauvegarde fourni à titre d’exemple.
Plus de détails sur l’article original.