RECUEIL DE FICHES D’AIDE A LA MISE EN ŒUVRE DU PLAN D’ACTION SSI – FICHE N°7

Priorité 1 : à conduire pour juillet 2017

Thématique : Gestion des sauvegardes
Fiche n°7 : Mise en œuvre de sauvegardes régulièrement testées
Version : 2.2 Statut : Validé Date : 20 novembre 2017 Diffusion : Publique

OBJET / ENJEU DE L’ACTION – EXPLICATIONS – RISQUES COUVERTS

L’objectif de la mise en œuvre de sauvegardes est de garantir la pérennité des données en rendant
possible la récupération des informations indispensables au fonctionnement de la structure à la
suite d’un incident ou d’un sinistre et de répondre aux demandes de restauration de données.
Comme le définit le guide relatif à la sauvegarde du corpus PGSSI-S, la sauvegarde est une opération
qui consiste à dupliquer et à conserver de manière sécurisée des données contenues dans un
système informatique (ex. données métier, paramétrages d’un appareil biomédical…) afin d’assurer
leur disponibilité et leur réutilisabilité même en cas d’incident ou d’erreur de manipulation portant
atteinte à leur intégrité.
La restauration est l’action consistant à utiliser des sauvegardes pour remettre un système
d’information qui a été altéré dans un état antérieur à l’altération.
La sauvegarde et la capacité de restauration des informations d’un SI constituent un véritable enjeu
pour garantir la continuité des activités et la fiabilité des données associées.
Suite à un incident impactant les SI (cryptovirus, intrusion, incendie…), la disponibilité de
sauvegardes conservées en lieu sûr est indispensable à la poursuite de l’activité. Il est donc demandé
de formaliser une politique de sauvegarde régulièrement mise à jour et testée. Cette dernière a
pour objectif de définir des exigences en matière de sauvegarde de l’information, des logiciels et des
systèmes.

PRECISIONS SUR L’ATTENDU

QUE DOIT-ON SAUVEGARDER ?

En premier lieu, il faut définir le périmètre des sauvegardes, par exemple : les serveurs de partage de
fichiers entrent dans le périmètre au contraire des disques durs locaux des postes de travail.
Afin de définir les processus et dispositifs de sauvegarde adaptés, il est indispensable de mener une
analyse des besoins de sauvegarde basée d’une part, sur l’expression des besoins des utilisateurs ;
d’autre part, sur l’inventaire des ressources informatiques (cf. Fiche n°3 du présent recueil).
Cette analyse du besoin permet d’une part de choisir la solution la plus adaptée en termes
d’efficacité et de coût.
A QUELLE FREQUENCE ?
Pour chaque ressource retenue dans le périmètre, il est nécessaire de recueillir les besoins des
métiers en terme de :

Plan d’action SSI – Recueil de fiches d’aide à la mise en œuvre – Fiche n°7 Novembre 2017
1
  perte de données maximale admissible (PDMA) qui correspond au laps de temps maximal et
admissible entre deux sauvegardes (considérant la perte des données modifiées pendant
cette durée) ;
 durée d’interruption d’accès aux données maximale admissible (DMIA) qui correspond au
temps entre la survenue de l’incident et la restauration effective des données ;

Wikipédia

Figure 1 : schéma d’illustration PDMA et DMIA

Ces éléments vont permettre de déterminer les besoins en fréquence de sauvegarde. A cela s’ajoute
la détermination :
 du type de sauvegarde : complète, partielle, différentielle, incrémentale ;
 de périodicité de la sauvegarde (journalière, hebdomadaire, mensuelle…), périodicité de
rotation des sauvegardes (exemple : sauvegarde différentielle en semaine, sauvegarde
complète le weekend, …) ;
 des contraintes de sauvegarde : à chaud, à froid, définition de la plage horaire de
sauvegarde, ordonnancement des sauvegardes notamment entre les composants ayant des
liens entre eux…
 de la durée de conservation maximale des sauvegardes.
L’acteur en charge des sauvegardes propose un plan de sauvegarde validé par les métiers.
DANS QUELLES CONDITIONS ? - PROCEDURE DE GESTION DES SUPPORTS -
EXTERNALISATION
Il convient de définir le degré de confidentialité des sauvegardes, le niveau de protection des
sauvegardes doit être au moins identique à celui des éléments sauvegardés.
Chaque support amovible de sauvegarde doit être identifié et étiqueté avec a minima son identifiant,
sa date de mise en première circulation et sa date de péremption.
Un jeu de supports correspondant à une sauvegarde complète doit régulièrement être stocké dans
un espace protégé contre les menaces physiques et environnementales (vols, saccages, incendies,
dégâts des eaux, perturbations magnétiques, …) et physiquement éloigné des composants du SI
sauvegardés.
L’externalisation des sauvegardes est possible à la condition de faire appel à un hébergeur agréé de
données de santé si les données concernées sont des données à caractère personnel relatives à la
santé. Si ce n’est pas le cas, il conviendra dans la relation contractuelle avec l’hébergeur de prêter

Plan d’action SSI – Recueil de fiches d’aide à la mise en œuvre – Fiche n°7 Novembre 2017
2
 attention au périmètre d’intervention, de délai maximal de restauration, de fréquence de
sauvegarde, de durée de conservation et de restitution des données.
FORMALISER UN PLAN ET DES PROCEDURES DE SAUVEGARDE
Le plan de sauvegarde doit au moins intégrer les éléments suivants :
 le périmètre (liste des ressources à sauvegarder) ;
 les différents types de sauvegarde ;
 la fréquence des sauvegardes ;
 la procédure d’administration, d’exécution des sauvegardes et vérification régulière de la
bonne réalisation ;
 les informations de stockage et les restrictions d’accès aux sauvegardes ;
 les procédures de test de restauration ;
 la destruction des supports ayant contenu les sauvegardes.

Ce plan doit être mis à jour à chaque déploiement de nouveau système ou application.

L’ensemble des opérations de sauvegarde est journalisé. Les journaux sont conservés avec les
supports de sauvegardes. Ces derniers comportent au minimum les informations suivantes :
• références du dispositif de sauvegarde ;
• périmètre ou composants concernés ;
• type de sauvegarde ;
• fichiers sauvegardés ;
• date de la sauvegarde ;
• statut de la sauvegarde.
TESTER REGULIEREMENT LES SAUVEGARDES – PROCEDURES DE RESTAURATION
Il est indispensable de s’assurer de la copie effective, intégrale et fiable des données ainsi que de
tester leur restauration.

Les tests de restauration peuvent être réalisés de plusieurs manières :

• systématique, par un ordonnanceur de tâches pour les applications importantes ;
• ponctuelle, en cas d’erreur sur les fichiers ;
• générale, pour une sauvegarde et restauration entières du système d’information

Les procédures de restauration formalisent les points suivants :

• diagnostic de la perte de données et détermination des données à récupérer en fonction des
données perdues et des sauvegardes disponibles ;
• mode de mise en œuvre de la récupération qui doit inclure les données, les programmes et
les données systèmes de l’environnement (configuration) ;
• modalités d’information des utilisateurs.

A minima, un test annuel doit être réalisé. A noter que la gestion des droits d’accès aux éléments
restaurés doit être la même que celle mise en œuvre pour les éléments initiaux sauvegardés.

Le résultat de cette vérification est consigné dans une fiche de restauration qui comporte les
informations suivantes :
• opérateur de sauvegarde ;

Plan d’action SSI – Recueil de fiches d’aide à la mise en œuvre – Fiche n°7 Novembre 2017
3
 • demandeur de la restauration ;
• fichiers restaurés ;
• date de la sauvegarde ;
• date de restauration ;
• statut des vérifications effectuées.
BONNES PRATIQUES
• Vérification régulière de la copie effective des données
• La sauvegarde doit être isolée du reste du SI (ex : pour limiter les risques de propagation de
virus ou erreur de manipulation, ne pas monter la sauvegarde comme un lecteur réseau à
partager)

EXEMPLES DE DOCUMENT DE PREUVE

 Plan de sauvegarde à jour
 Procédures de sauvegarde à jour
 Journaux de sauvegarde
 Checklist des points de contrôle de l’exploitation dont la revue régulière de la bonne
exécution des sauvegardes
 Procédures de restauration
 Fiches de tests de restauration

REFERENCES :
PSSI-MCAS : ARCHI-STOCKCI : architecture de stockage et de sauvegarde ;
PSSI-MCAS : PDT-SAUV-LOC : sauvegarde / synchronisation des données locales ;
PSSI-MCAS : PCA-SAUVE : protection de la disponibilité des sauvegardes ;
PSSI-MCAS : PCA-PROT : protection de la confidentialité des sauvegardes.

OUTILS OU GUIDES EXISTANTS SUR LE SUJET

Guide d’hygiène informatique – ANSSI – Chapitre IX : Superviser, auditer, réagir, fiche n°37 : Définir
et appliquer une sauvegarde des composants critiques.
ASIP Santé - PGSSI-S – Canevas de PSSI – Thématique n°7 : Limiter la survenue et les conséquences
d’incidents de sécurité du SI - T7-4 Sauvegarder les données.
ASIP Santé - PGSSI-S - Guide Pratique « Règles de sauvegarde des Systèmes d’Information de Santé »
DGOS - Guide méthodologique pour l’auditabilité des SI – Fiabilisation et certification des comptes
des établissements publics de santé – Fiches n°17 et 18.

POUR ALLER PLUS LOIN :

 Gestion de l’obsolescence des supports et des applications de sauvegarde.
 Réaliser des tests de restauration sur des supports « anciens » afin de s’assurer de leur
lisibilité.

Plan d’action SSI – Recueil de fiches d’aide à la mise en œuvre – Fiche n°7 Novembre 2017
4