RGPD et Sauvegarde : respect des règles de confidentialité et de protection des données

Qu’est-ce que RGPD ?

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entre en vigueur, une législation complexe qui ajoute des protections supplémentaires pour tous les citoyens de l’UE. La loi reconnaît le droit des individus à la portabilité des données, à être oublié, à être clairement informé de la manière dont leurs informations sont traitées et à être rapidement informé de toute violation de la sécurité.

RGPD et sauvegarde : comment se conformer à la réglementation

Parmi les nombreux points mentionnés par le règlement RGPD, deux des plus importants sont la protection et la sauvegarde des données. Pour cette raison, le sujet concerne toutes les entreprises qui stockent et gèrent des données utilisateurs sensibles et tous les fournisseurs de logiciels qui offrent des outils de sauvegarde et de cryptage. Il en va de même pour  les équipement nécessaires pour protéger les réseaux et les systèmes d’exploitation tels que les antivirus et les pare-feu.

Passons directement aux détails de la législation concernant la sauvegarde et la protection des données, en soulignant les points suivants :

Article 32 – Sécurité du traitement

1) Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement

Parmi les points mentionnés ci-dessus, deux sont certainement et étroitement liés aux procédures de sauvegarde. Le responsable du traitement des données, c’est-à-dire l’entité qui stocke les données sensibles des citoyens de l’UE, doit s’assurer de disposer de procédures de chiffrement des données et de restitution d’accès en cas d’attaque ou de défaillance technique.
Cela signifie que les procédures de sauvegarde des données doivent être toujours actives et permettent de chiffrer le contenu de la sauvegarde elle-même, afin de la rendre inaccessible à ceux qui n’y ont pas accès. Enfin, la sauvegarde doit pouvoir être rapidement restaurée.

Pour répondre à ces deux points spécifiques, toute entreprise concernée par la législation doit disposer d’un logiciel de sauvegarde et le configurer en fonction de ses propres stratégies de rétention des données. Iperius Backup est un logiciel capable de fournir toutes les fonctionnalités nécessaires pour s’y conformer parfaitement.

Voyons quelles sont les fonctionnalités d’Iperius Backup qui remplissent les obligations requises par la loi :

1. Image disque et restauration indépendante : le moyen le plus rapide de sauvegarder tout le système et de le restaurer rapidement
   Iperius inclut la fonction de sauvegarde d’image pour les systèmes d’exploitation des postes clients et serveurs. Cette fonctionnalité permet de créer une sauvegarde complète en quelques clics, y compris toutes les configurations, tous les programmes, machines virtuelles, bases de données et serveurs de messagerie. Le format de sauvegarde d’image Iperius est le standard Microsoft (VHD / VHDX), qui permet une récupération rapide (récupération après sinistre) via le disque d’installation de Windows, indépendamment du matériel et du logiciel qui a créé la sauvegarde. Il est possible de restaurer, tout aussi rapidement, des applications ou des fichiers individuels en montant les fichiers image.
2. Cryptage côté client AES 256 bits et protocoles sécurisés
   Iperius permet de crypter des fichiers, des sauvegardes de bases de données, des serveurs de messagerie ou des machines virtuelles à l’aide de l’algorithme AES 256 bits, la norme de sécurité militaire actuelle pour le cryptage des données. Iperius crée des archives compressées standard (encore un format complètement indépendant du logiciel) et protège l’accès à son contenu. Le cryptage des données s’effectue côté client, c’est-à-dire avant le transfert du fichier de sauvegarde compressé, par exemple vers des destinations hors site. Cela garantit un haut niveau de sécurité dans la transmission des données, qui est également renforcé par l’utilisation de protocoles sécurisés tels que FTPS / SFTP ou HTTPS.
3. Sauvegarde des bases de données et des serveurs de messagerie
   Iperius permet de protéger les principaux outils utilisés pour le stockage et le trafic de données, à savoir les bases de données et les serveurs de messagerie. Avec quelques configurations simples, il est possible de sauvegarder les bases de données SQL Server, MySQL, MariaDB, PostgreSQL et Oracle. La sauvegarde peut ensuite être cryptée AES 256 bits et transférée vers plusieurs destinations sécurisées. La même chose est possible pour les serveurs de messagerie Microsoft Exchange.
4. Iperius Storage: le service de sauvegarde en ligne hébergé dans l’UE et certifié ISO / IEC 27001
   Grâce au partenariat d’Iperius avec les meilleurs fournisseurs de services de stockage en ligne, nos plans de stockage peuvent bénéficier des plus hauts niveaux de sécurité sur le marché. Les transferts de données sont effectués à l’aide de protocoles sécurisés comme le FTPS. Du côté de l’infrastructure serveur, nous avons la certification la plus importante pour la conception, le développement et la fourniture de services : data center et infrastructure; solutions orientées cloud en mode IaaS, SaaS, PaaS; sauvegarde et récupération après sinistre; solutions de messagerie.
   La norme ISO / IEC 27001 (Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Exigences) est une norme internationale définissant les exigences de configuration et de gestion du système et la sécurité de l’information.  Elle inclut des aspects liés à la sécurité logique, physique et organisationnelle.
   Iperius Storage est un service entièrement hébergé sur des centres de données italiens et donc sur le territoire de l’UE.
5. Réplication de machine virtuelle VMware ESXi, qui permet de démarrer la machine à partir de sa sauvegarde en quelques secondes
   Iperius permet plusieurs méthodes de sauvegarde et de réplication des machines virtuelles ESXi. Avec la réplication standard sur le magasin de données, la machine répliquée est immédiatement amorçable, ce qui réduit le temps de récupération au minimum en cas de dysfonctionnement de la machine principale.
6. Sauvegarde incrémentielle et différentielle des machines virtuelles ESXi et restauration granulaire à une date donnée
   En utilisant les options de sauvegarde incrémentielle et différentielle, il est possible de récupérer une machine virtuelle à un jour / sauvegarde spécifique en très peu de temps.
7. Sauvegardes Hyper-V conservant les formats standard des machines virtuelles, pour permettre l’importation ou le démarrage d’une machine virtuelle à partir de sa sauvegarde
   Les sauvegardes de machines virtuelles Hyper-V génèrent la structure exacte d’une machine virtuelle avec ses fichiers de disque et ses fichiers de configuration dans le format Microsoft original. Les restaurer est donc très rapide car vous pouvez importer et enregistrer la machine dans la console Hyper-V directement à partir de sa sauvegarde.
8. Détection automatique des fichiers qui auraient pu être corrompus par des virus ransomware
   Pour sécuriser encore plus l’intégrité des sauvegardes, Iperius dispose d’une option avancée qui permet d’arrêter les procédures de sauvegarde des données en cas de détection de fichiers potentiellement corrompus / cryptés par des virus ransomware (tels que Cryptolocker, Wannacry, etc …). Cela empêche les sauvegardes d’être corrompues. De plus, une notification par courrier électronique peut être envoyée à l’utilisateur pour lui faire prendre conscience du problème.
9. Planification de sauvegardes automatiques, notifications par e-mail et surveillance centralisée avec Iperius Console
   Avec Iperius, vous pouvez facilement planifier différentes procédures de sauvegarde, à exécuter en séquence ou en parallèle et vers des destinations hétérogènes. En outre, vous pouvez recevoir des notifications des résultats des procédures de sauvegarde, grâce à la possibilité de recevoir des rapports avec des erreurs ou des avertissements par e-mail. Enfin, grâce au puissant outil Iperius Console, vous pouvez surveiller toutes les procédures de sauvegarde des machines physiques et virtuelles à partir d’un seul panneau centralisé, ce qui vous permet de fournir un véritable service pour toutes les machines gérées.
10. Identité de comptes réservés aux sauvegardes spécifiques et authentification automatique dans les emplacements réseau protégés
    Pour assurer une sécurité maximale et le plus haut niveau d’isolation dans les procédures de sauvegarde, Iperius peut être installé en tant que service Windows et utiliser l’identité des comptes d’utilisateurs réservés aux sauvegardes. Cela signifie que les destinations de sauvegardes ne sont accessibles que par le logiciel lui-même, les protégeant ainsi de tout autre accès non autorisé. De même, Iperius peut s’authentifier automatiquement sur n’importe quelle destination réseau protégée. Tous les mots de passe d’accès sont stockés par le logiciel sous forme cryptée et ne sont donc accessibles en aucune manière. La configuration Iperius elle-même peut être protégée par un mot de passe ou par des stratégies spécifiques dans les dossiers contenant les fichiers de configuration.

Cliquez sur le bouton ci-dessous pour télécharger et essayer Iperius Backup, la solution la plus simple et la plus sûre qui aide votre entreprise à se conformer aux nouvelles normes de protection des données.

Télécharger Iperius Backup

Voici quelques liens utiles pour lire le règlement :

https://ec.europa.eu/info/law/law-topic/data-protection_en

https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

http://eur-lex.europa.eu/legal-content/EN/LSU/?uri=celex:31995L0046

Si vous avez besoin de conseils techniques sur Iperius Backup et la RGPD, veuillez nous contacter à cette adresse : https://support.iperius.net

(Anglais, Italien, Allemand, Espagnol, Portugais - du Brésil)