Politique de sauvegarde et de restauration

La Politique de sauvegarde et de restauration (P15) établit les exigences obligatoires de l’organisation pour la sauvegarde et la restauration des données, des systèmes et des applications. Son objectif principal est de protéger la résilience opérationnelle et l’intégrité des données de l’organisation, en soutenant la continuité d’activité même lors de perturbations majeures telles que des défaillances de systèmes, des cyberattaques ou des suppressions accidentelles. Au cœur de la politique, celle-ci formalise une approche standardisée des opérations de sauvegarde et garantit des paramètres de rétablissement clairs, notamment en définissant les attentes relatives au RTO (Recovery Time Objective) et au RPO (Recovery Point Objective). Ces exigences sont étroitement alignées sur la mise en œuvre du cadre SMSI de l’organisation et les plans de réponse aux incidents, afin d’assurer la conformité légale, réglementaire et opérationnelle. Le champ d’application de la politique est complet : elle concerne tous les systèmes critiques pour l’activité et les systèmes opérationnels couverts par le domaine d’application du SMSI, y compris les données structurées et les données non structurées telles que les bases de données, les fichiers, les courriels et les paramètres de configuration. Elle s’étend à tous les types d’environnements opérationnels (sur site, hybride, informatique en nuage), aux supports de sauvegarde (physiques, virtuels, hors site) et au personnel supervisant ou exécutant les processus de sauvegarde. Les systèmes à exclure des opérations de sauvegarde doivent faire l’objet d’une appréciation des risques, être documentés et approuvés formellement, ce qui souligne l’accent mis par la politique sur l’autorité et la responsabilité. Dans ses objectifs, la politique précise que tous les actifs critiques doivent être sauvegardés avec une fréquence appropriée, une redondance et un chiffrement, en documentant toutes les procédures, les calendriers de conservation et les rôles désignés. Les mécanismes de restauration doivent respecter des seuils RTO et RPO prédéfinis en fonction de l’évaluation de l’impact sur l’activité. L’intégrité et l’efficacité de l’environnement de sauvegarde sont validées par des tests réguliers de restauration et le maintien d’une piste d’audit. Pour l’alignement réglementaire, la politique met directement en application des mesures issues de l’ISO/IEC 27001:2022 (y compris la continuité opérationnelle et la méthode d’élimination sécurisée), de l’ISO/IEC 27002:2022 (telles que l’intégrité et la planification de la restauration), ainsi que des exigences tirées de NIST SP 800-53, GDPR, EU NIS2 et DORA. Les contrats avec les prestataires tiers de services de sauvegarde doivent refléter les attentes de l’organisation en matière de chiffrement, de méthode d’élimination, de notification des incidents et d’éléments probants d’audit de test. Les rôles et responsabilités sont détaillés explicitement, en attribuant la supervision stratégique à la Direction et au Responsable de la sécurité des systèmes d’information (RSSI), l’exécution opérationnelle aux équipes IT et Exploitation, et une gouvernance spécialisée au DPO, aux propriétaires d’applications métier et aux fournisseurs concernés. La politique impose un calendrier maître des changements de sauvegarde, des cycles de revue réguliers, un chiffrement fort, des environnements de sauvegarde séparés et des contrôles rigoureux de gestion des changements. Une gouvernance stricte garantit que les journaux d’audit sont conservés, que les dérogations sont soigneusement contrôlées et font l’objet d’une appréciation des risques, et que les capacités de restauration sont testées à des intervalles définis. En outre, la non-conformité déclenche des sanctions disciplinaires pour le personnel interne et des pénalités ou une escalade pour les fournisseurs, la revue régulière des journaux, des calendriers et de la documentation associée faisant partie des processus d’audit et d’assurance. Enfin, la politique est revue au moins annuellement, afin que les mises à jour reflètent les changements stratégiques, juridiques ou technologiques, avec communication à toutes les parties concernées. En lien avec une suite de documents de gouvernance (Gestion des risques, Gestion des actifs, Classification des données, Politique de conservation des données, masquage des données et Réponse aux incidents), cette politique s’inscrit dans l’approche globale de l’organisation en matière de sécurité des données, de continuité et de conformité réglementaire.