Réussissez vos sauvegardes avec le principe 3-2-1-1-0

Par une belle nuit de Noël, vous décidez de préparer sur votre laptop personnel un diaporama de vos plus extravagantes photos de pulls moches.

Mais voilà, soudain, votre PC s’éteint. Au redémarrage, rien. Diagnostic : la carte mère est morte.

Heureusement, en bon geek, vous avez sauvegardé vos photos sur votre NAS local et pouvez y accéder depuis le PC familial.

C’était sans compter sur votre ado numéro 2 qui depuis sa tablette a décidé d’ouvrir une carte de Noël animée envoyée par un de ses camarades de lycée.

Après quelques instants, apparaît un écran rouge sur l’écran du PC familial vous demandant de payer une rançon en bitcoin pour récupérer vos données. Vous ne rêvez pas, vous êtes victime d’une attaque ransomware.

Par un réflexe sorti de nulle part, vous débranchez votre box, éteignez votre PC et commencez à faire un état des lieux des dégâts.

Dans votre malheur, votre smartphone n’était pas connecté au wifi de votre box. En prenant toutes les précautions possibles, vous vérifiez votre OneDrive vers lequel est synchronisé votre NAS. L’antivirus de Microsoft bloque bien les attaques ransomware mais, hélas, n’a pas empêché la synchronisation des fichiers altérés.

La seule copie possiblement viable qui vous reste, c’est celle de votre laptop personnel dont la carte mère est morte. Vous avez donc du démontage à prévoir en plus du nettoyage de tous les équipements informatiques sur votre réseau. Joyeux Noël (et Joyeuses Pâques) !

Ce scénario catastrophique et un peu exagéré (un peu) montre que, malgré des précautions (sauvegarde locale, synchronisation vers le cloud), nul n’est à l’abri d’une perte de données, et ce, quelle qu’en soit la cause : sinistre, malveillance, mauvaise manipulation, …

Aussi, pour éviter ce genre de situation, il existe une méthode éprouvée : le principe 3-2-1-1-0.

Le principe 3-2-1-1-0 expliqué simplement

Non ce ne sont pas les premiers termes inversés de la suite de Fibonacci (vous vérifierez par vous-même).

C’est un principe lié aux sauvegardes, qui vise à faire face à tout sinistre pouvant survenir dans une infrastructure où des données sont hébergées. Y compris la destruction d’un datacenter (coucou OVH !). 

Car, la question n’est pas de savoir si un sinistre va survenir mais quand.

C’est une extension du vieux principe 3-2-1 auquel on a ajouté les points « 1 – 0 » pour faire face aux nouvelles menaces comme les ransomwares.

Ce principe repose donc sur cinq règles qui visent à multiplier les supports de sauvegarde pour garantir la sécurité des données. Il s’applique avant tout aux entreprises mais peut aussi être mis à profit pour un usage domestique (cf. exemple en introduction).

La signification des chiffres est :

• 3 = Trois copies de vos données : l’original + deux sauvegardes (ex : ordinateur, disque dur externe, cloud)
• 2 = Deux types de supports différents : pour limiter les risques de panne (ex : disque dur + cloud, ou NAS + bande LTO)
• 1 = Une copie hors site : stockée ailleurs que chez vous (ex : cloud, disque confié à un proche, datacenter secondaire)
• 1 = Une copie immuable ou déconnectée : protégée contre les ransomwares et la corruption (ex : disque externe débranché, bande hors ligne, snapshot immuable)
• 0 = Zéro erreur de restauration : une vérification régulière des sauvegardes est obligatoire (ex : test de restauration annuel, vérification automatique)

Inutile de rappeler ici que les sauvegardes sont le socle de toute politique de résilience d’une entreprise. Impossible de reprendre ou continuer une activité sans les données. Ce principe est (ou devrait) donc être appliqué par n’importe quelle entité manipulant des données.

Points essentiels à intégrer pour une stratégie efficace

Bon. Une fois le principe expliqué, le passage de la théorie à la pratique n’est pas forcément chose aisée.

Sans entrer dans les détails voyons cependant quelques points à prendre en considération.

1. Volumétrie totale des données

La règle « 3-2-1 » implique de multiplier le volume de stockage par au moins trois. L’ajout d’une copie immuable/offline dans le « 3-2-1-1-0 » augmente encore cet espace selon la fréquence et la durée de conservation des sauvegardes.

Exemple : Avec 1 To de données critiques, il faut prévoir au minimum 3 To de capacité, voire plus si on conserve plusieurs versions ou snapshots.

Il existe en entreprise (et sur quelques NAS grand public) des méthodes pour réduire l’espace total occupé par les sauvegardes (déduplication, compression…) mais les entreprises ont toujours tendance à considérer que pour un volume V, il faut réserver 3*V en espace de stockage. Il faut de plus prévoir un espace dédié pour les tests de restauration.

2. Hiérarchisation et sélection des données

Parfois, tout sauvegarder n’est ni réaliste ni pertinent. Il est crucial de bien connaître ses données en termes de sensibilité/criticité et cycle de vie.

• Prioriser les données critiques qui ne peuvent être recalculées (documents originaux, bases de données, configurations système)
• Écarter les données secondaires ou celles pouvant être rapidement reconstituées (exports, fichiers temporaires)
• Optimiser l’espace en excluant les fichiers volumineux mais non critiques.

De plus, selon le niveau de confidentialité des données, celles-ci ne seront pas toujours sauvegardées sur les mêmes supports. Et, les sauvegardes des données les plus sensibles seront chiffrées (ajoutant un léger « overhead » sur l’espace de stockage ainsi que sur les temps de sauvegarde/restauration).

A noter que pour certaines entreprises, pour des raisons légales (ou de souveraineté), la sauvegarde dans le Cloud n’est pas du tout possible.

3. Temps de sauvegarde et de restauration

La politique de sauvegarde entrant dans une politique plus générale de résilience, les temps de sauvegarde et de restauration sont primordiaux. Il faut absolument en tenir compte lors de la mise en œuvre technique.

• Première sauvegarde : souvent longue, car il faut copier l’ensemble des données.
• Sauvegardes suivantes : peuvent être incrémentales ou différentielles, donc plus rapides.
• Temps de restauration : doit être connu et adapté à la criticité des données. Une sauvegarde parfaite mais trop lente à restaurer peut s’avérer inutile en cas d’incident critique.

Donc, là encore, dans le cadre d’un PCA/PRA, il faut bien connaître ses données et surtout leur cycle de vie. Une sauvegarde hebdomadaire peut être insuffisante si les données changent tous les jours.

C’est pourquoi dans les entreprises, pour chaque activité, est positionné un critère appelé « Perte de Données Maximale Admissible » en cas de sinistre (PDMA ou RPO). Pour certaines activités critiques, ce critère sera à 0 (zéro = pas de perte) et dans ce cas, il faudra multiplier les garde-fous (snapshots, archivelogs pour les BDD, synchronisation distante, etc…) pour satisfaire ce critère.

De même, pour le temps de restauration après sinistre, on parle de « Durée d’Indisponibilité Maximale Admissible » (DIMA ou RTO). Là encore, si ce critère est positionné à 0 (zéro = pas d’indisponibilité), il faut mettre en place des mesures (parfois coûteuses) pour garantir ce critère.

L’établissement de ces critères dans une politique de sauvegarde (et plus globalement de résilience) est essentiel pour mettre en œuvre l’architecture la plus adéquate possible. En effet, il convient d’éviter les architectures « overkill » si cela ne répond à aucun besoin réel.

4. Limites de certaines techniques

Certaines techniques utilisées seules ne sont pas à considérer comme des sauvegardes : les snapshots et la synchronisation temps réel vers le Cloud (OneDrive, Google Drive pour un usage domestique, AWS/Azure/GCP/Autres pour les entreprises, …) : L’exemple introductif le montre dans le cas d’une corruption par ransomware.

• Les snapshots offrent une image instantanée, mais restent dépendants du support local et ne protègent pas contre une panne matérielle ou un sinistre. Tout au plus, ils peuvent protéger contre une suppression accidentelle d’une donnée en permettant de revenir à un état antérieur.
• La synchronisation temps-réel n’est pas une véritable sauvegarde : elle protège contre la perte locale (panne disque, vol, incendie) mais réplique aussi les erreurs, corruptions et suppressions accidentelles. Une synchronisation différée peut servir de sauvegarde secondaire, mais ne garantit ni l’historique ni l’intégrité des données.

Pour une vraie sauvegarde, il faut un système indépendant, avec historique et versions conservées et combiner les techniques. D’où le principe 3-2-1-1-0.

5. Limites du principe 3-2-1-1-0

Vous le pressentez avec les points précédents, ce principe n’est pas toujours applicable, notamment dans les environnements Big Data où la volumétrie est telle (parfois mesurée en exaoctets = 1018 octets = 1 milliard de Go) qu’il est impossible de multiplier les copies.

Dans ce cas, les stratégies sont complexes et sortent du cadre de cet article. On peut citer quelques pistes :

• Sauvegarder uniquement les métadonnées ou les données non régénérables
• Mettre en place des solutions de haute disponibilité et de réplication adaptées à la volumétrie et aux besoins métiers

Il est parfois très difficile de se prémunir d’un sinistre survenant sur le(s) datacenter(s) hébergeant un socle big data. Un PRA efficace voudrait que les données soient synchronisées à une distance suffisante du/des datacenter(s) primaires. Mais dans ce cas, des considérations de latence réseau entrent en compte. C’est un sujet très complexe qui parfois nécessite des compromis.

Quelques exemples concrets

Cas domestique :

• 3 copies : documents sur le PC, sauvegarde sur disque dur externe, sauvegarde sur cloud sécurisé
• 2 supports : disque dur externe + cloud
• 1 hors site : cloud (déconnecté dès la fin de la sauvegarde) ou disque confié à une personne de confiance en dehors de son domicile
• 1 immuable/offline : disque dur déconnecté après chaque sauvegarde mensuelle (ou plus rapprochée selon son besoin)
• 0 erreur : Au minimum chaque année, restauration de quelques fichiers pour vérifier l’intégrité

Cas d’une entreprise :

• 3 copies : données de production, sauvegarde locale, sauvegarde distante
• 2 supports : SSD + bande magnétique, ou disque + cloud privé
• 1 hors site : datacenter secondaire ou cloud sécurisé
• 1 immuable/offline : snapshots immuables, bandes hors ligne, systèmes WORM
• 0 erreur : processus automatisés, tests réguliers de restauration, alertes en cas d’échec
• Volumétrie : évaluer la taille totale à sauvegarder, prévoir l’espace nécessaire
• Hiérarchisation : classifier les données critiques, secondaires, régénérables
• Temps de sauvegarde/restauration : mesurer et documenter les délais pour chaque type de données
• Surveillance & Observation : mesurer l’évolution des espaces de stockage pour anticiper les besoins et ajuster les stratégies de sauvegarde.

Points clés à retenir

• Les sauvegardes sont le socle de la politique de résilience d’une entreprise visant à poursuivre l’activité en cas de sinistre.
• Le principe 3-2-1-1-0 vise à diversifier les supports et les emplacements pour limiter les risques dans le respect des contraintes légales et/ou de souveraineté liées au domaine d’activité pour les entreprises.
• Il nécessite de bien connaître les données auxquelles elles s’appliquent.
• La stratégie de sauvegarde doit être adaptée à la volumétrie, à la criticité des données et au cycle de vie dans le contexte visé : domestique, entreprise, Big Data.

Glossaire

• NAS : Serveur de stockage en réseau, utilisé pour centraliser les sauvegardes.
• Bande magnétique : Support magnétique utilisé pour l’archivage longue durée (Cf bande LTO Linear Tape-Open — Wikipédia).
• Snapshot : Instantané d’un système à un moment donné, utile pour revenir en arrière rapidement.
• WORM : « Write Once, Read Many » ; support sur lequel les données ne peuvent pas être modifiées ou supprimées après écriture.
• Immuable : Qui ne peut pas être modifié, garantissant l’intégrité des sauvegardes.
• Synchronisation : Réplication automatique des fichiers entre plusieurs appareils ou vers le cloud, mais sans historique de versions.
• Volumétrie : Quantité totale de données à gérer (données sources + sauvegardes).
• PCA (Plan de Continuité d’Activité) : dispositif organisationnel et technique visant à maintenir les activités essentielles d’une organisation en cas de crise ou de sinistre.
• PRA (Plan de Reprise d’Activité) : ensemble de procédures permettant de restaurer les systèmes informatiques et les données après une interruption majeure afin de revenir à un fonctionnement normal.
• RPO (Recovery Point Objective) : durée maximale de perte de données acceptable, exprimée en temps entre la dernière sauvegarde exploitable et l’incident (appelée parfois PDMA : Perte de Données Maximale Admissible)
• RTO (Recovery Time Objective) : délai maximal admissible pour rétablir un système ou un service après un incident (ou DIMA : Durée d’Indisponibilité Maximale Admissible)

Références de quelques normes

• ISO/IEC 27001 : Norme internationale sur la gestion de la sécurité de l’information, recommandant la mise en place de stratégies de sauvegarde robustes. Cf Certification ISO 27001
• ANSSI : Recommande la diversification des supports et la vérification régulière des sauvegardes. Cf Guides ANSSI | MesServicesCyber