Pour le technicien qui intervient.
Un snapshot non teste n'est pas un snapshot, c'est une croyance. Vérifier chaque mois qu'une restauration au point-in-time fonctionne reellement, sur un volume choisi au hasard. Documenter la date, le volume restaure et le temps mis. ISO 27001 A.12.3 et le guide d'hygiene ANSSI mesure 39 imposent cette pratique.
Le RGPD art. 32 impose la confidentialite des données personnelles, y compris au repos. Activer le chiffrement at-rest (SED, LUKS, BitLocker pour volume Hyper-V, encryption native NetApp / EMC / Synology). En cas de vol ou de mise au rebut d'un disque, le chiffrement permet d'eviter une notification CNIL sous 72h.
Les attaques par ransomware ciblent en priorite les sauvegardes connectees. Activer les snapshots immuables (NetApp SnapLock, Pure SafeMode, Synology immutable shares) ou un repository immutable pour Veeam / Rubrik. Un attaquant disposant des credentials admin ne doit pas pouvoir effacer ou modifier les snapshots.
Un disque en fin de vie contient encore les données, meme apres formatage. La mise au rebut sans destruction physique est une violation RGPD potentielle. Faire appel a un prestataire certifie NF Z40-350 pour la destruction et conserver le certificat 5 ans. Pour les disques chiffres SED dont la clé est detruite, un effacement logique peut suffire.
Les disques durs et SSD ont une fin de vie statistique connue : disques durs 3 a 5 ans en usage 24/7, SSD entre 3 et 7 ans selon le nombre d'ecritures. Activer la surveillance SMART et l'alerte sur secteur defectueux. Remplacer les disques avant defaillance, en respectant la rotation des grappes pour eviter des pannes simultanees.
Sans politique claire, les snapshots s'accumulent et saturent l'espace, ou disparaissent au mauvais moment. Documenter pour chaque volume : fréquence (toutes les heures, journalier), retention (7 quotidiens, 4 hebdomadaires, 12 mensuels par exemple), trigger automatique. Reviewer la politique annuellement.
Pour le responsable / gestionnaire.
Le RGPD art. 32 impose la confidentialite des données personnelles, y compris au repos. Activer le chiffrement at-rest (SED, LUKS, BitLocker pour volume Hyper-V, encryption native NetApp / EMC / Synology). En cas de vol ou de mise au rebut d'un disque, le chiffrement permet d'eviter une notification CNIL sous 72h.
Les attaques par ransomware ciblent en priorite les sauvegardes connectees. Activer les snapshots immuables (NetApp SnapLock, Pure SafeMode, Synology immutable shares) ou un repository immutable pour Veeam / Rubrik. Un attaquant disposant des credentials admin ne doit pas pouvoir effacer ou modifier les snapshots.
Un disque en fin de vie contient encore les données, meme apres formatage. La mise au rebut sans destruction physique est une violation RGPD potentielle. Faire appel a un prestataire certifie NF Z40-350 pour la destruction et conserver le certificat 5 ans. Pour les disques chiffres SED dont la clé est detruite, un effacement logique peut suffire.