Les sauvegardes ne valent que si elles peuvent être restaurées. C'est une banalité que beaucoup d'éditeurs oublient, parce que faire une sauvegarde, c'est facile. La restaurer, ça l'est beaucoup moins. Et le jour où vous en avez besoin (incendie, ransomware, erreur humaine massive), c'est trop tard pour découvrir que ça ne marche pas.
Une sauvegarde non testée n'est pas une sauvegarde, c'est un espoir. Demandez à votre éditeur la date de son dernier test de restauration en conditions réelles.
01.Pourquoi c'est critique pour un MJPM
Vous gérez en moyenne 50 à 200 mesures de protection. Chaque mesure contient des années d'historique : courriers, comptes-rendus de gestion, relevés bancaires, jugements, factures, ordonnances médicales. La perte de ces données, ce n'est pas un inconvénient : c'est une impossibilité matérielle de continuer votre métier, et un risque juridique direct vis-à-vis du juge et des familles.
Si l'éditeur perd vos données, c'est vous qui devrez expliquer à 200 familles, à 5 juges des tutelles, et à la CNIL, ce qui s'est passé.
02.RPO et RTO : les deux chiffres à exiger
Toute discussion sérieuse de sauvegarde tourne autour de deux indicateurs :
RPO — Recovery Point Objective
« Combien de données puis-je accepter de perdre ? » C'est la fenêtre maximale entre deux sauvegardes utilisables.
- Bon niveau MJPM : 1 heure (sauvegardes incrémentales)
- Acceptable : 24 heures
- Insuffisant : > 48h
RTO — Recovery Time Objective
« Combien de temps pour revenir en ligne ? » C'est la durée d'indisponibilité maximale en cas d'incident majeur.
- Bon niveau MJPM : 4 heures
- Acceptable : 24 heures
- Insuffisant : > 48h sans communication
Un éditeur qui ne sait pas vous donner ces deux chiffres, ou qui répond "ça dépend", n'a probablement pas de plan formel. Demandez les valeurs écrites dans le contrat ou la SLA.
03.La règle 3-2-1
C'est le standard du secteur, simple à retenir et à vérifier :
| Règle | Ce que ça veut dire | Pourquoi |
|---|---|---|
| 3 copies | L'original + 2 sauvegardes | Une seule copie de secours, c'est trop fragile |
| 2 supports différents | Disque + bande, ou disque chaud + cloud froid | Un même type de support peut faillir simultanément |
| 1 site distant | Au moins une copie dans un autre datacenter ou région | Un incendie / inondation / cyberattaque locale ne touche qu'un site |
04.Le test de restauration : la preuve par 9
C'est le point qui distingue un éditeur sérieux d'un éditeur qui croit faire des sauvegardes. Demandez :
- Quelle est la fréquence des tests de restauration en conditions réelles ? (idéalement trimestrielle, minimum semestrielle)
- Le test inclut-il une restauration complète sur un environnement isolé, avec vérification de l'intégrité des données ?
- Quelle est la date du dernier test réussi ? Si l'éditeur ne sait pas, mauvais signe.
- Existe-t-il un PCA / PRA documenté ? (Plan de Continuité d'Activité / Plan de Reprise d'Activité)
Une sauvegarde non testée n'est pas une sauvegarde, c'est un espoir.
L'éditeur dit "on a tout automatisé, ça marche". Sans date du dernier test, sans procédure documentée, sans valeurs RPO/RTO chiffrées dans le contrat. C'est typiquement la situation où, le jour de l'incident, on découvre que les sauvegardes des 3 derniers mois sont corrompues.
Et concrètement ?
Trois éléments à obtenir par écrit de votre éditeur (idéalement dans la SLA contractuelle) :
- Valeurs RPO et RTO chiffrées
- Application de la règle 3-2-1 avec localisation des copies
- Fréquence des tests de restauration et engagement à fournir le dernier rapport sur demande
Si l'éditeur publie ces informations sur sa page sécurité publique, vous savez qu'il a réfléchi au sujet. Si vous devez tirer les vers du nez, c'est moins bon signe.
Sauvegardes testées tous les trimestres
Aidalys applique la règle 3-2-1, RPO 1 heure, RTO 4 heures, tests de restauration trimestriels avec rapport disponible sur demande.
Voir la page sécurité d'Aidalys ↗