Dans l'environnement de travail dynamique d'aujourd'hui, les entreprises doivent pouvoir accéder facilement aux données depuis n'importe quel terminal pour garantir la fluidité des opérations et une productivité ininterrompue. Comme les sociétés passent de plus en plus par le cloud pour leurs opérations, il est plus important que jamais de pouvoir garantir un accès fiable et sûr aux données. Microsoft 365 (M365) est une puissante suite d'applications cloud de collaboration et de productivité qui compte quelque 345 millions d'utilisateurs payants dans le monde.
Microsoft offre des fonctions de sauvegarde très limitées pour les données M365 avec une période de rétention très courte pour certaines ressources telles que les e-mails. Le service proposé n'inclut pas la restauration granulaire ni les objectifs de point de restauration plus longs exigés par la plupart des entreprises. Dans le cas d'une attaque de ransomware, par exemple, Microsoft peut effectuer une restauration en masse de votre boîte aux lettres jusqu'à deux semaines avant l'incident, mais vous perdrez tout le travail effectué entre-temps et vous ne pourrez pas restaurer des ressources individuelles supprimées accidentellement.
Il est donc impératif que les entreprises pensent à implémenter un outil de sauvegarde tiers pour renforcer la protection des données M365 et sauvegarder celles-ci dans des emplacements hors site sécurisés. En fait, c'est précisément ce que préconise Microsoft. Pour reprendre les termes de son accord de niveau de service M365 standard : « Nous mettons tout en œuvre pour assurer la disponibilité permanente des Services. Toutefois, aucun service en ligne n'est à l'abri d'interruptions et de pannes, et Microsoft n'est en aucun cas responsable des perturbations ou éventuelles pertes occasionnées. En cas de panne, vous risquez de ne pas pouvoir récupérer Votre Contenu ou Vos Données que vous stockez. Nous vous recommandons de sauvegarder régulièrement Votre Contenu et Vos Données que vous stockez sur les Services ou que vous stockez en utilisant des Applications et Services Tiers. »
Quand Microsoft vous recommande de « protéger vos propres données car ce n'est pas de son ressort » et que vous décidez d'utiliser une solution de sauvegarde tierce pour M365, il n'est pas seulement question de respecter sa consigne. En effet, de telles solutions vous offrent d'autres avantages non négligeables, par exemple une sécurité des données renforcée, une restauration de données simplifiée, mais aussi un contrôle accru sur les sauvegardes de données et la conformité réglementaire.
Cet article décrit les limitations de M365, l'importance des services de sauvegarde tiers pour M365 et les bonnes pratiques à suivre pour choisir un fournisseur de services de sauvegarde tiers.
Microsoft 365 en bref
Microsoft 365 est un service d'abonnement cloud qui inclut une suite d'outils de productivité, dont Word, Excel, PowerPoint, OneNote, Outlook, Teams et bien d'autres encore. La suite propose aussi des outils de collaboration, dont Exchange Online (une application de messagerie), OneDrive Entreprise (une application de stockage de fichiers dans le cloud), SharePoint Online et un accès aux versions en ligne des applications Office.
Les outils M365 offrent un accès au stockage dans le cloud et facilitent la communication ainsi que la gestion de la messagerie et des calendriers. Plusieurs utilisateurs peuvent collaborer facilement et simultanément sur des documents, des feuilles de calcul et des présentations. Toutefois, comme tous les outils M365 partagent des données, la sauvegarde, la sécurité et la récupération de ces données sont essentielles.
Vos données, votre responsabilité
Les fonctionnalités de sauvegarde de données de Microsoft 365 sont limitées. Microsoft 365 adopte un modèle de responsabilité partagée, fondé sur le principe que chaque partie d'une relation est partiellement responsable de la réussite de cette relation. Cela suppose donc que Microsoft et ses clients ont chacun un rôle à jouer dans la disponibilité et la sécurité des données.
Si Microsoft est reconnu pour la disponibilité élevée de l'infrastructure physique sur laquelle s'exécute M365, en revanche, la protection des données n'est pas incluse dans la licence M365 standard, et exige une configuration supplémentaire compliquée. La documentation Microsoft stipule aussi que l'intégrité et la rétention des données relèvent de la responsabilité des utilisateurs. Fondamentalement, Microsoft est responsable de l'infrastructure cloud sous-jacente et les utilisateurs de la sécurité de leurs données Microsoft 365.
Quel est le niveau de protection des données M365 ?
La fonctionnalité de sauvegarde intégrée de M365 présente les limitations suivantes dont les utilisateurs doivent être conscients.
Protection inadéquate contre les erreurs humaines
La suppression accidentelle de fichiers est la cause la plus courante de pertes de données après les ransomwares. Si vous découvrez qu'un fichier a été accidentellement supprimé après les délais de restauration spécifiés ci-dessous, les données sont définitivement perdues.
Sanctions réglementaires
Par défaut, SharePoint Online conserve les éléments supprimés pendant 93 jours. Pendant ce temps, les fichiers supprimés peuvent être restaurés à l'aide de la Corbeille ou via le Centre d'administration de SharePoint Online. Au terme de la période de rétention de 93 jours, les fichiers supprimés sont déplacés vers la Corbeille secondaire de SharePoint Online, où ils sont conservés pendant 7 jours supplémentaires. Si le fichier n'est pas restauré pendant cette période, il est définitivement supprimé et ne peut pas être récupéré. Toutefois, certaines réglementations exigent des entreprises qu'elles conservent des données spécifiques pendant plusieurs années.
Limitations de M365 en matière de conformité réglementaire
Microsoft 365 intègre et partage des données avec de nombreux services tiers, ce qui peut contrevenir aux dispositions de certaines réglementations. Par exemple, le RGPD régit la protection des données des personnes, et les transferts de ces données en dehors de l'Union européenne/l'Espace économique européen doivent respecter les dispositions du règlement. Le Royaume-Uni possède également sa propre version du RGPD. Même si Microsoft propose des mécanismes de transfert de données tels que les clauses contractuelles types pour faciliter et réglementer les transferts, ceux-ci manquent apparemment de transparence.
Le RGPD et sa version britannique stipulent également que les personnes concernées ont le droit de consulter, de corriger et de supprimer leurs données à caractère personnel. Microsoft propose certains outils tels que le Centre de conformité Microsoft 365 pour aider les organisations à traiter les demandes de données, mais ces outils sont difficiles à utiliser.
Microsoft stocke les données M365 dans des centres de données disséminés partout dans le monde. Mais certaines réglementations de confidentialité des données des consommateurs exigent que les organisations conservent ces données dans des emplacements précis. Ainsi, conformément au RGPD, les données des résidents de l'UE doivent être conservées au sein de l'Union européenne. Dès lors, les données M365 des organisations européennes stockées aux États-Unis sont en infraction avec le RGPD. En revanche, selon la loi CLOUD (Clarifying Lawful Overseas Use of Data) adoptée par les États-Unis, les agences de renseignement américaines doivent avoir accès aux données stockées par les entreprises basées aux États-Unis. Par conséquent, Microsoft doit légalement conserver ses données utilisateurs dans des centres de données cloud aux États-Unis.
Les réglementations sont donc parfois en conflit. Si l'on ajoute à cela le manque de transparence des modalités de collecte et de stockage des données de Microsoft, l'utilisation de M365 peut potentiellement exposer les organisations à des sanctions et porter préjudice à leur réputation. En 2022, l'Allemagne a purement et simplement interdit l'utilisation de Microsoft dans les écoles en raison de certaines craintes quant à l'accès aux données par des tiers.
Avantages de l'utilisation de services de sauvegarde tiers pour M365
Comme nous l'avons mentionné précédemment, Microsoft encourage ses clients à utiliser une solution de sauvegarde tierce pour leurs données. C'est en soi une raison suffisante pour le faire.
La fonctionnalité de synchronisation de OneDrive est également différente d'une sauvegarde. Dans le cas du stockage OneDrive, toute manipulation des données locales est répliquée dans la copie synchronisée. Par conséquent, si les données locales sont corrompues, la copie synchronisée l'est également. Cela peut s'avérer catastrophique pour les grandes organisations complexes. Mais il existe aussi d'autres avantages à utiliser des services de sauvegarde tiers.
Emplacements hors site
Les services de sauvegarde tiers conservent vos données dans un emplacement hors site et offrent une restauration de données granulaire qui est plus rapide et plus simple que la stratégie de restauration de données désorganisée de Microsoft 365. Les solutions de sauvegarde tierces sont faciles à utiliser et à gérer, et possèdent des interfaces intuitives qui permettent d'accéder rapidement aux données.
Délais de restauration plus courts
En cas de perte de données, les services de sauvegarde tiers garantissent des délais de restauration plus courts que les outils de sauvegarde intégrés de Microsoft, un avantage crucial pour minimiser l'interruption d'activité et assurer la continuité des activités. Par ailleurs, l'évolutivité des solutions leur permet d'accompagner la croissance de votre entreprise et de gérer des volumes plus importants de données.
Flexibilité accrue
Faire appel à un autre fournisseur que Microsoft vous offre des périodes de sauvegarde et de restauration plus flexibles. Ces services possèdent en outre des fonctionnalités de sécurité des données supplémentaires, par exemple le chiffrement et l'authentification multifacteur, ce qui en fait des solutions idéales pour des secteurs très réglementés tels que la santé et la finance.
Bonnes pratiques pour choisir un service de sauvegarde tiers
Voici quelques bonnes pratiques à suivre pour choisir un service de sauvegarde tiers pour vos données M365. Prenez tout particulièrement en compte les facteurs suivants.
Fonctionnalités
Identifiez vos besoins en matière de sauvegarde. Vérifiez que le fournisseur offre des fonctionnalités de restauration de données adaptées à vos besoins et que la solution est rapide et simple à déployer et à utiliser. Assurez-vous qu'il propose des sauvegardes automatisées, des fonctionnalités de chiffrement, une restauration granulaire et à une date donnée, et qu'il prend en charge la sauvegarde de différents types de données, dont les e-mails, les fichiers et SharePoint. Le service doit aussi respecter la règle 3-2-1 en ce qui concerne la diversité de supports et emplacements de sauvegarde.
Fiabilité et réputation du fournisseur
Consultez les évaluations et commentaires d'autres clients et vérifiez que le fournisseur est en activité depuis un moment et qu'il possède une certaine expérience de Microsoft 365. Assurez-vous aussi qu'il utilise des technologies nouvelle génération, par exemple le chiffrement des données guidé par l'apprentissage automatique (qui limite l'accès aux sauvegardes de données en transit et dans le cloud) ou une technologie de protection contre les ransomwares reposant sur l'IA pour détecter et neutraliser les attaques de ransomware.
Support client et accords de niveau de service (SLA)
Le fournisseur de services de sauvegarde doit offrir un support 24 h/24 et 7 j/7, des délais de réponse rapides et proposer plusieurs canaux pour contacter le service d'assistance, par exemple par téléphone, e-mail et chat. Son service doit être régi par un SLA qui établit, entre autres, les délais de réponse et la qualité de service attendue.
Obligations réglementaires et de conformité
Assurez-vous que le fournisseur satisfait aux exigences de conformité requises. Si vous traitez des données sensibles, le fournisseur doit respecter les normes de conformité en vigueur dans votre secteur, par exemple la loi HIPAA dans le secteur de la santé. Si vous êtes concerné, il lui faudra également respecter les réglementations publiques en matière de confidentialité des données, par exemple le RGPD dans l'Union européenne et la loi CCPA en Californie. En outre, votre fournisseur doit apporter la preuve de sa conformité et démontrer que son approche s'appuie sur des cadres de cybersécurité de bout en bout tels que le NIST Cybersecurity Framework (CSF), les contrôles CIS ou la norme ISO 27001.
Tarifs
Enfin, vous devez prendre en considération les tarifs proposés. Choisissez une solution de sauvegarde qui offre des tarifs transparents, sans frais cachés, et qui soit adaptée à votre budget.
Conclusion
Les services de sauvegarde tiers sont essentiels pour préserver l'intégrité et l'accessibilité des données M365, dès lors qu'ils offrent un niveau supplémentaire de protection et pallient le manque de fonctionnalités dans la protection offerte par Microsoft pour M365.
Acronis est un fournisseur de services de sauvegarde dont la réputation n'est plus à faire et qui respecte toutes les bonnes pratiques susmentionnées. Il vous permet de sauvegarder tout votre environnement Microsoft 365, y compris les e-mails, les contacts, les calendriers, les fichiers OneDrive, les sites SharePoint et les données Teams, dans un emplacement hors site fiable et sécurisé.
Acronis Cyber Protect propose également une restauration granulaire, le contrôle de versions et l'archivage. Renseignez-vous sur les services proposés et essayez-les dès aujourd'hui.
