S'il est une tendance que la panne de CrowdStrike a mise en lumière, c'est que les entreprises dépendent d'un nombre croissant de systèmes interconnectés, dont chacun peut paralyser les opérations en dehors de tout contrôle des DSI. Par conséquent, la supply chain logicielle et la gestion des risques liés aux fournisseurs deviennent des sujets de plus en plus importants pour la direction générale, les organisations cherchant à réduire leur exposition aux pannes et aux problèmes de continuité d'activités des principaux fournisseurs dont elles dépendent.
L'un de ces domaines fait l'objet d'une plus grande attention aujourd'hui : la sauvegarde et la récupération des données des services SaaS, que de nombreux DSI ont jusqu'à présent considérées comme acquises, laissant à leurs fournisseurs le soin non seulement de fournir un temps de disponibilité supérieur à cinq neufs, mais aussi d'être les seules entités à sauvegarder et à récupérer les données de leurs services. Ces derniers devant, au fil des ans, de plus en plus vitaux pour les opérations basées sur les données au sein des entreprises.
« Nous avons subi les conséquences de l'absence d'un plan de reprise après sinistre solide chez OpCon, l'un de nos fournisseurs de SaaS, lors de la panne de MS Azure Central Region », explique ainsi Gary Jeter, directeur technique de la société financière TruStone Financial. « Les traitements nocturnes ont été considérablement retardés, ce qui a eu un impact important sur notre coopérative de crédit et nos membres. Cela s'est produit le même soir que l'incident CrowdStrike ».
Priorité à la sauvegarde des données du SaaS
Comme de nombreux responsables informatiques, Gary Jeter se préoccupe de plus en plus de la protection contre les incidents liés au SaaS et de leur impact potentiel sur l'activité de l'entreprise. « Bien que nous ne l'ayons pas encore mis en oeuvre, nous allons l'intégrer à nos processus de gestion et de sélection des fournisseurs. Nous prévoyons également d'étendre nos évaluations des risques pour inclure une procédure de reprise après sinistre plus complète des fournisseurs de SaaS. Nous devons déterminer les plateformes dont il nous appartient de nous assurer qu'elles disposent d'une stratégie d'atténuation adéquate. »
Le cabinet d'études Gartner prévoit que, d'ici trois ans, plus de 75 % des entreprises feront de la sauvegarde des applications SaaS et des données stockées chez les fournisseurs de SaaS une de leurs priorités, contre 15 % aujourd'hui. La demande croissante de garanties pour les sauvegardes SaaS, jugées essentielles pour la continuité des activités, fait suite à la panne CrowdStrike-Microsoft, qui a eu un impact sur les entreprises dans le monde entier cet été. Elle peut également être vue comme la conséquence de la quantité croissante de données d'entreprise stockées dans des solutions SaaS : selon Gartner, les dépenses des entreprises dans le SaaS devraient augmenter de 20% cette année et l'an prochain, pour atteindre 247,2 Md$ en 2024 et s'approcher des 300 Md$ en 2025.
Se fier aux procédures des seuls fournisseurs SaaS ?
Pour les DSI soucieux de protéger leurs données SaaS, Gartner suggère de commencer par vérifier les conditions de leurs fournisseurs, pour s'assurer que la protection et la récupération des données sont bien intégrées dans la gouvernance des opérations des fournisseurs en question. Et également de vérifier la capacité de leurs fournisseurs SaaS à récupérer les données dans tous les scénarios de panne.
« De nombreuses solutions SaaS permettent de sauvegarder les données de leurs clients, mais l'objectif premier n'est pas d'assurer la restauration de ces données à la suite de problèmes liés ou provoqués par le client. La sauvegarde du fournisseur sert à résoudre les problèmes liés à son fonctionnement propre, pas nécessairement ceux en relation avec un client », explique Michael Hoeck, analyste et directeur sénior au sein du cabinet Gartner. « Un principe général des applications SaaS réside dans le partage de la responsabilité sur les données. »
Si la société d'analyse de données Mathematica n'a pas été directement touchée par la panne de CrowdStrike, plusieurs de ses fournisseurs SaaS ont été affectés, dont un qui est un système critique pour l'activité de cette entreprise, explique son DSI Akira Bell.
Apporter une couche supplémentaire de redondance
« Nous n'avons pas commencé à faire nos propres sauvegardes en complément de ce que le fournisseur SaaS est tenu de faire, mais je dirais que c'est une option que nous considérons de plus en plus, dit Akira Bell. Lorsque je regarde nos capacités de récupération, l'un des volets qui me préoccupe de plus en plus, ce sont nos applications SaaS critiques. Dans un scénario de panne affectant notre supply chain, nos tiers peuvent être la cause d'une absence de solution de backup. Une couche supplémentaire de redondance pourrait devenir essentielle ».
L'intégration de solutions de sauvegarde as-a-service est nécessaire pour protéger les applications tournant dans le cloud et assurer la continuité opérationnelle, selon Gartner. Bien que certains fournisseurs de SaaS offrent des services de sauvegarde de base à un coût bas ou nul, les DSI explorent des moyens plus complets pour protéger leurs données dans le SaaS et s'assurer qu'ils disposent d'une méthode de reprise après sinistre opérationnelle en cas de défaillance de leurs solutions SaaS, résument les analystes du cabinet.
« Tous les SaaS n'ont pas de capacités de sauvegarde pour leur propre produit, et chez beaucoup de ceux qui en ont, ces capacités sont rudimentaires », souligne Johnny Yu, qui dirige la recherche sur les sauvegardes SaaS chez IDC. Microsoft 365, par exemple, sauvegarde nativement les données à un rythme régulier et les utilisateurs peuvent revenir sur ces sauvegardes, mais le mécanisme a des limites. « Par exemple, les utilisateurs ne peuvent pas restaurer des fichiers individuels, des courriels ou des conversations Teams », explique Johnny Yu.
« La principale conclusion est que chaque fournisseur de SaaS gère la protection des données de ses clients différemment, et qu'il n'est jamais certain que ces données soient protégées, reprend l'analyste. Les seules garanties sur lesquelles s'engagent les fournisseurs concernent généralement le taux de disponibilité et l'accessibilité de leurs logiciels. »
Vendre le backup as-a-service à la direction
Johnny Yu, d'IDC, confirme la tendance dessinée par Gartner : les entreprises clientes s'intéressent désormais à des garanties supplémentaires, en particulier celles que propose la sauvegarde as-a-service (ou BaaS pour backup as-a-service), où elles n'ont pas à acheter et gérer leur propre infrastructure de sauvegarde. La plupart des fournisseurs de protection des données vendent une version BaaS de leur produit, y compris Veeam, Commvault et Cohesity, tandis que d'autres comme Druva, Backblaze et Carbonite pourraient être considérés comme des spécialistes du BaaS.
Mais attention, pour les DSI, expliquer l'intérêt d'une telle protection ne relève pas d'évidence. Tom Barnett, DSI et Chief Digital Officer chez Baptist Memorial Health Care, à Memphis, comme d'autres responsables informatiques, est confronté à des dirigeants d'entreprise qui demandent : 'Pourquoi avons-nous besoin d'une sauvegarde si les données sont dans le cloud ?'.
« Il s'agit d'une préoccupation mais il est difficile d'obtenir un financement sur ce sujet », souligne le DSI de cet hôpital. « Il faut beaucoup d'éducation et une discussion avec la direction pour aligner le sujet avec la gestion des risques de l'entreprise, en s'appuyant sur les résultats d'audit et en les comparant aux politiques de conservation des données. Tout cela peut s'avérer fastidieux et prendre du temps. »
Partir d'une analyse des risques
Patty Patria, DSI du Babson College, qui utilise Microsoft Copilot pour des tâches administratives et des gains d'efficacité pour les étudiants, est convaincue d'avoir trouvé la bonne approche : « tout dépend de l'application SaaS et du niveau de risque lié à ce contenu, ainsi que des exigences réglementaires auxquelles l'organisation doit se conformer. La plupart des applications SaaS sont déjà sauvegardées par le fournisseur et la plupart des DSI n'effectuent pas de sauvegardes supplémentaires, mais il existe des exceptions. »
Pour mettre en perspective la dépendance d'organisations comme Babson à l'égard de Microsoft, Johnny Yu d'IDC indique que Microsoft propose, sur son service de BaaS 365 Backup, une période de conservation pouvant aller jusqu'à un an, des points de restauration aussi rapprochés que toutes les 10 minutes (au lieu de toutes les 12 heures) et une restauration granulaire du courrier, des données de contact ou de calendrier, ainsi qu'une poignée d'autres fonctionnalités pour 0,15 dollar par Go et par mois.