Une question revient sans arrêt : « Pourquoi devrais-je sauvegarder mes données Microsoft 365 Exchange Online, SharePoint Online, OneDrive for Business et Microsoft Teams ? ».
Le plus souvent suivie d’une affirmation du type : « Puisque Microsoft s’en occupe ».
Est-ce vraiment le cas ? En êtes-vous sûr ?
Par souci de clarté, nous avons créé un modèle de partage des responsabilités Microsoft 365 basé sur celui, plus général, de Microsoft pour les environnements SaaS, PaaS, IaaS et sur site. Il est conçu pour vous aider (et toute autre personne concernée par cette technologie) à cerner précisément ce qui incombe Microsoft et à l’entreprise elle-même. Après tout, ce sont vos données.
En quoi consiste le modèle de partage des responsabilités ?
Avant de commencer, une définition : le modèle de partage des responsabilités est un cadre permettant d’identifier les composants et les tâches relevant de votre responsabilité dans un environnement IT. Grâce à lui, vous savez où s’arrêtent vos obligations et où commencent celles du fournisseur de services. De cette façon, vous cernez mieux les tâches et les points d’attention auxquels vous devez consacrer votre énergie.
Comprendre les rôles et les responsabilités
En ce qui concerne les environnements cloud spécifiquement, le client et le fournisseur de cloud jouent des rôles différents. Alors que le premier sera probablement entièrement responsable de son environnement de datacenter sur site, la responsabilité de certains composants d’un environnement cloud sera partagée entre lui et le fournisseur de cloud. Vous endosserez ainsi la pleine responsabilité de certains composants, alors que vous n’aurez pas à vous préoccuper un seul instant des autres. Et parfois, la responsabilité d’un composant sera véritablement partagée.
Le rôle de Microsoft dans le modèle
En observant le modèle de près, il apparaît très clairement que les principales responsabilités de Microsoft concernant Microsoft 365 concernent l’ensemble des tâches liées à l’infrastructure principale. Microsoft donne la priorité à la résilience des services qu’il fournit pour éviter ou limiter les interruptions. Il joue donc le rôle de sous-traitant des données dans Microsoft 365.
Le rôle du client dans le modèle
Le client joue le rôle de propriétaire des données dans Microsoft 365. Tous ses efforts et ses responsabilités convergent vers la disponibilité et la protection des données.
Comment les clients peuvent-ils protéger leurs données et applications ? Le seul moyen de s’assurer la disponibilité des données consiste à disposer d’une sauvegarde stockée ailleurs que dans le cloud Microsoft, pour pouvoir la restaurer facilement à tout instant, en respectant un objectif de temps de restauration acceptable.
Au fil de cet article, nous allons construire ce modèle de partage des responsabilités. Dans la moitié supérieure, vous verrez la responsabilité de Microsoft. Ces informations ont été compilées à partir de la documentation Microsoft, au cas où vous voudriez vous y reporter.
Dans la moitié inférieure, nous allons indiquer la responsabilité qui incombe à l’entreprise ou, plus précisément, au service informatique.
Composants clés du modèle de partage des responsabilités
- Responsabilité principale
- Technologie sous-jacente
- Sécurité
- Réglementation
Responsabilité principale
Maintenant, intéressons-nous spécifiquement à la principale responsabilité de chaque groupe. Celle de Microsoft concerne SON infrastructure mondiale et son engagement vis-à-vis de millions de clients à maintenir cette infrastructure opérationnelle, en garantissant systématiquement la disponibilité de son service cloud et en permettant aux utilisateurs du monde entier d’être productifs.
Il incombe au service informatique de disposer d’un accès et d’un contrôle complets des données, quel que soit leur emplacement. Cette responsabilité ne disparaît pas par magie, simplement parce que l’entreprise a pris la décision d’utiliser une application SaaS.
Technologie sous-jacente
Observez ici la technologie sous-jacente conçue pour aider chaque groupe à assumer cette responsabilité principale. Microsoft 365 intègre une réplication des données qui permet la géo-redondance entre les datacenters. Cette fonctionnalité est une nécessité. En cas de problème dans l’un de ses datacenters à travers le monde, Microsoft peut opérer un basculement vers la destination de réplication, généralement de façon totalement transparente pour les utilisateurs.
Mais la réplication n’est pas une sauvegarde. Et de plus, ce réplica n’est même pas le VÔTRE. C’est celui de Microsoft. Pour creuser un peu, posez-vous une minute cette question hypothétique :
Qu’est-ce qui vous protège entièrement : une sauvegarde ou un réplica ?
Certains pourraient répondre un réplica, parce que la réplication des données en continu ou en quasi continu vers un deuxième site permet d’éliminer les temps d’arrêt des applications. Mais d’autres savent qu’une stratégie de protection des données basée uniquement sur la réplication n’est pas exempte de problèmes. Par exemple, les données supprimées ou altérées sont répliquées en même temps que les « bonnes » données, ce qui signifie que parmi les données répliquées figurent également celles supprimées ou altérées.
Pour être totalement protégé, vous avez besoin à la fois d’une sauvegarde et d’un réplica. Ce principe fondamental sous-tend la stratégie de protection des données de Veeam depuis plus de 10 ans. Ne cherchez plus : Veeam Backup & Replication, notre produit phare, répond à ces besoins.
« Et pourquoi pas exploiter la Corbeille de Microsoft 365 ? ». C’est vrai, cette Corbeille propose plusieurs options pouvant permettre une restauration limitée et à court terme des données perdues. Mais si vous visez une maîtrise totale de vos données, cette restauration « limitée » ne remplit pas vos conditions. Un accès et un contrôle complets de vos données stratégiques exigent une rétention complète de celles-ci, c’est-à-dire une rétention à court terme et à long terme, et la capacité de combler toutes les lacunes de la stratégie de rétention. De plus, vous devez pouvoir compter à la fois sur des options de restauration granulaire, en masse et à un instant précis.
Sécurité
La partie suivante du modèle de partage des responsabilités Microsoft 365 concerne la sécurité. Vous allez constater que cet aspect est stratégiquement conçu comme une boîte mixte et non comme des boîtes séparées, parce que Microsoft ET le service informatique sont tous deux responsables de la sécurité.
Microsoft protège Microsoft 365 au niveau de l’infrastructure. Cela comprend la sécurité physique de ses datacenters et l’authentification et l’identification dans ses services cloud, ainsi que les contrôles des utilisateurs et des administrateurs intégrés dans l’interface utilisateur de Microsoft 365.
Le service informatique est responsable de la sécurité au niveau des données. La liste des risques de sécurité internes et externes est longue : suppressions accidentelles, administrateurs malveillants abusant de leurs accès, ransomwares, etc. pour n’en citer que quelques-uns. Regardez cette vidéo de cinq minutes pour découvrir comment les ransomwares peuvent cibler Microsoft 365. Il y a de quoi faire des cauchemars.
Réglementation
Les derniers composants sont les obligations légales et les exigences de conformité. Sur la page de son Centre de gestion de la confidentialité, Microsoft indique très clairement jouer le rôle de sous-traitant des données. L’accent est donc mis sur la confidentialité de celles-ci, comme en atteste la longue liste de certifications du secteur publiée sur le site Web. Même si vos données résident dans Microsoft 365, le service informatique joue toujours le rôle de propriétaire des données. Et cette responsabilité s’accompagne de tous types de pressions externes exercées par votre secteur, ainsi que d’exigences de conformité de la part des autres services (juridique, conformité ou ressources humaines).
Exemples et scénarios
Qu’arrive-t-il si vous vous reposez sur Microsoft pour une responsabilité qui vous incombe en réalité ? Microsoft offre des filets de sécurité en cas d’incident de perte de données (suppression accidentelle ou attaque par ransomware, par exemple). Toutefois, ils répondent à des besoins de perte de données à court terme, comme la Corbeille, ou simplement de conformité, comme les stratégies de rétention qui sont principalement des outils de conformité. Si vous choisissez de vous reposer sur Microsoft pour récupérer vos données perdues, vous n’avez en réalité aucune garantie quant à leur restitution ni quant au moment où elle sera possible. C’est pourquoi le rôle de propriétaire des données est si important : lorsque vous maîtrisez les données, vous avez le pouvoir de les restaurer quand bon vous semble.
Avantages et défis
Le modèle de partage des responsabilités offre aux entreprises l’avantage de connaître exactement les obligations et les tâches dont la responsabilité leur incombe réellement, ainsi qu’à leur service informatique. Le risque encouru est de ne pas attacher suffisamment d’importance à vos responsabilités. Bien que connaissant leurs responsabilités vis-à-vis des données Microsoft 365 dans le cadre de ce modèle, les entreprises sont encore nombreuses à être tentées de se convaincre elles-mêmes de les minimiser par rapport à la réalité.
Meilleures pratiques de mise en œuvre du modèle
La première étape pour mettre en œuvre efficacement le modèle de partage des responsabilités en tant que propriétaire des données Microsoft 365 consiste à s’assurer de leur protection. Cela passe par des bonnes pratiques comme la règle du 3-2-1-1-0 qui consiste à disposer de trois copies des données sur deux supports différents, dont l’une est stockée hors site et une autre physiquement isolée, en s’assurant zéro erreur de sauvegarde. Parvenir à ce résultat exige plus qu’une simple solution de sauvegarde : vous devez pouvoir personnaliser votre sauvegarde et bénéficier d’une restauration flexible et de puissantes fonctionnalités de recherche, qui sont des atouts indispensables à votre activité.
La réponse de Veeam
En conclusion, vous devriez maintenant mieux comprendre ce que Microsoft protège exactement au sein de Microsoft 365 et pourquoi. Si vous ne sauvegardez pas Microsoft 365, vous disposez d’un accès et d’un contrôle limités de vos propres données. Vous pouvez être victime des lacunes de votre stratégie de rétention et de pertes de données. Vous vous exposez également à de sérieux risques de sécurité internes et externes, ainsi qu’à des sanctions réglementaires. Malgré l’essor des solutions tierces de sauvegarde Microsoft 365, une enquête révèle un chiffre surprenant : 71 % des entreprises ne sont toujours pas protégées1.
Tout cela peut être facilement résolu par une sauvegarde de vos propres données, stockée dans le lieu de votre choix, pour que vous puissiez facilement restaurer exactement ce que vous voulez, quand vous le voulez.
Vous cherchez une solution de sauvegarde Microsoft 365 simple et conviviale ?
Vous l’avez trouvée : Veeam Backupfor Microsoft 365. Cette solution protège déjà 13 millions d’utilisateurs de Microsoft 365 à travers le monde. Classée parmi les 100 meilleures entreprises de cloud par Forbes, Veeam est certifiée Gold Microsoft Partner. Essayez Veeam et voyez par vous-même.
Pas encore convaincu ? Un blog vous explique pourquoi il est essentiel de sauvegarder les données Microsoft 365.
Sources :
¹ Segment Sentiment Research 2021, Veeam
Contenus associés
- Article : Guide de la solution de sauvegarde nº 1 pour Microsoft 365
- Rapport spécial de Veeam : 7 raisons cruciales de sauvegarder Microsoft 365
- Article : 45 options de restauration de Microsoft 365 avec Veeam
- GRATUIT pendant 30 jours : Veeam Backup for Microsoft 365
Community Edition : Veeam Backup for Microsoft 365 Community Edition