[NOUVEAU] WP Media Cleanup supprime les images inutilisées cachées dans votre bibliothèque multimédia
Joella Dunn
Joella Dunn
John Turner
John Turner
La façon dont vous gérez vos données de sauvegarde est tout aussi importante que le fait d'avoir des sauvegardes en premier lieu.
Vos fichiers de sauvegarde sont des copies de toutes vos données réelles, ce qui signifie qu'ils sont soumis aux mêmes lois sur la protection de la vie privée, aux mêmes réglementations en matière de sécurité et aux mêmes normes industrielles.
Dans cet article de blog, je vais vous présenter tout ce que vous devez savoir sur la conformité des sauvegardes.
Vous apprendrez :
La conformité des sauvegardes signifie que votre stratégie de sauvegarde respecte toutes les règles légales et sectorielles qui s'appliquent à vos données.
Lorsque vous créez une sauvegarde, vous faites une copie exacte des données de votre site en ligne. Si votre site contient des informations personnelles, des dossiers financiers ou des données de santé, vos sauvegardes contiendront ces mêmes informations sensibles.
La loi ne se préoccupe pas de savoir si les données sont "en direct" ou "sauvegardées". Les données sensibles sont des données sensibles, quel que soit l'endroit où elles se trouvent.
Cela signifie que vos sauvegardes doivent respecter les mêmes lois sur la protection de la vie privée, les mêmes normes de sécurité et les mêmes réglementations industrielles que votre site web principal. Vous ne pouvez pas vous contenter de déverser des fichiers de sauvegarde n'importe où et de considérer que c'est fait.
La conformité des sauvegardes couvre l'ensemble du cycle de vie de vos données de sauvegarde. Du moment où vous créez un fichier de sauvegarde jusqu'au jour où vous le supprimez définitivement, chaque étape doit respecter les règles.
Il s'agit notamment de
La conformité des sauvegardes est un ensemble d'exigences qui se conjuguent pour protéger vos données et vous permettre de rester en conformité avec la loi. Comprendre ces aspects clés vous aidera à élaborer une stratégie de sauvegarde qui couvre toutes les bases.
Votre stratégie de sauvegarde doit respecter les lois en vigueur dans le pays où se trouvent vos utilisateurs, et pas seulement dans celui où se trouve votre entreprise.
Si vous avez des visiteurs européens, le GDPR s'applique à vos sauvegardes. Des clients californiens ? Les règles du CCPA s'appliquent. La localisation de vos utilisateurs détermine les réglementations que vous devez suivre.
Ne vous inquiétez pas, j'expliquerai ces exigences légales en détail plus loin dans ce tutoriel.
Deux éléments sont essentiels : le cryptage et les contrôles d'accès.
Vos données de sauvegarde doivent être cryptées à la fois lorsqu'elles sont transportées vers le lieu de stockage (en transit) et lorsqu'elles sont stockées (au repos). Sans cryptage, vos fichiers de sauvegarde sont lisibles par quiconque y accède.
Les contrôles d'accès consistent à suivre le principe du moindre privilège. Seules les personnes qui ont absolument besoin d'accéder aux fichiers de sauvegarde doivent pouvoir le faire. Toutes les autres personnes doivent en être exclues.
Vous devez conserver les sauvegardes suffisamment longtemps pour répondre aux besoins de votre entreprise. Toutefois, vous devez également les supprimer à terme afin de respecter les droits de la protection de la vie privée.
Une politique de conservation formelle n'est pas facultative. Vous avez besoin de règles écrites qui précisent exactement la durée de conservation des différents types de sauvegardes et le moment où elles sont supprimées.
L'objectif de temps de récupération (RTO) est la rapidité avec laquelle vous devez vous remettre en ligne après un sinistre. L'objectif de point de récupération (RPO) est le niveau de perte de données que vous pouvez accepter.
Ces deux chiffres ont une incidence sur votre conformité, car ils déterminent la rapidité avec laquelle vous pouvez rétablir les services et la quantité de données clients susceptibles d'être menacées pendant une panne.
Vous devez régulièrement tester vos sauvegardes en les restaurant. Cela prouve que votre système de sauvegarde fonctionne et que vous pouvez respecter vos engagements en matière de RTO et de RPO.
Documentez chaque test. En cas d'audit, vous devrez prouver que votre système de sauvegarde fonctionne réellement comme prévu.
Tout doit être documenté. Vos politiques de sauvegarde, les résultats des tests, les calendriers de conservation, les mesures de sécurité, toutdoit être documenté .
Si les auditeurs vous appellent, ils voudront voir la preuve que vous respectez effectivement les règles, et non pas seulement que vous prétendez le faire.
L'utilisation d'un fournisseur de services en nuage ne vous rend pas automatiquement conforme. Vous êtes toujours responsable de tout configurer correctement.
Cela signifie qu'il faut mettre en place un système de cryptage, choisir les bonnes options de résidence des données et sélectionner un fournisseur disposant des certifications de sécurité appropriées pour votre secteur d'activité.
Le fournisseur de services en nuage s'occupe de l'infrastructure, mais la responsabilité de la conformité vous incombe toujours.
Les règles diffèrent d'une réglementation à l'autre, mais elles ont toutes une incidence sur la manière dont vous traitez les données de sauvegarde. Voici les principales règles que vous devez connaître pour votre entreprise :
Le règlement général sur la protection des données (RGPD) est la loi européenne la plus complète en matière de protection de la vie privée. Il s'applique à toute entreprise qui traite des données personnelles de résidents de l'UE, quel que soit le lieu d'implantation de votre entreprise.
Deux éléments sont particulièrement importants pour vos sauvegardes : le "droit à l'effacement" (également appelé "droit à l'oubli") et les exigences en matière de résidence des données.
Lorsqu'une personne vous demande de supprimer ses données personnelles, vous ne pouvez pas vous contenter d'effacer ses données de votre site web et de considérer que c'est terminé. Vous devez également disposer d'une procédure documentée pour le traitement de leurs données personnelles dans tous vos fichiers de sauvegarde.
Vous avez besoin d'une politique de conservation raisonnable qui supprime automatiquement les anciennes sauvegardes contenant leurs données dans un délai spécifique. Vous ne pouvez pas conserver indéfiniment des données personnelles dans des sauvegardes simplement parce que c'est pratique.
L'autre partie, la résidence des données, devient délicate avec les sauvegardes.
Le GDPR exige généralement que les données personnelles de l'UE restent au sein de l'UE ou dans des pays dont la Commission européenne a estimé qu'ils offrent une protection adéquate des données. Cela signifie que vous devez savoir exactement où vos fichiers de sauvegarde sont physiquement stockés et vous assurer que ces emplacements répondent aux exigences du GDPR.
Le California Consumer Privacy Act (CCPA) et son successeur, le California Privacy Rights Act (CPRA), confèrent aux résidents de Californie des droits spécifiques sur leurs informations personnelles. Ces lois s'appliquent si vous recueillez des informations personnelles auprès de résidents de Californie.
Tout comme le GDPR, cela affecte votre politique de conservation des sauvegardes. Lorsqu'une personne demande à être supprimée, vous devez disposer d'une procédure claire pour traiter sa demande pour l'ensemble de vos données stockées, y compris les sauvegardes.
La CCPA autorise les entreprises à conserver des informations personnelles dans des copies de sauvegarde pour des "usages internes raisonnablement alignés sur les attentes des consommateurs". Toutefois, il est nécessaire d'établir des règles claires concernant la durée de conservation des données de sauvegarde et le moment où elles sont définitivement supprimées.
L'ACPR a introduit le concept d'"informations personnelles sensibles", qui comprend les données de géolocalisation précises, l'origine raciale ou ethnique, les croyances religieuses et les identifiants biométriques.
Ces données sont soumises à des exigences de traitement plus strictes qui s'étendent au stockage de sauvegarde. Les mesures de sécurité doivent être renforcées pour les fichiers de sauvegarde contenant des informations personnelles sensibles, et les consommateurs disposent de droits supplémentaires pour limiter l'utilisation de ces données.
Le Health Insurance Portability and Accountability Act (HIPAA) protège les informations relatives à la santé aux États-Unis. Si votre site web traite des informations de santé protégées (PHI) telles que des dossiers de patients, des informations relatives à l'assurance maladie ou même des données de base liées à la santé, la conformité à la loi HIPAA est obligatoire.
Les exigences de l'HIPAA en matière de sauvegarde sont particulièrement strictes. Toutes les informations personnelles contenues dans les fichiers de sauvegarde doivent être cryptées à l'aide d'un cryptage validé par la norme FIPS 140-2. Vous devez également mettre en place un système de journalisation pour savoir qui accède aux données de sauvegarde et quand.
Des accords d'association commerciale (Business Associate Agreements - BAA) sont nécessaires avec tout fournisseur tiers susceptible d'avoir accès à vos données de sauvegarde. Cela inclut votre fournisseur de stockage en nuage, votre fournisseur de services de sauvegarde et même votre hébergeur s'il est susceptible d'accéder à vos fichiers de sauvegarde.
Le règlement exige également des procédures spécifiques de conservation et d'élimination des données. Vous devez disposer de politiques documentées concernant la durée de conservation des données de sauvegarde contenant des PHI et de procédures de suppression sécurisées.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) s'applique si vous stockez, traitez ou transmettez des informations relatives aux cartes de crédit. Même si vous utilisez une société de traitement des paiements, les exigences de la norme PCI DSS s'étendent souvent aux données de sauvegarde susceptibles de contenir des informations sur les titulaires de cartes.
Tout fichier de sauvegarde contenant des numéros de cartes de crédit, des dates d'expiration ou des noms de titulaires de cartes doit être crypté à l'aide d'une cryptographie forte. La norme exige un cryptage AES avec une longueur de clé minimale de 128 bits.
La norme PCI DSS impose également une gestion sécurisée des clés pour le cryptage des sauvegardes. Les clés de chiffrement doivent être stockées séparément des données de sauvegarde chiffrées et protégées par des contrôles d'accès stricts.
Vous ne pouvez conserver les données relatives aux titulaires de cartes qu'aussi longtemps qu'elles sont nécessaires à des fins commerciales ou légales. Votre politique de conservation des sauvegardes doit s'aligner sur ces exigences et inclure des procédures de suppression sécurisées.
La loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régit la manière dont les organisations du secteur privé collectent, utilisent et divulguent les renseignements personnels dans le cadre d'activités commerciales.
La LPRPDE exige des "mesures de sécurité appropriées" pour les informations personnelles, qui s'étendent aux données de sauvegarde. La loi ne précise pas les exigences techniques exactes, mais elle exige que les mesures de sécurité soient adaptées à la sensibilité des informations.
En ce qui concerne la conformité des sauvegardes, cela signifie qu'il faut mettre en œuvre des politiques raisonnables de cryptage, de contrôle d'accès et de conservation en fonction du type d'informations personnelles que vous protégez.
La loi prévoit également des exigences en matière de notification des violations. Si des données de sauvegarde contenant des informations personnelles sont compromises, vous devrez peut-être en informer le commissaire à la protection de la vie privée et les personnes concernées.
La nouvelle directive sur la sécurité des réseaux et de l'information (NIS2) renforce considérablement les exigences en matière de cybersécurité pour les sites web de l'Union européenne.
La norme NIS2 traite spécifiquement de la continuité des activités et de la reprise après sinistre. Vous devez utiliser des systèmes de sauvegarde et de récupération appropriés dans le cadre de votre gestion globale des risques de cybersécurité.
Le règlement exige des tests réguliers des systèmes de sauvegarde et des procédures de réponse aux incidents. Vous devez disposer de documents prouvant que vos processus de sauvegarde et de récupération fonctionnent et vous permettent d'atteindre vos objectifs en matière de continuité des activités.
Les cyberincidents importants doivent être signalés aux autorités dans les 24 heures, ce qui signifie que votre site doit permettre une réaction rapide en cas d'incident.
La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) vise les services financiers de l'Union européenne et exige des entités financières qu'elles maintiennent une résilience opérationnelle face aux risques liés aux TIC (technologies de l'information et de la communication).
Pour ce règlement, les institutions financières doivent démontrer qu'elles peuvent maintenir les fonctions critiques pendant et après des perturbations opérationnelles.
Le règlement exige que les systèmes de sauvegarde soient régulièrement testés dans le cadre de divers scénarios, y compris des cyberattaques et des pannes de système. Ces tests doivent être documentés et communiqués aux autorités de surveillance.
La gestion des risques liés aux tiers dans le cadre de la loi DORA a également une incidence sur la conformité des sauvegardes. Si vous utilisez des fournisseurs de services de stockage ou de sauvegarde en nuage, vous devez vous assurer qu'ils respectent les normes de la DORA.
Je viens de vous citer un grand nombre de lois, mais la conformité des sauvegardes ne consiste pas seulement à éviter les problèmes. Bien menée, elle renforce votre entreprise.
Les clients s'intéressent à la manière dont vous traitez leurs données. Lorsqu'ils savent que vous prenez la protection des données au sérieux (y compris dans vos sauvegardes), ils sont plus enclins à vous confier leurs affaires.
Cela devient un avantage concurrentiel. Pendant que vos concurrents se démènent pour résoudre les problèmes de conformité après coup, vous pouvez vous concentrer sur la croissance de votre entreprise.
De plus, les sanctions réglementaires peuvent être très lourdes. Les amendes GDPR peuvent atteindre 4 % de votre chiffre d'affaires annuel mondial. Les violations de l'HIPAA peuvent coûter des centaines de milliers de dollars par incident.
Une stratégie de sauvegarde conforme vous aide à éviter ces problèmes financiers en vous maintenant du bon côté de la loi dès le premier jour.
En cas de sinistre, vous vous rétablirez plus rapidement car vos systèmes sont documentés, vos processus sont éprouvés et votre équipe sait exactement ce qu'elle doit faire.
Travailler sur les exigences de conformité vous oblige à comprendre réellement quelles sont les données que vous possédez et où elles se trouvent.
Cette meilleure visibilité réduit les risques dans l'ensemble de votre entreprise, et pas seulement dans vos systèmes de sauvegarde. Vous repérerez plus tôt les problèmes potentiels et prendrez de meilleures décisions concernant le traitement des données.
Voici une feuille de route pratique pour la mise en conformité des sauvegardes.
Commencez par un audit complet des données que vous collectez et stockez.
Créez un inventaire des données qui documente chaque type d'information traitée par votre site web. Cela inclut des éléments évidents comme les données d'enregistrement des utilisateurs et les formulaires de contact, mais aussi des données moins évidentes comme les journaux du serveur, les journaux d'erreurs, le contenu mis en cache et les fichiers temporaires.
Classez tout par niveau de sensibilité. Les informations personnelles, les données financières et les dossiers médicaux nécessitent des niveaux de protection différents.
Utilisez des catégories telles que "public", "interne", "confidentiel" et "restreint" pour organiser la classification de vos données.
Déterminez l'emplacement de ces données dans votre système. Vérifiez les tables de votre base de données, les répertoires de fichiers téléchargés, les fichiers journaux, les données mises en cache, le stockage des sessions et les intégrations de tiers.
Documentez les flux de données pour comprendre comment les informations circulent dans votre système. Les données personnelles soumises par le biais d'un formulaire de contact peuvent se retrouver dans votre base de données, votre système de messagerie électronique, votre système de gestion de la relation client et vos fichiers de sauvegarde. Vous devez suivre tous ces points de contact.
Accordez une attention particulière aux exigences en matière de conservation des données pour les différents types d'informations. Certaines données peuvent devoir être conservées pour des raisons juridiques (comme les dossiers financiers), tandis que d'autres doivent être supprimées dès qu'elles ne sont plus nécessaires (comme les données de sessions temporaires).
Notez votre objectif de délai de récupération et votre objectif de point de récupération. Ces chiffres déterminent tout le reste de votre stratégie de sauvegarde.
Votre RTO doit refléter les besoins réels de l'entreprise. Si l'indisponibilité de votre site de commerce électronique pendant quatre heures vous fait perdre 10 000 dollars de chiffre d'affaires, votre RTO doit être beaucoup plus court que quatre heures. Soyez réaliste quant à ce que vous pouvez réaliser avec vos ressources actuelles.
Votre RPO détermine la fréquence à laquelle vous devez créer des sauvegardes. Si vous ne pouvez vous permettre de perdre qu'une heure de données, vous devez effectuer des sauvegardes au moins toutes les heures.
Tenez compte du temps nécessaire à la restauration d'une sauvegarde lors du calcul de votre RPO.
Créez un calendrier de conservation formel qui spécifie exactement la durée de conservation des différents types de sauvegardes. Les périodes de conservation doivent concilier les exigences de conformité, les coûts de stockage et les besoins de récupération.
Définir les contrôles d'accès et les processus d'approbation pour les sauvegardes.
Qui peut créer des sauvegardes ? Qui peut accéder aux fichiers de sauvegarde ? Qui peut restaurer une sauvegarde ? Quelle autorisation est nécessaire pour chaque type d'accès ?
Un outil comme Duplicator peut rendre ces règles spécifiques. Il s'agit d'un plugin de sauvegarde doté de contrôles d'accès personnalisables. Cela vous permet de décider qui peut accéder aux sauvegardes, les créer ou les restaurer.
Inclure des procédures de réponse aux incidents dans votre politique.
Que se passe-t-il si les données de sauvegarde sont compromises ? Qui est informé ? Quelles sont les mesures à prendre pour contenir la violation et informer les parties concernées ?
Avec Duplicator, vous pouvez automatiser les politiques de conservation. Il supprimera automatiquement les anciennes sauvegardes selon le calendrier que vous aurez défini, de sorte que vous n'aurez pas à le gérer manuellement.
Choisissez un fournisseur de stockage en fonction de ses certifications de sécurité et de ses capacités de conformité, et pas seulement en fonction du prix.
Assurez-vous que vous pouvez conserver les données dans les emplacements géographiques appropriés pour répondre à vos exigences en matière de conformité. Certains fournisseurs proposent des options de stockage spécifiques à chaque région, tandis que d'autres peuvent répliquer les données dans plusieurs pays sans contrôles clairs.
Vérifiez que votre fournisseur offre les fonctions de cryptage et de contrôle d'accès dont vous avez besoin. Recherchez le chiffrement AES-256, les services de gestion des clés et l'intégration avec les systèmes de gestion de l'identité et de l'accès.
Examinez les procédures de réponse aux incidents et de notification des violations mises en place par le fournisseur. Dans quel délai vous informera-t-il en cas d'incident de sécurité ? Quelles informations fournira-t-il ? Comment s'acquittera-t-il de ses obligations en matière de notification des violations ?
Duplicator s'intègre à plus d'une douzaine de fournisseurs de stockage en nuage sécurisé, y compris des options qui répondent à diverses exigences de conformité.
Activez le cryptage des données en transit et au repos. Utilisez des normes de cryptage solides - AES-256 est la meilleure pratique actuelle.
Duplicator Pro peut crypter tous les fichiers de sauvegarde avec le cryptage AES-256, à la fois pendant le transfert et le stockage, éliminant ainsi toute incertitude.
Les clés de chiffrement doivent être stockées séparément des données de sauvegarde chiffrées et protégées par des contrôles d'accès stricts. Envisagez d'utiliser un service de gestion des clés dédié ou des modules de sécurité matériels pour les données sensibles.
Mettre en place des contrôles d'accès complets à l'aide d'outils de gestion des identités et des accès (IAM). Mettre en œuvre le principe du moindre privilège : les utilisateurs ne doivent avoir accès qu'aux données de sauvegarde spécifiques dont ils ont besoin.
Mettez en place un système de surveillance et d'alerte pour l'accès aux sauvegardes. Vous devez recevoir des notifications lorsque des données de sauvegarde sont consultées, lorsque de nouvelles sauvegardes sont créées et lorsque des modifications sont apportées à la configuration de vos systèmes de sauvegarde.
Si vous utilisez Duplicator pour gérer les sauvegardes, vous recevrez des notifications automatiques d'échec de sauvegarde.
De plus, vous pouvez configurer des résumés réguliers envoyés par courriel directement dans votre boîte de réception. Ceux-ci comprennent toutes vos nouvelles sauvegardes, vos emplacements de stockage et vos planifications.
Duplicator peut vous envoyer des résumés par email tous les jours, toutes les semaines ou tous les mois. Vous savez ainsi exactement quand vos sites sont sauvegardés !
Planifiez des tests de restauration au moins une fois par trimestre. Plus souvent, c'est mieux, surtout pour les systèmes critiques.
Créez un programme de test formel qui couvre différents types de scénarios de restauration. Testez les restaurations complètes du site, les restaurations partielles, les restaurations de bases de données uniquement et les restaurations de fichiers uniquement.
Chaque type de restauration peut révéler des problèmes différents.
Ne testez pas les restaurations sur votre site web en direct - utilisez un serveur de démonstration ou un environnement de développement doté du même système d'exploitation, du même logiciel de serveur web et des mêmes versions de base de données.
Si vous devez créer un nouveau site d'essai, configurez-en un localement avec LocalWP ou XAMPP. Créez une sauvegarde complète de votre site web avec Duplicator.
Téléchargez le fichier d'archive de sauvegarde. Une fois que vous avez fini de créer le site de test local, importez la sauvegarde. Duplicator va automatiquement mettre en place une copie de vos données dans la zone de test pour que vous puissiez la tester.
Mesurez et documentez les performances de restauration par rapport à vos objectifs RTO et RPO. Si les restaurations prennent systématiquement plus de temps que votre RTO ne le permet, vous devez améliorer votre stratégie de sauvegarde ou ajuster vos objectifs.
Oui, si vous recueillez des informations personnelles auprès de vos visiteurs. Même de simples formulaires de contact, des inscriptions par courriel ou un suivi analytique de base signifient que vous traitez des données personnelles et que des règles de conformité s'appliquent à la manière dont vous sauvegardez et stockez ces informations.
Cela dépend des besoins de votre entreprise et des exigences réglementaires, et c'est précisément la raison pour laquelle vous avez besoin d'une politique de conservation écrite. Commencez par vérifier quelles réglementations s'appliquent à votre entreprise et à vos données, puis définissez des périodes de conservation spécifiques pour les différents types de sauvegardes et respectez ces règles.
Tout d'abord, supprimez immédiatement leurs données de votre site web. Pour les sauvegardes, suivez votre politique de conservation : vous n'avez pas besoin de nettoyer manuellement les anciens fichiers de sauvegarde, laissez simplement ces sauvegardes expirer et être supprimées conformément à votre calendrier de conservation normal.
L'endroit le plus sûr pour stocker des sauvegardes est un fournisseur de services en nuage hors site, crypté et réputé, qui dispose des certifications de sécurité appropriées. Suivez la règle du 3-2-1: conservez trois copies de vos données sur deux types de supports de stockage différents, dont une copie hors site.
La conformité des sauvegardes est une question d'intention et d'organisation dans la façon dont vous protégez votre actif commercial le plus précieux : vos données.
Lorsque vous intégrez la conformité dans votre stratégie de sauvegarde dès le début, vous transformez les sauvegardes d'une simple tâche technique en un processus commercial responsable.
Vous dormirez mieux en sachant que vos données sont protégées. Vos clients vous feront davantage confiance. Et en cas de sinistre, vous vous rétablirez plus rapidement et plus complètement.
Mais la réalité est là : la gestion manuelle de toutes ces exigences de conformité prend du temps et est sujette à des erreurs. Vous avez besoin d'outils capables d'automatiser les tâches les plus lourdes tout en vous permettant de rester en conformité.
Duplicator Pro peut gérer automatiquement la complexité technique de la conformité. Il dispose d'un cryptage AES-256, de politiques de conservation automatisées, de tests programmés et d'une intégration transparente avec une douzaine de fournisseurs de services de stockage en nuage sécurisés.
Ne vous souciez plus de savoir si vos sauvegardes répondent aux exigences de conformité. Laissez Duplicator Pro s'occuper des détails techniques pour que vous puissiez vous concentrer sur le développement de votre entreprise en toute confiance.
Pendant que vous êtes ici, je pense que vous aimerez ces autres ressources triées sur le volet :
Divulgation : Notre contenu est soutenu par les lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, il se peut que nous recevions une commission. Nous ne recommandons que des produits dont nous pensons qu'ils apporteront une valeur ajoutée à nos lecteurs.
