La sauvegarde de site Internet (1/..)

La sauvegarde de site Internet (1/..)

Je ne le répéterai jamais assez : “La clé de voûte d’une bonne sécurité concernant un site Web commence TOUJOURS par la mise en place et le test grandeur nature d’une solide politique de sauvegarde. Et ce de façon régulière et décentralisée”.

En effet, la plupart d’entre nous pensent qu’il suffit de faire confiance à la sauvegarde mise à disposition par l’hébergeur, et que l’on pourra à partir de là restaurer à une date antérieure sans problème.

La durée de rétention de votre sauvegarde de site Internet

C’est sans parler de ce que l’on appelle la durée de rétention des sauvegardes. Car à moins que vous n’ayez négocié un cas particulier avec votre hébergeur, les durées de rétention des sauvegardes (c’est-à-dire le retour maximum en arrière possible calculé en nombre de jours) ne dépassera pas 7 ou 10 jours voire exceptionnellement 15 jours chez certains hébergeurs.

Si nous sommes aujourd’hui le 13 mai et que la durée de rétention des sauvegardes de votre serveur est de 10 jours, vous pourrez récupérer (si tout se passe bien ^^) les données de l’intégralité de votre site comprise entre le 4 mai et le 13 mai inclus, à l’heure ou s’effectue la sauvegarde côté hébergeur (en général entre 4h et 6h du matin, à vérifier) !

Si vous avez besoin d’une sauvegarde datée du jour de la fête du travail, le 1er mai, c’est raté. Il n’y en aura pas.

Rétention = nombre de jours auxquels vous pouvez prétendre revenir en arrière sur l’état “exact” de votre site Web à l’instant T.

Mais bien que tout le contenu du dossier “public” ou “web” et la base de données soient censé être répliqué, cela se produit sur un lieu de stockage que vous ne maîtrisez pas. Celui de l’hébergeur.

Et chaque jour passé décale la rétention des données. C’est à dire que le 14 mai, vous pourrez remontrer au plus loin à la date du 5 mai, les sauvegardes antérieures ayant été effacée pour récupérer de la place sur le serveur.

Bien sûr, tout service peut se monnayer, si vous négociez une sauvegarde à 30 jours de rétention il y a fort à parier qu’il y aura un supplément à régler… Mais c’est un point sur lequel nous reviendrons assurément car personnellement, je trouve une sauvegarde à 10 ou 15 jours de rétention totalement décalée par rapport à la réalité du monde de la sécurité des données et du hacking. Je vous expliquerai pourquoi…

Dans tous les cas, ce stockage d’informations fourni par l’hébergeur ne suffit pas à vous prémunir efficacement dans 70% des cas.

Car parfois vous êtes en développement ou vous effectuez des modifications importantes sur votre site Web et les bonnes pratiques voudraient qu’une sauvegarde soit effectuée toutes les 1, 2 ou 3 heures pour la base de données et un autre schéma éventuellement moins fréquent pour les fichiers de code (toutes les 6 ou 12 heures).

Dans ce cas, par exemple, votre situation ne pourra être gérée par les sauvegardes de l’hébergeur. Il vous faut une autre solution, votre sauvegarde personnelle !

Sauvegarde de site Internet sur le même serveur que celui du site : le cas des serveurs virtuels où mutualisés

Parce que tout miser sur une hypothétique sauvegarde réalisée dans un “espace” que vous ne contrôlez pas, que vous ne connaissez pas et que vous ne maîtrisez pas, suffit à se poser quelques questions. Les bonnes si possible.

En effet, qu’en est-il de celles qui sont hébergées sur le même serveur que l’hébergement de votre site, ou dans le même environnement virtuel ?

Pensez-vous vraiment que ce soit une bonne stratégie, que ce soit une bonne pratique (Best Practice comme on dit chez nous) dans le domaine de la cyber-sécurité de réaliser une sauvegarde sur le même serveur que celui qui héberge votre site ? Car si vous êtes hébergé et sauvegardé sur des serveurs virtuels, rien ne dit que ces serveurs ne soient pas un seul et même serveur physique.
Je m’explique : un serveur “physique” est une machine, un ensemble carte mère + processeur + mémoire + disque SSD… ect. Ce même serveur physique héberge bien souvent plusieurs serveurs virtuels, parfois des dizaines…

Un serveur virtuel c’est une machine “virtuelle” à laquelle on attribue une partie de mémoire et une partie de puissance de calcul processeur. Sans rentrer dans les détails (ce n’est pas là le sujet de mon article) un serveur virtuel ressemble en tout point, sur le papier, à un serveur physique. Sauf que un serveur “virtuel” n’est qu’une portion de la machine “physique”, j’espère que vous me suivez.

Retenez simplement que si votre serveur Web virtuel, et votre site de stockage “virtuel” sont sur la même machine “physique”, c’est très mauvais !

Si la machine “physique” à une perte de données quelconques suite à un problème technique, une panne ou est victime d’un hacking, vous êtes susceptible de perdre en même temps votre serveur Web ET vos sauvegardes. C’est assez moche comme situation !

Et pourtant c’est le cas dans plus de 50% des serveurs mutualisés. En fait, c’est plus grave que cela car avec “la mutualisation des serveurs” et donc la “virtualisation des serveurs” (je vous passe les détails technique) il n’y a parfois pas les compétences nécessaires et le désir de bien faire qui vous permettrait de savoir, si “OUI ou NON”, votre sauvegarde se trouve stockée sur le même serveur que celui qui héberge votre site Web.

Car je vous le dis sans détour, si la réponse est OUI, vous pouvez demander à votre hébergeur dans quel état il se trouvait au moment ou il a commis ce geste inconsidéré et hautement défaillant.

Effectivement, même si aujourd’hui avec les SSD nous ne rencontrons plus les mêmes désagréments qu’avec les disques durs à plateau d’antan (usure des plateaux et des têtes, données erronées suite à un chocs, sensibilité au magnétisme extrême…), les SSD restent des électroniques qui, comme toute les électroniques, peuvent avoir une dysfonction, qui elles mêmes peuvent engendrer une perte de données totale et définitive !

Sauvegarde de site Internet 100% sécurisé ?!

Le 100% sécurisé n’existe pas en informatique, on peut simplement tenter de l’approcher à grands coups de redondance, de qualité des procédures, de documentation et de compétence des hommes.

Avec la mutualisation il devient parfois impossible de dire si la sauvegarde du site Internet se trouve être hébergée sur le “site” lui même (sans accès au système de virtualisation et sans les compétences pour savoir déchiffrer ce qui s’y trouve, bonne chance !).

Imaginez ce moment dramatique : “Mince, il va falloir justifier que toute la sauvegarde du site était hébergée sur le même disque que celui qui vient de rendre l’âme… Et personne ne le savait vraiment”. Car c’est bien là un drame. Perdre l’intégralité d’un site c’est perdre des mois, des années de travail et dans le pire des cas propulser une entreprise vers le dépôt de bilan.

Prenons un exemple encore plus simple et surtout plus fréquent…

Le cas, non pas d’une défaillance matérielle, mais d’une malveillance à l’encontre de votre site Web.

Un Hacking, un piratage, un effacement volontaire de données ou de code, un defacing, un vol de données… bref, tout ce qui fait mal à un site Web et qui peut changer le cours de la vie d’un grand nombre de petits et moyennes entreprises aujourd’hui.

Imaginez que vous ne vous aperceviez pas de “la casse” immédiatement. Imaginez une rétention côté hébergeur de 10 jours alors que le piratage a eu lieu il y a 15 ou 20 jours. Impossible de restaurer vos données et votre contenu à une date qui permettrait de retrouver l’état initial… C’est assez ennuyeux vous en conviendrez.

C’est d’autant plus dommageable que mettre en place une politique de sauvegarde n’est pas si compliqué pour des petits et moyens sites.

Suite dans le prochain article sur les sauvegardes…

et, quis, ante. ut lectus Donec ipsum