Dans le cadre de l’évolution de sa politique de sauvegarde, la DSI du CHU de Nantes, la sauvegarde sur bandes a été abonnée, principalement pour des raisons d’efficacité et de limitation dans le temps de ce type de média. Le passage à la sauvegarde sur disques durs a effectivement apporté beaucoup de souplesse au niveau de la logistique. « Avec les bandes, il fallait les sortir, les copier au bout d’un certain nombre d’années pour éviter des erreurs dues au vieillissement, précise Cédric Quillévéré, architecte S.I., responsable du service Architecture et Intégration au sein de la direction des services numériques du CHU de Nantes. La réplication sur disque est beaucoup plus efficace, l’automatisation des procédures simplifie la tâche et l’évolution de la volumétrie est plus facile avec des disques. »
La direction informatique a fait un choix totalement « on premise », avec deux sauvegardes dans deux datacenters qui lui sont propres, dans l’enceinte de sites du CHU. Il s’agit d’un choix historique, dicté à la fois pour des raisons comptables pour lesquels les règles d’un établissement public différent de celles d’une entreprise privée, (avec des arbitrages entre Opex et Capex), mais aussi pour des raisons stratégiques : dans le domaine de la santé, les activités d’hébergement de données sont très encadrées et le CHU de Nantes a fait le choix, il y a déjà plus de 5 ans, d’obtenir l’agrément HDS (Hébergement de données de santé) pour devenir lui-même hébergeur.
Le RTO est le fruit d’un compromis
La sauvegarde est réalisée une fois par jour en moyenne puis une réplication modulo 24 heures a lieu vers le système de back-up secondaire, afin de pouvoir disposer d’une copie fiable dans le cas où la première serait victime d’une corruption. Certaines bases de données exigent un niveau de disponibilité inférieur à 24 heures, mais le seuil de 2 heures n’est jamais dépassé. Le RTO (recovery time objective) est le fruit d’un compromis, car plus on s’approche du temps zéro, plus les coûts sont élevés.
« Il est important de faire la distinction entre deux niveaux de sécurisation des données, la sauvegarde et la protection des données, souligne Cédric Quillévéré. L’objectif de la première est de se prémunir contre une perte irréversible de données. Celui de la seconde est de se prémunir d’une perte locale, en temps réel. Il n’existe pas de technologie assurant simultanément ces deux niveaux de sauvegarde. »
Certaines bases de données du CHU évoluent sans cesse et nécessitent une réplication en temps réel. En cas de problème à ce niveau, le risque maximum est de perdre les enregistrements effectués les deux dernières heures. Au-delà de deux heures, les logs de transaction sont sauvegardés afin de pouvoir disposer d’un niveau de pertes de données maximale admissible (RPO) conforme aux engagements.
Le défi de garder l’ensemble des données
Le CHU se conforme bien sûr strictement au RGDP. « Il s’agit d’un règlement qui concerne la façon de traiter les données et non pas la manière dont on sauvegarde, qui est une démarche plus organisationnelle », précise Cédric Quillévéré. Actuellement, le CHU conserve toutes les données qui lui sont confiées, même si légalement, pour certaines données, il existe une date de péremption au-delà de laquelle il n’est pas tenu de conserver les données. Pour le dossier patient lui-même, celui-ci doit être conservé 20 ans après le dernier passage dudit patient (avec une spécificité en cas de décès).
Le fait de garder l’ensemble des données est une contrainte et un défi pour la technologie employée. La sauvegarde qui vise à se prémunir face à des problèmes de production n’a pas les mêmes contraintes que l’archivage à valeur patrimonial. Il y a donc des arbitrages à faire en fonction des types de données. Dans le data management, les décisions humaines gardent une grande importance, car la technologie de sauvegarde, stockage massif ou système plus vivant avec une volumétrie contenue, est dictée par les choix qui ont été décidés.
Commentaire