De la sauvegarde à la continuité de votre activité : comment vous préparer ?

Stratégie de sauvegarde 3-2-1

De la sauvegarde à la continuité de votre activité :
comment vous préparer ?

Selon Gartner, un incident entraînant une interruption de service coûte en moyenne 4 595 euros par minute. Rapporté à la taille de l’entreprise, le coût moyen de ce type d’incident est de 45 130 euros pour une TPE et de 74 670 euros pour une PME*. Outre leur impact financier, une panne informatique ou un sinistre peuvent endommager temporairement ou définitivement les données de vos clients. De telles pertes seraient dramatiques pour la réputation de votre entreprise.

 

    Contexte et situation du marché

    Preparedness - Response - Recovery - Mitigation

    L’augmentation continue et exponentielle des données représente un réel défi pour les entreprises. Ces dernières doivent en effet assurer la protection de leur business et de leur infrastructure tout en protégeant leurs données et celles de leur clientèle.

    La mise en place d’un PRA, en plus de vous prémunir contre l’arrêt de votre activité, présente de nombreux avantages. En effet, les conséquences d’une interruption liée aux données sont nombreuses. Outre l’aspect financier, un tel événement peut notamment affecter votre business sur plusieurs autres plans, comme le démontre ce graphique :

     

    data disruption

    Ainsi, pour limiter au maximum les impacts négatifs que pourrait représenter une éventuelle attaque de votre système d’information, plusieurs actions peuvent être mises en place.

    • Effectuez des sauvegardes régulières et restaurables de vos données.
    • Mettez en place une stratégie de PRA réaliste et efficace pour votre activité.

     

    Sauvegardes et réplication des données

    La résilience des données et des infrastructures informatiques constitue un facteur de plus en plus important pour assurer la continuité de votre activité. Cette notion de résilience peut être assimilée à de la résistance face aux interruptions éventuelles et à votre capacité à maintenir une activité constante. Et ce, malgré une indisponibilité, même temporaire, de vos données ou de votre infrastructure initiale. Cette haute disponibilité, couplée à la protection des données à travers des sauvegardes régulières et un plan de reprise d’activité, vous permet d’éviter la perte totale de vos données et celles de votre clientèle. Vous vous assurez ainsi de la possibilité de relancer votre activité en cas d’interruption (détérioration du disque dur, piratage, erreur humaine, catastrophe naturelle, etc.).

    Qu’est-ce qu’une bonne sauvegarde ?

    Une sauvegarde efficace est une copie de vos données récupérable rapidement et facilement en cas d’incident.
    La restauration de ces backups constitue l’élément le plus important.

     

    La règle « 3,2,1,1,0 » : la stratégie de sauvegarde optimale pour la continuité de votre activité

    3-2-1 Backup

     

    • 3 copies de vos données.
    • 2 supports différents pour éviter la perte, la corruption ou le piratage.
    • 1 copie stockée sur un site géographique différent.
    • 1 copie isolée du réseau ou air gapped.
    • 0 donnée inexploitable après vos tests.

    Cette stratégie vous permet de vous prémunir contre une grande partie des pertes de données. Elle s’applique autant pour vos données critiques que pour les données que vous souhaitez protéger par mesure de sécurité et pour les besoins de votre entreprise.

    Afin de mieux vous figurer cette stratégie de sauvegarde, prenons l’exemple de l’entreprise X. Il s’agit d’une plateforme de Software as a Service (SaaS) médicale qui permet à vos équipes de bénéficier d’un suivi en ligne gratuit et confidentiel sur simple demande. Elle produit, utilise et stocke des informations critiques, personnelles et confidentielles de sa clientèle. Afin de garantir la protection de ces données, cette entreprise a choisi d’effectuer :

    • une sauvegarde de ses données sur un serveur à Gravelines ;
    • une sauvegarde de ses données sur un disque dur externe ;
    • une autre sauvegarde sur un serveur distant, situé à Roubaix.

    En cas d’incident sur le site de Gravelines, les informations pourront être retrouvées sur le serveur se trouvant à Roubaix. Si, fait rare, les deux serveurs sont détruits, le disque dur externe permettra de restaurer les données sur une nouvelle machine. Cette solution limite ainsi les risques de perte totale des données centralisées sur un même site et sur un même support.

    Ainsi, grâce à cette méthode, vous disposez d’un système de sauvegarde complet pour votre architecture cloud. En cas d’incident, votre reprise d’activité est facilitée par les différentes copies de vos données hébergées sur les serveurs dédiés à cet usage. La mise en place d’un système de sauvegardes hebdomadaires, quotidiennes ou à heures régulières vous permet d’adapter votre stratégie en fonction de la criticité des données à protéger.

    La réplication des données pour avoir une longueur d’avance sur votre reprise d’activité

    La réplication des données représente également une stratégie de sauvegarde efficace. Elle peut être effectuée en temps réel et permet de créer des copies de vos données dans différents datacenters. Ainsi, en cas d’incident dans l’un des centres de données, les informations sont toujours actives et disponibles dans les autres datacenters, qui prennent le relais. La continuité de votre activité est ainsi assurée.

    Afin de mieux vous figurer cette stratégie, prenons l’entreprise Y comme exemple.

    replication

     

     

     

     
    ForePaaS - réplication des données

    Les données de leur plateforme de cloud management sont répliquées en temps réel dans trois datacenters. L’un se situe en Amérique du Nord tandis que les deux autres sont localisés en Europe dans deux villes distinctes. De ce fait, si l’un des sites venait à subir un incident majeur, l’entreprise serait en mesure de récupérer ses données dans un autre. L’activité pourrait ainsi redémarrer sans délai.

    Un système de sauvegarde n’est cependant qu’un outil visant à vous protéger contre la perte de vos données. Même s’il constitue le socle de la continuité de votre activité, il est de votre responsabilité d’anticiper les actions à mettre en œuvre pour l’assurer, afin de favoriser un redémarrage rapide de vos services en cas d’interruption.

    La stratégie du plan de reprise d’activité (PRA)

    Le PRA définit les processus métier à mettre en place afin de redémarrer votre activité. Les indicateurs importants pour définir les stratégies de votre PRA sont :

    RPO vs RTO
    • le RPO (recovery point objective ou PDMA en français). Ce terme désigne le taux de perte de données maximal admissible. Il se mesure sur une durée et est généralement échelonné comme suit : aucune perte possible, 1, 4 ou 24 heures de données ;
    • le RTO (recovery time objective ou DMIA en français). Cette notion désigne la durée maximale à laquelle une application peut rester hors service avant d’être redémarrée. Le RTO est échelonné de manière similaire au RPO : pas de délai, 1, 4 ou 24 heures.

    Ces indicateurs doivent être prédéfinis en fonction de la criticité des données affectées par un incident. Reprenons l’exemple de l’entreprise X. Elle dispose de trois types d’applications nécessitant de prévoir un plan de reprise d’activité différent en cas de sinistre. D’abord une application de données bancaires, qui ne peut pas se permettre de temps d’arrêt ni de perte. Ensuite son site institutionnel, essentiel mais non critique. Enfin, son application de réservation des salles de réunion, non critique également. L’entreprise adapte un PRA différent selon l’application.

    Comment adapter votre plan de reprise des activités

    Application critique

    RPO & RTO=0

    Application essentielle

    RPO>1h & RTO> 4h

    Application non-critique

    RPO>24h & RTO>24h
    RPO=0 RTO=0
    RPO>1h RTO >4h
    RPO>24h RTO>24h

    L'entreprise ne peut pas travailler sans ces applications.

    Elle fait fonctionner son application :

    • dans 2 datacenters ;
    • espacés de plusieurs  kilomètres (+100 km) ;
    • les données sont synchronisées entre  les deux localisations ;
    • des sauvegardes sont placées dans un 3e datacenter.

    L’entreprise peut travailler sans ces applications mais pas au delà d’une heure.

     

    Elle fait fonctionner son application :

    • dans un datacenter principal ;
    • les données sont répliquées dans une seconde localisation séparée de plusieurs kilomètres (+100 km) ;
    • les sauvegardes sont localisées dans un  3e datacenter.

     

    L’entreprise peut travailler sans cette application pendant  plus d’une journée.

     

    Elle fait fonctionner son application :

    • dans un datacenter ;
    • les sauvegardes des données sont localisées dans un 2nd datacenter.

     

    Elle utilisera donc les données de sauvegarde pour restaurer l’application dans le 2nd datacenter si le 1er est hors service.

     

    Pour aider nos clients à mettre en place leur PRA, nous leur proposons des solutions partenaires. Partitio, par exemple, offre différents modèles de plan de reprise d’activité à ses utilisateurs. Ils reposent sur des solutions de sauvegarde et de réplication manuelle par Veeam, avec une réplication automatique via Zerto.

    Le PRA vous aide à limiter l’impact des incidents sur votre activité et à diminuer les pertes de données liées à une interruption de service temporaire. Cependant, certains types d’entreprises, comme les banques ou les fournisseurs de services informatiques, ne peuvent se permettre de temps d’arrêt. Ils doivent bénéficier de services en ligne à tout moment. Cela implique de construire une infrastructure résiliente pour rester accessibles, qu’importe le dysfonctionnement.

    Notre client KBRW, qui propose des solutions SaaS cloud native aux sociétés spécialisées dans la vente au détail et la logistique, certifie que bâtir des infrastructures résilientes est l’objectif à atteindre pour la sécurité d’une entreprise. Cependant, la mise en place et la possession d’un plan de reprise d’activité efficace sont des processus perpétuels. Ce dernier doit être testé et mis à jour régulièrement. En effet, votre parc de solutions informatiques et votre infrastructure évoluent. Cela affectera vos exigences en matière de sécurité.

    « […] La résilience doit être considérée comme une approche globale au sein de l’entreprise. Ce n’est en aucun cas la seule responsabilité du service informatique ou des experts en sécurité. Du point de vue de l’entreprise au sens large, il est important de mettre en place une culture du management des risques informatiques. Du plus haut échelon au plus bas. Chaque employé doit connaître son rôle et ses responsabilités dans cette stratégie globale. Pour la bonne réalisation d’un plan de résilience IT, il est indispensable de commencer par une étude des risques potentiels réaliste. Elle doit être conduite de façon régulière. Nous recommandons habituellement de la mener tous les 6 mois sur l’ensemble des points critiques de votre système. »

    Arnaud Wetzel, cofondateur et CTO de KBRW, et Ronan Garet, Site Reliability Engineer

     

    Vers la continuité de votre activité

    Un plan de reprise d’activité vous permet de réagir lors d’un incident. Prévoir la continuité de votre activité comprend les actions à entreprendre avant, pendant et après cet événement. Ce, afin de maintenir vos services et assurer le fonctionnement optimal de votre entreprise.

    Cette planification s’appuie sur trois éléments :

    • une bonne communication sur les canaux à votre disposition, comme les e-mails, les réseaux sociaux ou la presse, à propos de la crise éventuelle. Tenez vos employés, clients et partenaires informés des avancées de la résolution de l’incident et lorsque celui-ci est terminé ;
    • établir un plan d’action pour vos employés en cas d’incident. Ils doivent savoir quoi faire et qui contacter. Veillez à les mettre régulièrement au courant des évolutions de la planification et des changements de politiques de sécurité, par exemple ;
    • une infrastructure informatique résiliente est le meilleur moyen de maintenir vos services en ligne en toutes circonstances. Vous éviterez ainsi les pertes ou coûts liés aux interruptions.

     

    Plan de reprise d’activité vs la continuité de votre activité

    La continuité de votre activité est l’objectif à viser. Une planification des procédures à suivre vous permettra de faire face à la plupart des situations menaçant votre entreprise. Nos partenaires, comme Thales et Capgemini, peuvent vous fournir des services de consulting pour vous aider à mettre en place un PRA ou planifier la continuité de votre activité.

    « […] la première démarche à avoir est de bien identifier ses besoins en résilience en fonction du service hébergé. Il faut donc définir, pour chacun des services, sa criticité et le risque encouru en cas de problème de disponibilité. Une fois cet état des lieux réalisé, nous rentrons dans une phase de conception d’architecture en reprenant l’ensemble des éléments identifiés lors de l’analyse réalisée. […] Nous pouvons dégager trois différents pans d’infrastructure sur lesquels le client doit travailler pour assurer sa résilience :

    • résilience de l’infrastructure de production ;
    • mise en œuvre de la sauvegarde ;
    • mise en œuvre du PRA.

    Ces solutions doivent évidemment être sécurisées afin d’assurer la conservation de l’ensemble des données client. »

    Jean-Charles Ferrand, directeur général de Partitio

     

     

    * Selon une étude menée par l’éditeur de logiciels CA technologies.

    ** Source : The State Of Disaster Recovery Preparedness In 2020, Forrester Research, Inc., 24 août 2020.