De la sauvegarde à la continuité de votre activité : comment vous préparer ?

Stratégie de sauvegarde 3-2-1

De la sauvegarde à la continuité de votre activité :
comment vous préparer ?

Selon Gartner, un incident entraînant une interruption de service coûte en moyenne 4 595 euros par minute. Rapporté à la taille de l’entreprise, le coût moyen de ce type d’incident est de 45 130 euros pour une TPE et de 74 670 euros pour une PME*. Outre leur impact financier, une panne informatique ou un sinistre peuvent endommager temporairement ou définitivement les données de vos clients. De telles pertes seraient dramatiques pour la réputation de votre entreprise.

 

    Contexte et situation du marché

    Preparedness - Response - Recovery - Mitigation

    Depuis 12 ans, l’utilisation des technologies de réplication, d’architecture de datacenters multisites, de stockage de cloud public et de mise en place de PRA a beaucoup augmenté. Cependant, seule une partie des personnes interrogées (38 %) par l’institut Forrester en 2019 se dit pleinement préparée en cas d’incident**. Et les grandes compagnies sont majoritairement mieux organisées que les petites ou moyennes entreprises.

    Il existe plusieurs raisons pour lesquelles les professionnels prévoient de mettre en place un PRA. La principale : 54 % des répondants souhaitent rester en ligne 24 h/24. Cet enjeu est de taille, en particulier pour des entreprises d’e-commerce.

    Il est également important pour les organisations d’améliorer la disponibilité de leurs applications critiques (pour elles ou leur clientèle). L’argument financier lié au coût du temps d’arrêt des services reste aussi important.

     

    Répondre à ces besoins implique la mise en place de deux éléments :

    • effectuer des sauvegardes régulières et restaurables de vos données ;
    • établir une stratégie de PRA réaliste et efficace pour votre activité.

    Sauvegardes et réplication

    Il s’agit de la base de la protection de votre entreprise. Les sauvegardes vous permettent d’éviter la perte de vos données et de celles de vos clients. Elles constituent un socle solide pour relancer votre activité et sont utiles dans plusieurs situations. Parmi elles, une détérioration du disque dur, un piratage, une catastrophe naturelle ou même une erreur humaine.

    Qu’est-ce qu’une bonne sauvegarde ?
    Une sauvegarde efficace est une copie de vos données récupérable rapidement et facilement en cas d’incident.
    La restauration de ces backups est l’élément le plus important.

    Selon Veeam, notre partenaire, la stratégie de sauvegarde optimale est le principe du « 3, 2, 1 ».

    Cela signifie :

    • posséder trois copies de vos données ;
    • sur deux supports différents, pour éviter la perte, la corruption ou le piratage ;
    • dont l’une de ces copies est stockée sur un autre site (en cas de sinistre au siège de votre entreprise).

    Cette stratégie vous permet de vous prémunir contre une grande partie des pertes de données. Celles-ci peuvent en effet survenir dans plusieurs cas.

    Afin de mieux vous figurer cette stratégie de sauvegarde, prenons l’exemple de l’entreprise X. Il s’agit d’une PME qui vend en ligne un kit pour créer ses propres capsules de café. Elle produit donc des informations critiques qu’elle doit protéger, comme les données personnelles de ses clients. Pour cela, elle a choisi d’effectuer :

    • une sauvegarde de ses données à Paris, sur un serveur et un disque dur externe ;
    • une autre sauvegarde sur un serveur distant, situé à Lille.

    En cas d’incident sur le site de Paris, les informations pourront être retrouvées sur le serveur à Lille. Si, fait rare, les deux serveurs sont détruits, le disque dur externe permettra de restaurer les données sur un nouveau serveur. Cette solution limite ainsi les risques de perte des données centralisées sur un même site et sur un même support.

    Si vous disposez d’une architecture cloud, notre client YetiForce a mis en place un système de sauvegarde complet. Il permet une reprise rapide de votre activité en cas d’incident, en effectuant différentes copies de vos données sur des serveurs dédiés à cet usage. Ceux-ci sont situés dans un datacenter distant. Le système y effectue des sauvegardes hebdomadaires, quotidiennes et toutes les 30 minutes, en fonction du type de données à protéger.

     
    ForePaaS - réplication des données

    Un autre mécanisme de sauvegarde efficace est la réplication des données. Elle peut être effectuée en temps réel et permet de créer des copies dans différents datacenters. Ainsi, en cas d’incident dans un centre de données, les informations sont toujours actives dans les autres.

    Prenons l’exemple de notre client ForePasS :

    Les données de leur plateforme de cloud management sont répliquées en temps réel dans trois datacenters, dont un est situé sur un autre continent (Amérique du Nord). Ainsi, si l’un des sites venait à subir un incident majeur, l’entreprise peut récupérer ses données dans un autre. Ils pourront donc redémarrer leur activité sans délai.

    Un système de sauvegarde n’est cependant qu’un outil visant à vous protéger contre la perte de vos données. Même s’il constitue le socle de la continuité de votre activité, il reste important de prévoir les actions à mettre en place de façon anticipée. Ainsi, vous pourrez redémarrer vos services.

    La stratégie du plan de reprise d’activité (PRA)

    Le PRA définit les processus métier à mettre en place afin de redémarrer votre activité. Les indicateurs importants pour définir les stratégies de votre PRA sont :

    RPO vs RTO
    • le RPO (recovery point objective ou PDMA en français). Ce terme désigne le taux de perte de données maximal admissible. Il se mesure sur une durée et est généralement échelonné comme suit : aucune perte possible, 1, 4 ou 24 heures de données ;
    • le RTO (recovery time objective ou DMIA en français). Cette notion désigne la durée maximale à laquelle une application peut rester hors service avant d’être redémarrée. Le RTO est échelonné de manière similaire au RPO : pas de délai, 1, 4 ou 24 heures.

    Ces indicateurs doivent être prédéfinis en fonction de la criticité des données affectées par un incident. Reprenons l’exemple de l’entreprise X. Elle dispose de trois types d’applications nécessitant de prévoir un plan de reprise d’activité différent en cas de sinistre. D’abord une application de données bancaires, qui ne peut pas se permettre de temps d’arrêt ni de perte. Ensuite son site institutionnel, essentiel mais non critique. Enfin, son application de réservation des salles de réunion, non critique également. L’entreprise adapte un PRA différent selon l’application.

    Comment adapter votre plan de reprise des activités

    Application critique

    RPO & RTO=0

    Application essentielle

    RPO>1h & RTO> 4h

    Application non-critique

    RPO>24h & RTO>24h

    RPO=0 RTO=0
    RPO>1h RTO >4h
    RPO>24h RTO>24h

    L'entreprise ne peut pas travailler sans ces applications.

    Elle fait fonctionner son application :

    • dans 2 datacenters ;
    • espacés de plusieurs  kilomètres (+100 km) ;
    • les données sont synchronisées entre  les deux localisations ;
    • des sauvegardes sont placées dans un 3e datacenter.

    L’entreprise peut travailler sans ces applications mais pas au delà d’une heure.

     

    Elle fait fonctionner son application :

    • dans un datacenter principal ;
    • les données sont répliquées dans une seconde localisation séparée de plusieurs kilomètres (+100 km) ;
    • les sauvegardes sont localisées dans un  3e datacenter.

     

    L’entreprise peut travailler sans cette application pendant  plus d’une journée.

     

    Elle fait fonctionner son application :

    • dans un datacenter ;
    • les sauvegardes des données sont localisées dans un 2nd datacenter.

     

    Elle utilisera donc les données de sauvegarde pour restaurer l’application dans le 2nd datacenter si le 1er est hors service.

     

    Pour aider nos clients à mettre en place leur PRA, nous leur proposons des solutions partenaires. Partitio, par exemple, offre différents modèles de plan de reprise d’activité à ses utilisateurs. Ils reposent sur des solutions de sauvegarde et de réplication manuelle par Veeam, avec une réplication automatique via Zerto.

    Le PRA vous aide à limiter l’impact des incidents sur votre activité et à diminuer les pertes de données liées à une interruption de service temporaire. Cependant, certains types d’entreprises, comme les banques ou les fournisseurs de services informatiques, ne peuvent se permettre de temps d’arrêt. Ils doivent bénéficier de services en ligne à tout moment. Cela implique de construire une infrastructure résiliente pour rester accessibles, qu’importe le dysfonctionnement.

    Notre client KBRW, qui propose des solutions SaaS cloud native aux sociétés spécialisées dans la vente au détail et la logistique, certifie que bâtir des infrastructures résilientes est l’objectif à atteindre pour la sécurité d’une entreprise. Cependant, la mise en place et la possession d’un plan de reprise d’activité efficace sont des processus perpétuels. Ce dernier doit être testé et mis à jour régulièrement. En effet, votre parc de solutions informatiques et votre infrastructure évoluent. Cela affectera vos exigences en matière de sécurité.

    « […] La résilience doit être considérée comme une approche globale au sein de l’entreprise. Ce n’est en aucun cas la seule responsabilité du service informatique ou des experts en sécurité. Du point de vue de l’entreprise au sens large, il est important de mettre en place une culture du management des risques informatiques. Du plus haut échelon au plus bas. Chaque employé doit connaître son rôle et ses responsabilités dans cette stratégie globale. Pour la bonne réalisation d’un plan de résilience IT, il est indispensable de commencer par une étude des risques potentiels réaliste. Elle doit être conduite de façon régulière. Nous recommandons habituellement de la mener tous les 6 mois sur l’ensemble des points critiques de votre système. »

    Arnaud Wetzel, cofondateur et CTO de KBRW, et Ronan Garet, Site Reliability Engineer

     

    Vers la continuité de votre activité

    Un plan de reprise d’activité vous permet de réagir lors d’un incident. Prévoir la continuité de votre activité comprend les actions à entreprendre avant, pendant et après cet événement. Ce, afin de maintenir vos services et assurer le fonctionnement optimal de votre entreprise.

    Cette planification s’appuie sur trois éléments :

    • une bonne communication sur les canaux à votre disposition, comme les e-mails, les réseaux sociaux ou la presse, à propos de la crise éventuelle. Tenez vos employés, clients et partenaires informés des avancées de la résolution de l’incident et lorsque celui-ci est terminé ;
    • établir un plan d’action pour vos employés en cas d’incident. Ils doivent savoir quoi faire et qui contacter. Veillez à les mettre régulièrement au courant des évolutions de la planification et des changements de politiques de sécurité, par exemple ;
    • une infrastructure informatique résiliente est le meilleur moyen de maintenir vos services en ligne en toutes circonstances. Vous éviterez ainsi les pertes ou coûts liés aux interruptions.

     

    Plan de reprise d’activité vs la continuité de votre activité

    La continuité de votre activité est l’objectif à viser. Une planification des procédures à suivre vous permettra de faire face à la plupart des situations menaçant votre entreprise. Nos partenaires, comme Thales et Capgemini, peuvent vous fournir des services de consulting pour vous aider à mettre en place un PRA ou planifier la continuité de votre activité.

    « […] la première démarche à avoir est de bien identifier ses besoins en résilience en fonction du service hébergé. Il faut donc définir, pour chacun des services, sa criticité et le risque encouru en cas de problème de disponibilité. Une fois cet état des lieux réalisé, nous rentrons dans une phase de conception d’architecture en reprenant l’ensemble des éléments identifiés lors de l’analyse réalisée. […] Nous pouvons dégager trois différents pans d’infrastructure sur lesquels le client doit travailler pour assurer sa résilience :

    • résilience de l’infrastructure de production ;
    • mise en œuvre de la sauvegarde ;
    • mise en œuvre du PRA.

    Ces solutions doivent évidemment être sécurisées afin d’assurer la conservation de l’ensemble des données client. »

    Jean-Charles Ferrand, directeur général de Partitio

     

     

    * Selon une étude menée par l’éditeur de logiciels CA technologies.

    ** Source : The State Of Disaster Recovery Preparedness In 2020, Forrester Research, Inc., 24 août 2020.