Déployer un plan de reprise après sinistre dans une stratégie cloud : 7 bonnes pratiques

Si vous êtes actionnaire d'une entreprise, vous devez avoir l'assurance que les activités peuvent continuer même lors d'une catastrophe, qu'elle soit d'origine humaine ou naturelle.

Au cours des deux dernières décennies, à l'échelle de l'industrie, des milliards de dollars ont été investis dans la reprise informatique après sinistre dans le cadre de la planification de la continuité des activités. Toutefois, la mise au point d'un plan de reprise après sinistre bien orchestré et correctement testé reste encore l'un des principaux défis des DSI.

Si vous êtes actionnaire d'une entreprise, vous devez avoir l'assurance que les activités peuvent continuer même lors d'une catastrophe, qu'elle soit d'origine humaine ou naturelle. Les membres du Conseil d’Administration, tout en assumant plusieurs responsabilités, qui vont de la supervision de l'entreprise aux obligations fiduciaires en passant par les conseils au PDG et bien plus, doivent également pouvoir rassurer les actionnaires et le marché sur le fait que l'entreprise ne se retrouverait pas ruinée suite à une catastrophe.  Un gros poids repose donc sur les épaules des DSI en matière de plans de reprise après sinistre et le cloud est en mesure de faciliter considérablement ce travail. Une grande partie du défi réside dans le fait que les données (clients, transactions, journaux, données financières ou autres) sont aujourd'hui un actif essentiel. La reprise après sinistre ne concerne donc plus simplement la récupération des systèmes, mais également la récupération des données. 

Les conversations avec les entreprises révèlent que seules environ 50 à 60% d'entre elles possèdent des plans de reprise après sinistre. Et le plan qu'elles ont ne concerne que quelques applications. Très souvent, ces plans ne sont ni, mis à jour pour refléter les évolutions constantes de l'infrastructure, ni testés. Pourtant, les temps d'arrêt des applications d'une durée supérieure à quatre heures se traduisent souvent en perte de chiffre d'affaires, de productivité des collaborateurs et potentiellement en dommages importants pour la marque de l'entreprise. Les DSI citent la complexité et le coût de la mise en œuvre de la reprise après sinistre comme leurs principaux obstacles, justifiant leur inaction.

Mais le cloud public est venu à la rescousse des DSI en matière de reprise après sinistre. Il a complètement changé la donne en aidant les DSI non seulement à reprendre le contrôle des coûts et de la complexité, mais également en leur permettant d'étendre la reprise après sinistre à un plus large éventail de systèmes, d'applications et de données, ce qui rend par conséquent leurs plans de récupération d'entreprise plus robustes.  L'impact du cloud sur la récupération a été particulièrement flagrant suite à l'ouragan Sandy aux Etats-Unis, par comparaison avec l'ouragan Katrina. 

Suite à mes conversations avec de nombreux DSI au fil des années, j'aimerais partager quelques-unes des meilleures pratiques que les plus expérimentés ont utilisées pour déployer un plan de reprise après sinistre basé sur le cloud.

·             Impliquez-vous personnellement : Si vous n'avez pas un rôle en première ligne dans le pilotage de la planification et des tests de reprise après sinistre, vous risquez ni plus ni moins vos actifs d'entreprise au quotidien. Ne confiez pas votre planification de reprise après sinistre à quelques collaborateurs du service informatique dans un bureau lointain. Faites de la planification de la reprise après sinistre un impératif informatique stratégique. Mieux encore, faites-en un impératif pour l'entreprise, pour vous assurer que vos collègues des autres services de l'entreprise soient informés de vos plans de façon proactive. Offrez-leur la possibilité de vous faire part de leurs retours d'expérience, mais dirigez ce travail.

·             Commencez par une analyse de risques : La planification de la reprise après sinistre doit toujours commencer par une analyse de risques. Les risques s'étalent sur toute la gamme allant des catastrophes naturelles à celles d'origine humaine. D'origine humaine ? Oui : tout ce qui va des collaborateurs en colère aux accidents, en passant par les mauvaises décisions d'un administrateur ou, si vous utilisez des applications SaaS (logiciels en tant que service), aux pannes du système de votre fournisseur. Puis, attribuez une probabilité d'occurrence à ces événements. Enfin, définissez votre plan pour limiter ces risques. Par exemple, dans le cas d'une panne d'électricité, de quoi votre entreprise a-t-elle besoin en matière de puissance électrique de secours ? Vos plans de reprise après sinistre et de continuité des activités basés sur le cloud incluent également une stratégie de priorisation des systèmes (qui catégorise vos systèmes en fonction de leur criticité) : tout ce qui va des systèmes pour lesquels un temps d'arrêt peut mettre l'entreprise en grave danger, à ceux qui peuvent être arrêtés pendant assez longtemps sans que de gros problèmes ne frappent l'entreprise.

·             Gérez les résistances : Votre service informatique est probablement rempli de personnes à la pensée extrêmement structurée. C'est pour cela que vous les avez recrutés. Des équipes sont en place pour déployer des infrastructures stables, sécurisées, solides... et elles ne veulent pas compromettre cela. Beaucoup de chefs d'équipes informatiques soutiennent que leur problème, concernant la reprise après sinistre dans le cloud, est la sécurité. Quand quelqu'un joue la carte de la « sécurité », les DSI doivent répondre qu'il s'agit au final d'une question de confiance. Tous les jours, nous prenons des décisions concernant les fournisseurs de service qu'utilisent les entreprises (on parle ici des fournisseurs de technologies aux sous-traitants en passant par les RH, les partenaires financiers et les consultants juridiques externes). Votre société contrôle toujours ces fournisseurs tiers et les interactions sécurisées entre eux et votre entreprise. Il en va de même ici. Cet argument prend tout son sens si vous consommez déjà des applications SaaS comme une messagerie électronique, des outils de bureautique ou ERP.

·             Rassemblez votre travail de virtualisation et de passage au cloud : Bien que la planification de la reprise après sinistre soit critique pour la continuité des activités, elle n'apparaît que rarement sur la liste des priorités budgétaires. C'est pourquoi beaucoup de DSI font porter les coûts de la reprise après sinistre : planification, sélection de solutions, déploiement et tests, sur d'autres parties de leur travail informatique. Si c'est le cas pour vous, nous vous recommandons de le faire sur votre travail de virtualisation. Il y a deux principaux avantages à mettre en commun votre travail de virtualisation et de passage au cloud : 1) La virtualisation vous apporte la portabilité des applications, et 2) le modèle économique du cloud de paiement à l'utilisation vous offre une option hors site économique ; vous n'avez plus à construire un deuxième datacenter ou à louer un espace d'hébergement en colocation onéreux. Si vous considérez la valeur globale de tous ces éléments, les DGI ont une option très intéressante en matière de stratégie de reprise après sinistre hors site pour les applications. Mais vous avez besoin d'une dernière chose pour assembler le tout : une option de récupération solide qui garantit que les applications et les données portées vers le cloud sont récupérables dans les délais exigés pour assurer la continuité des activités. Cela implique d'investir dans des fonctionnalités d'orchestration de plusieurs plateformes pour récupérer toutes les données et applications différentes nécessaires à l'entreprise.

·             Faites du mobile un élément central dans votre plan de reprise après sinistre : Avec plus de 70 % des collaborateurs comptant sur un ou plusieurs terminaux mobiles pour effectuer leur travail, la mobilité est devenue une question prioritaire pour les DSI. Ajoutez à cela le BYOD et les entreprises se retrouvent face à une crise de la mobilité. Gartner prévoit que d'ici 2017, 50% des employeurs demanderont aux collaborateurs d'amener leurs propres terminaux mobiles sur leur lieu de travail, ce qui compliquera encore la reprise après sinistre pour les mobiles. Soudain, le risque de perte des données de l'entreprise à partir des équipements personnels devient un problème majeur, car en plus de tous les facteurs ci-dessus, vous devez également envisager la perte des équipements dans votre planification. Mais les entreprises sont face à un casse-tête. Les sociétés ne veulent pas sauvegarder des données personnelles sur les serveurs de l'entreprise, pourtant le besoin de reprise après sinistre pour les terminaux mobiles est critique. Nous recommandons aux DSI de travailler avec un consultant d'entreprise pour mettre au point une politique d'utilisation acceptable pour les collaborateurs. Ces politiques fournissent généralement un cadre à ce que l'entreprise peut et ne peut pas faire avec les équipements personnels des collaborateurs, qu'il s'agisse d'enquête électronique ou d'un problème concernant un collaborateur.

·             Ne laissez pas les tests de reprise après sinistre vous démoraliser : Les tests de reprise après sinistre peuvent démoraliser vos équipes de planification et de test de la reprise après sinistre. Coupez-y court. Précisez les attentes avec votre équipe en expliquant que vous anticipez des problèmes et que les tests sont essentiels pour les identifier. Il est recommandé de mettre en place des points de contrôle réguliers avec votre équipe concernant les tests pour neutraliser les problèmes de moral avant qu'ils surviennent. À long terme, la mise en place d'une culture incluant les tests de reprise après sinistre sera essentielle à l’image de celle incluant les tests d'une application avant son déploiement en production.

·             Soyez sûr de pouvoir garantir la récupération : Arrivez au point où vous pourrez affirmer avec assurance à votre conseil d'administration que vous avez un plan de reprise après sinistre complet en place. Informez-le que les risques sont atténués et que la continuité des activités possède des fondations solides.

Les risques et les contingences à prendre en compte sont nombreux lorsque l'on crée un plan de reprise après sinistre. Mais les DSI avisés se tournent vers le cloud et la virtualisation pour répondre plus facilement à leurs besoins en matière de reprise après sinistre. Lors de vos discussions avec votre PDG, présentez les coûts et la perte de chiffre d'affaires dans l'éventualité où l'entreprise ne pourrait pas continuer ses activités en cas de panne, qu'elle soit d'origine naturelle ou humaine. De façon générale, des exemples concrets de votre propre expérience ou de celle de vos homologues de l'industrie sont utiles. Quels que soient vos besoins ou votre technologie de préférence, la planification de la reprise après sinistre et de la continuité des activités doivent devenir des maillons de l'exploitation de votre entreprise.

 

Virtualisation / Etats-Unis