Protéger l’entreprise contre l’imprévu grâce à la reprise après incident 2.0

Alors que les cadres dirigeants continuent de s’intéresser aux défis liés à la disponibilité des données et à la continuité d’activité, la reprise après incident en mode SaaS (DRaaS) fait également parler d’elle.

L’imprévu fait partie de la vie, et la nature apporte son lot d’événements imprévisibles. De nombreuses catastrophes naturelles, allant de l’inondation au tremblement de terre en passant par un incendie, peuvent s’abattre sur les entreprises à travers le monde. Cependant, la majorité des chefs d’entreprise ont tendance à penser que cela ne leur arrivera pas : se sachant couverts par leur assurance, ils pensent que c’est suffisant. Pourtant, obtenir un dédommagement financier en cas d’inondation ne résout qu’une partie du problème. Qu’en est-il du bon fonctionnement des services et données de l’entreprise ? Il est fort probable que surviennent des temps d’arrêt et des pannes de service, sous une forme ou une autre, avec de nombreuses conséquences pour l’entreprise.

Que la panne informatique soit le résultat d’un phénomène météorologique cataclysmique, de défaillances technologiques ou d’actions humaines, elle peut avoir des effets dévastateurs. Cependant, les entreprises sont souvent découragées face à la perception qu’elles ont des coûts et de la complexité des plans de reprise d’activité. Par conséquent, beaucoup d’entre elles ont recourt à des processus dépassés et non testés, ou pire, ne mettent en place aucun plan. Les environnements sont en constante évolution, ce qui signifie que les entreprises doivent tirer profit du cloud et de la reprise après incident en mode SaaS (DRaaS) afin de s’assurer qu’elles sont convenablement protégées et que leurs services continuent de fonctionner.

 Des répercussions dévastatrices

Les entreprises sont exposées à différents problèmes lorsqu’une panne survient, comme la perte de productivité des employés, dont le coût peut rapidement s’envoler ; Gartner estime que les entreprises perdent en moyenne 5 600 dollars par minute de temps d’arrêt. Cependant, l’essor du numérique signifie pour les entreprises qu’elles sont, plus que jamais, sous pression pour fournir un service continu, les temps d’arrêt pouvant avoir de sérieuses implications pour leurs clients.

Une panne imprévue peut impacter n’importe quelle entreprise et survenir à n’importe quel moment. Les équipes informatiques doivent s’assurer qu’un plan de sauvegarde est en place, de façon à ce que les données de l’entreprise continuent d’être disponibles et à limiter le plus possible l’impact de l’incident. La reprise après incident est loin d’être simplement accessoire, ou le signe d’une prudence excessive. Au contraire c’est un impératif pour toute entreprise.

 La sécurité dans le(s) cloud(s)

Historiquement, la reprise après incident s’est souvent appuyée sur les serveurs hors site, ou même les bandes, selon la période à laquelle on remonte. Toutefois, le cloud computing est désormais une parfaite alternative à ces méthodes traditionnelles de reprise après incident – qu’on utilise la reprise après incident en mode SaaS (DRaaS) d’un fournisseur de service ou qu’on mette tout simplement ses sauvegardes dans le cloud. De plus, lorsqu’une panne se produit, les entreprises n’ont pas besoin d’attendre la restauration des serveurs sur site ou de subir les retards, et de manière occasionnelle les risques, liés au déplacement des équipes informatiques jusqu’au site de restauration.

La reprise après incident en mode SaaS (DRaaS) est un modèle précieux basé dans le cloud. En effet, cette approche offre une reprise après incident totale grâce à la réplication des serveurs physiques ou virtuels de l’entreprise, qui permettent le basculement. Grâce au modèle DRaaS les applications critiques deviennent opérationnelles de manière quasi instantanée après un incident.

Au même titre que les autres modèles « as a Service », l’approche DRaaS offre des avantages majeurs pour les entreprises de toutes tailles. Pour les plus petites entreprises, les coûts sont réduits et leur permettent d’accéder à la disponibilité, alors que la mise en place d’un tel service en interne aurait été compliquée. Les entreprises de plus grande taille peuvent bénéficier de l’évolutivité de ce modèle adapté à leurs besoins, qui varient en fonction du nombre de serveurs, d’applications et de bases de données utilisées.

Indépendamment de la taille de l’entreprise, les équipes informatiques récupèrent un temps précieux qu’elles auraient autrement dû consacrer aux sauvegardes. L’approche DRaaS est, de ce fait, une option de plus en plus populaire qui devrait connaître une croissance de 25% d’une année sur l’autre au cours des dix prochaines années.

 Mise en place du modèle DRaaS

Pour développer la stratégie la plus adaptée, et évaluer le rôle du modèle DRaaS, les entreprises doivent envisager la reprise après incident dans le cadre de leur stratégie d’entreprise globale. Effectuer un bilan d’impact sur l’activité est le point de départ idéal.

Il est vital d’identifier les applications et les processus les plus critiques à la continuité d’activité de l’entreprise quotidiennement et à tout moment de la journée. Il est également vital d’estimer le temps d’arrêt maximum que l’entreprise peut subir pour chaque processus opérationnel avant d’atteindre le point de rupture. Il s’agit ensuite de déterminer quels seraient les objectifs de temps de restauration les plus adaptés à ces applications et ces processus.

Passer en revue certains scénarios hypothétiques peut être utile, en évaluant par exemple la quantité maximale de données perdues que l’entreprise peut supporter, ou encore le temps nécessaire pour être à nouveau opérationnelle. Ces questions permettent de définir les objectifs de temps de restauration (RTOs) de l’entreprise et la meilleure approche à adopter en conséquence.

Sans oublier la question de la conformité, qui permet d’établir le périmètre d’une stratégie de reprise après incident. Avec le RGPD et la directive Network and Information Security (NIS), les entreprises doivent s’assurer qu’elles comprennent où partent leurs données une fois partagées et que leur stratégie est à la fois complète et parfaitement conforme aux règlementations locales lorsqu’elles trouvent la bonne plateforme. De leur côté, les prestataires de service dignes de ce nom doivent être en parfaite conformité avec les exigences légales des zones géographiques dans lesquelles ils opèrent.

On oublie souvent que le fait d’avoir un plan de reprise d’activité n’est pas suffisant. Il faut également tester régulièrement la viabilité et la qualité des sauvegardes pour s’assurer qu’elles peuvent être pleinement restaurées, que le plan fonctionne comme prévu et que toutes les données se trouvent là où elles doivent être (hors site, par exemple). Se rendre compte que le plan n’a pas complètement été mis en place ou exécuté depuis des mois est le pire qui puisse arriver en cas d’incident, voire même, découvrir que les workloads ne peuvent pas être restaurés.

Les entreprises doivent absolument résister à la tentation d’éviter les questions de reprise après incident, car les pannes informatiques arrivent à n’importe qui. Et selon le cabinet IDC, 80% des entreprises qui n’ont pas de plan de reprise d’activité risqueraient tout simplement de faire faillite en cas d’incident.