Les entreprises sont de plus en plus dépendantes de leur système d’information, qui eux-mêmes sont de plus en plus exposés à tous types de défaillances. Un incendie, un bug informatique, une cyber-attaque, un service cloud inaccessible, une erreur humaine, etc peuvent mettre en péril l’activité d’une organisation.
La disponibilité et la sécurité des données sont devenues des enjeux majeurs pour la pérennité des entreprises et ce, quelle que soit leur taille et leur secteur.
Au-delà des nombreuses technologies capables de protéger les systèmes d’information des risques de cyberattaque, il existe des solutions permettant de se prémunir d’une interruption du système ou d’une perte de données.
Voyons de plus près les bonnes pratiques à adopter pour assurer la disponibilité et la sécurité des données en cas d’attaque, de sinistre ou de défaillance.
Les notions de RPO / RTO
Avant d’entrer dans le vif du sujet, il est important de comprendre les notions de RPO et de RTO. Des indicateurs d’objectifs à atteindre idéalement en cas de sinistre.
RPO : Recovery Point Objective. Il fait référence à la quantité de données perdue entre un sinistre / une défaillance et la dernière sauvegarde en date.
Le RPO implique de définir une fréquence minimale de sauvegarde des données. Si ces dernières sont peu critiques dans une entreprise, une sauvegarde journalière suffira. En revanche, en cas de données ayant un impact fort sur la production, plusieurs sauvegardes quotidiennes se révèlent nécessaires.
RTO : Recovery Time Objective. C’est l’objectif de temps qu’une entreprise se donne pour rétablir un système informatique en panne. Il diffère selon le type de brique informatique touchée (serveur, réseau, ordinateur, application) et l’impact de cette panne sur la production.
WRT : Work Recovery Time. Il détermine la durée maximale tolérable nécessaire pour vérifier le bon fonctionnement du système et l'intégrité des données. Le temps d'arrêt maximal tolérable (MTD) est la somme de RTO + WRT. Il définit la durée totale pendant laquelle un processus métier peut être interrompu sans entraîner de conséquences inacceptables.
La nécessité d’avoir une sauvegarde résiliente
Aucun système informatique n’est à l’abri d’une défaillance et aucun système de sécurité n’est infaillible. Les risques d’interruption peuvent venir de l’externe comme de l’interne.
La résilience informatique est la capacité d’un réseau ou d’un système à résister, à s’adapter et à se rétablir rapidement face à des incidents, des perturbations ou des attaques.
La résilience informatique repose, entre autres, sur la mise en œuvre de sauvegardes régulières.
Les solutions de sauvegarde automatique et régulière des données permettent de créer des copies de sécurité et de les restaurer en cas de perte ou de corruption des données. La règle d’or est la stratégie de sauvegarde 3-2-1-1-0.
La règle du 3-2-1-1-0 est un principe basé sur la création de programmes de sécurité des données isolés physiquement, résilients et redondants pour éviter toute perte de données.
Pour cela, une entreprise doit disposer de 3 copies de ses données importantes, sur au moins 2 types de support de technologie différente, l’1 au moins de ces copies se trouvant hors-site et 1 autre hors-ligne.
Le zéro signifie que 0 erreur de sauvegarde n’a été décelée lors des vérifications automatiques des sauvegardes.
Les solutions de haute disponibilité
Une fois la solution de sauvegarde installée, il est indispensable de prévoir comment les données sauvegardées vont être utilisées et comment les services informatiques vont redémarrer. C’est tout l’enjeu d’un plan de reprise d’activité (PRA).
Un PRA est un plan détaillé qui formalise les processus, les outils et les actions à suivre pour réduire le RTO (autrement dit, le temps de redémarrage des machines virtuelles) et reprendre avec succès l’activité d’une entreprise.
Le PRA dit local consiste à avoir un serveur de production et un serveur de secours en veille. En cas de défaillance du serveur de production, il sera possible de redémarrer son activité avec le serveur de secours grâce à la réplication des machines virtuelles sur ce dernier.
Contrairement au PRA local, le PRA dans le Cloud permet de se prémunir de tout risque de perte de données en cas de sinistre (inondation, incendie) ou de vol dans les locaux de l’entreprise puisque les données sont stockées hors-site. En revanche, les délais de RPO et de RTO peuvent être plus longs qu’un PRA en local car ils sont soumis à la qualité de la bande passante internet de l’entreprise.
Les avantages de la mise en place d’un PRA se mesurent par rapport aux risques de perte de chiffre d’affaires, de mauvaise image vis-à-vis des clients et des partenaires ou encore de sanctions disciplinaires ou pénales en cas de non-respect d’obligations réglementaires encourues en cas de panne ou de coupure.
Le concept du PCA (ou Plan de Continuité d'Activité) est d’avoir deux serveurs actifs qui travaillent de concert. En cas de défaillance d’un des serveurs, la machine virtuelle qui s’exécutait sur ce serveur va s’interrompre mais elle va redémarrer automatiquement grâce au deuxième serveur disponible. Cela évite la perte de données du RPO et cela permet d’avoir un RTO quasi nul (redémarrage sans délai).
Tout ceci est valable dans le cadre d’une défaillance matérielle d’un des deux serveurs. Mais le PCA ne répond pas aux défaillances système des machines virtuelles (VM en erreur ou cyberattaque).
Pour combler cette problématique, il y a la solution de coupler le PCA et le PRA. Cela permet d’avoir une solution hautement disponible d’un point de vue matérielle (PCA) mais aussi de bénéficier d’un serveur de secours via le PRA en cas d’attaque ou de problème de mise à jour d’une application par exemple.
En résumé, le PRA et le PCA sont comme une assurance automobile. Sans accident, on n’en mesure pas l’intérêt. En revanche, en cas de sinistre, c’est la garantie pour l’entreprise de maintenir son activité et de conserver ses données critiques sans risque d’indisponibilité et donc sans perte de revenu.
Promosoft Informatique propose des solutions de sauvegarde et de PRA/PCA adaptées aux spécificités de chaque entreprise.
A lire aussi : Etes-vous sûrs que vos sauvegardes fonctionnent correctement ?