La multiplication depuis 2020 des sinistres dans l’IT (Incendie de datacenter, panne de service Cloud, etc.) et des cyberattaques, par rançongiciel notamment, obligent les entreprises à mieux protéger leurs précieuses données. Découvrez comment bien redémarrer votre activité en cas de sinistre grâce au déploiement d’un Plan de Reprise d’Activité (PRA), voire d’un Plan de Continuité d’Activité (PCA).
Plusieurs phénomènes conjoncturels survenus depuis 2020, dont des cyberattaques massives, l’incendie d’un datacenter ou le passage d’un nombre important de collaborateurs en télétravail, ont encouragé les entreprises à remettre en question la sauvegarde de leurs données.
Un constat que partage Stéphane Pironon, responsable du pôle Conseil de l’intégrateur Intrinsec. « Avec le développement du télétravail, toutes les entreprises ont mis en place des mini plans de continuité pour s’assurer que les métiers continueraient à travailler dans des conditions satisfaisantes, y compris hors informatique ».
Toutefois, « seulement 1/10e des PME conçoivent et déploient des dispositifs informatiques leur permettant de reprendre leur activité rapidement après un sinistre » estime Hong Girault, responsable commercial PME d’Oodrive. Pour des questions de méconnaissance du sujet le plus souvent, mais aussi par manque de compétences et de moyens financiers.
Mettre en place un PRA, voire un PCA
Pourtant, toute donnée est devenue une cible. Pour éviter des temps d’arrêt massifs de l’activité en cas de sinistre IT, les entreprises ont intérêt à déployer un Plan de Reprise d’Activité (PRA), voire un Plan de Continuité d’Activité (PCA) pour les protéger. Mais alors, quelle est la différence entre les deux ? : « C’est vrai que la différence n’est pas toujours simple à comprendre, surtout pour une société ne possédant pas de direction informatique (DSI) », explique Stéphane Pironon. « Le PRA concerne la remise en service des systèmes informatiques de l’entreprise. Contrairement au PCA, dont l’objectif premier est d’assurer la continuité de ses activités métier ».
Les 7 bonnes pratiques de l’industrie
Nos experts vous donnent ici les bonnes pratiques de l’industrie afin de vous aider à optimiser la sauvegarde de vos données.
1 Nommer un responsable PRA et sauvegarde
La première étape pour réussir un projet aussi stratégique pour l’entreprise passe par la validation de sa direction générale. « Elle devra nommer un “M. PRA” qui bâtira une cellule PRA avec des ressources en interne, ou avec l’aide d’un partenaire qui possède les connaissances techniques nécessaires », explique Stéphane Pironon.
Si l’entreprise possède un service informatique, elle peut donc en confier la responsabilité à un chef de projet, voire externaliser la mission auprès d’un prestataire de services IT, du type intégrateur ou infogéreur par exemple. La personne choisie doit posséder une connaissance approfondie de l’informatique et des télécoms. Tout comme son équipe si l’entreprise décide de lui adjoindre une aide afin d’accélérer ce processus, qui peut s’annoncer long et laborieux.
2 Cartographier et documenter l’existant à sauvegarder
Une fois la confiance de la direction générale obtenue, la première mission du responsable PRA sera de gagner celle des directions métiers. Il en aura besoin pour réaliser chez elles des audits et des analyses, tant technologiques qu’organisationnelles, de leurs outils informatiques (applications, réseau, stockage, etc.) et de leurs processus qui lui serviront à les cartographier.
« Sinon, les PME seront perdues si un sinistre survient car elles n’auront pas la cartographie de leurs données et de leurs applications » estime Luc d’Urso, PDG de l’éditeur Atempo.
« C’est leur responsabilité exclusive de s’occuper du Plan de reprise d’activité après sinistre. Ce n’est pas le travail d’un hébergeur, qui gère lui SON plan de reprise d’activités, pas de celui de ses clients. »
A ce titre, le responsable du PRA doit en profiter pour mettre en place une vraie politique de gouvernance des données. Il lui faudra alors étudier les différents processus de sauvegarde et de traitement des données de l’entreprise, tant en interne que chez ses partenaires ou sous-traitants. Ensuite, une fois cette tâche conséquente achevée, à charge pour lui de classer – et de documenter – les différents actifs par niveau de criticité en précisant leurs interdépendances éventuelles. Ce processus lui permettra de mobiliser les bonnes ressources informatiques, logistiques et humaines en cas de problème.
3 Définir le périmètre du PRA…
et son niveau d’exigence en termes de service garanti (SLA)
« Le périmètre du dispositif de sauvegarde doit prendre en compte la complexité grandissante des SI et de leurs multiples sources de données à sauvegarder, en provenance des serveurs, des PC sur site, des postes nomades, des applications dans le Cloud, etc. » conseille François Esnol-Feugeas, PDG de l’éditeur Oxibox, un spécialiste de la sauvegarde des données.
Toutes les données classées et répertoriées par le chef de projet lui serviront à définir le périmètre de la sauvegarde du PRA et son bon fonctionnement. Elles lui serviront également à choisir les processus nécessaires au redémarrage des services considérés comme les plus critiques par la direction générale.
Tout étant affaire de coûts en matière de PRA et de PCA, l’entreprise qui veut maitriser son enveloppe budgétaire doit l’indexer sur le calcul des risques encourus. Elle doit donc définir des niveaux de services garantis (SLA) atteignables – le risque 0 n’existe pas – voire acceptables en termes de pertes potentielles (voir article “Sauvegarde ou restauration ?”).
« Il n’est pas obligatoire de tout backuper » estime Stéphane Pironon. « Il est préférable d’être sélectif sur la sauvegarde des données et services à privilégier pour bien calculer les risques encourus et limiter les coûts. Il est ensuite plus facile de garantir des niveaux de SLA en fonction du budget disponible et des enjeux pour l’entreprise ».
4 Concevoir une infrastructure de sauvegarde en miroir…
Tous les experts vous le diront, difficile de créer un vrai RPA, reconnu par les assurances, sans disposer d’un système d’information dupliqué “en miroir” sur un serveur ou un site informatique distant a minima, dans un datacenter par exemple.
Le dispositif assure la duplication, en temps réel ou en différé, des données critiques d’un site à l’autre et permet de redémarrer le système d’information victime d’un sinistre à partir du second site. Pensez aussi à mettre un prestataire informatique dans la boucle pour vous doter des compétences et infrastructure nécessaires si vous ne les possédez pas.
Mais là encore, assurez-vous de choisir les bons niveaux de service (SLA) dans le contrat avec le ou les prestataires retenus, car les pertes de données peuvent être aussi salées que l’addition finale sinon. « D’autant que nos clients veulent monter leurs PRA dans tous les Clouds afin de pouvoir naviguer plus facilement d’une plateforme à l’autre avec les mêmes outils, mais également sur site », explique Stéphane Arnaudo, responsable Infrastructure Cloud chez NetApp. « Au final, les coûts peuvent être élevés selon les niveaux de SLA demandés et les outils de monitoring choisis pour rechercher le meilleur Cloud au meilleur coût à un instant T de la production ».
5 … Sur site et/ou dans le Cloud ?
« La sauvegarde sur site a l’avantage de présenter un temps de restauration souvent plus court car il s’effectue à partir du disque dur du serveur ou du PC, voire d’une baie de stockage sur bande. L’inconvénient pour les PME est que cela nécessite une discipline pour mettre en place une vraie politique de sauvegarde tenue à jour », analyse Hong Girault. Mais la réplication peut être coûteuse sur site si elle est assurée par des baies de stockage (de la même marque) qu’il faudra dupliquer. Pensez d’ailleurs à regarder les avantages et inconvénients des différentes technologies utilisées (bandes, disques, etc.).
Le Cloud est aussi utile, y compris public pour des données non stratégiques, car il n’est pas nécessaire de disposer d’une infrastructure de sauvegarde identique sur chacun des deux sites. Il est donc devenu une alternative intéressante financièrement pour les PRA, d’autant qu’il permet de faire évoluer rapidement son dispositif de sauvegarde, tout en évitant de gérer les mises en condition opérationnelles, lesquelles sont réalisées par le prestataire.
Comme le confirme Patrick Rohrbasser, directeur Europe du Sud & Afrique chez Veeam : « Le Cloud n’est pas forcément le seul choix pour le PRA, mais c’est devenu une alternative pour les sites principaux, ou les sites déportés le plus souvent. D’autant que les fournisseurs spécialistes de la sauvegarde ont dupliqué dans le Cloud ce qu’ils savaient très bien faire sur site. En outre, les temps de réplication et de RTO (voir article “ Sauvegarde ou restauration ?”) sont de plus en plus faibles grâce à de nouvelles technologies et systèmes d’automatisation ». A condition de bien maîtriser les arcanes des services et options du Cloud…
Mais compte-tenu du caractère confidentiel et critique de certaines données, nombre d’entreprises renoncent au Cloud public pour privilégier des Clouds privés ou hybrides “plus sécurisés”. « De même, si elles ne montent pas toutes leur PRA dans le Cloud, c’est souvent pour des problèmes de limitations en termes de bande passante et de capacité de stockage. Elles peuvent constituer un goulot d’étranglement au moment de redémarrer leurs installations sur site, surtout en temps réel » précise François Esnol-Feugeas.
6 Rendre ses sauvegardes hors d’atteinte des cyberattaques
Que la solution retenue pour le PRA implique une sauvegarde ou une réplication des données sur site ou dans le Cloud, il est vital qu’une partie du dispositif soit à l’abri des rançongiciels, comme l’explique Guillaume Lannoy, directeur commercial de Wooxo : « Il est important de s’assurer que des sauvegardes ne soient pas exposées sur le réseau sans protection, afin de rester hors d’atteinte des cyberattaques. »
7 Tester régulièrement les backups de son PRA
Concevoir et déployer un PRA ou un PCA n’est pas suffisant. Il faut le tester très régulièrement, car on est toujours à la merci d’un rançongiciel ou d’un dysfonctionnement lors d’une montée en version. En effet, les infrastructures, les logiciels et les produits qui composent le dispositif sont fréquemment mis à jour par les fournisseurs.
Stéphane Pironon conseille aussi de « mettre en place une cellule de crise qui détient les dispositifs et scénarios établis pour le PRA ».
A charge pour elle de tester régulièrement les procédures d’intervention en cas de sinistre, la documentation associée, mais aussi la validité des niveaux de certification (ISO, ITIL, etc.) obtenus.
Jérôme Warot, VP des comptes techniques en Europe du sud de Tanium, confirme qu’il est essentiel, « de s’entraîner, vérifier et tester ses sauvegardes à travers l’élaboration et la mise en œuvre d’un véritable plan de gestion et de vérification de la sauvegarde des données, au même titre que des entreprises s’entraînent et travaillent sur des plans de reprise d’activité (PRA) ou des exercices de simulation de cyberattaque ».