Blog GlobalSign

22 août 2018

Reprise après sinistre en tant que Service (DRaaS) : que faut-il en penser ?

Les innovations technologiques dans l’univers de la mobilité, des réseaux sociaux et de l’Internet des Objets (IoT) ont permis aux entreprises de gagner en souplesse et réactivité. Mais notre insatiable quête de flexibilité et de disponibilité accroît également le risque de catastrophe.

Vous devez tout d’abord vous interroger sur la durée maximale de temps d’arrêt et d’indisponibilité des services que vous pouvez supporter, en tant qu’entreprise. Selon plusieurs études et enquêtes, après une catastrophe les entreprises finissent par mourir. Près de 43 % des organisations succombent au cataclysme et ne se relèvent jamais. Autre chiffre impressionnant, 51 % des entreprises mettent la clé sous la porte dans les deux ans suivant la perte de leur système d’information et de leur infrastructure provoquée par une catastrophe. Seulement 6 % des entreprises survivent au désastre et parviennent à récupérer sur le long terme.

Reprise après sinistre : la solution pour les entreprises ?

Je suis ici pour vous confirmer que c’est le cas ! Une reprise digne de ce nom assure la protection des données critiques et de la configuration informatique de l’entreprise en cas de pannes et de temps d’arrêt, et veille à ce que l’entreprise puisse poursuivre ses activités sans couac. Pour limiter le problème des temps d’arrêt et des pannes, un plan de reprise après sinistre peut être mis en place. Généralement, ce plan de reprise après sinistre s’articule autour d’une solution à toute épreuve qui respecte scrupuleusement la durée maximale d’interruption admissible et les seuils de tolérance pour ce qui est de la perte de données et de temps, avant la reprise d’activité.

Comment élaborer une stratégie de reprise après sinistre efficace ?

Les nouvelles technologies ont permis à une majorité d’organisations d’abandonner leurs anciennes pratiques pénibles et onéreuses basées sur des supports de sauvegarde physiques, comme les bandes. Outre son absence de commodité et d’évolutivité, cette méthode exigeait de tester en permanence les processus de restauration, avec au bout du compte des problèmes potentiels fréquents au niveau des supports.

Certaines organisations préfèrent se doter d’un second centre de données répliquant leur environnement informatique. Mais attention, la duplication (« mirroring ») de certains équipements peut se révéler coûteuse à cause d’une sous-utilisation du matériel secondaire « en miroir ». Par ailleurs, les différences de configuration entre les deux centres de données —qui ne simplifient pas la maintenance — compliquent la réalisation d’une bascule parfaite. Les tests de reprise pour ce type de configuration sont complexes et peuvent parfois perturber le fonctionnement des services métiers. En cas d’échec de la bascule, la restauration des services mobilise des ressources importantes.

L’avènement des services cloud incite les entreprises à s’orienter vers des méthodes de reprise dans les nuages. Elles récupèrent leurs données en toute transparence et ont l’assurance que la sécurité et l’intégrité de leurs données sauvegardées seront préservées. Autre avantage, elles n’ont pas à se soucier en permanence des tests, de l’emplacement ou de l’infrastructure de leur configuration de récupération.

Attention : la reprise d’activité dans le cloud ne s’apparente ni à une réplication ni à un spin-up live de l’environnement de production de l’organisation. Il s’agit en l’occurrence de sauvegarde et de stockage des données d’entreprise, des instantanés (« snapshots ») d’applications et des images système à partir d’une infrastructure cloud. En cas de sinistre, ces copies des différents aspects de l’entreprise sont faciles à récupérer sur des serveurs virtuels ou physiques. Les entreprises qui choisissent des services de reprise après sinistre basés dans le cloud doivent cependant prêter attention à certains points. Elles doivent vérifier que la sécurité des données est surveillée et protégée pendant toute la durée de leur transfert. De plus, tous les utilisateurs qui manipulent les données doivent être authentifiés de manière appropriée.

La reprise après sinistre en tant que Service (DRaaS) se différencie légèrement de la reprise après sinistre dans le cloud. Avec le DRaaS, plus besoin de bandes, ni de matériel répliqué, de centre de données dédoublé ou de sauvegardes dans le cloud.

Qu’est-ce que le DRaaS et est-ce le top en matière de DR ?

Le DRaaS nécessite la mise en place d’un site de secours tiède ou chaud — correspondant à une réplique partielle ou totale de l’environnement de production de l’entreprise — pour pouvoir rétablir en direct les données et configurations IT. À cet effet, l’entreprise a le choix entre plusieurs types de cloud : cloud public, cloud privé virtuel (VPC, Virtual Private Cloud) ou environnement hybride.

En général, la gestion du site de secours s’effectue via un portail Web qui permet de configurer et d’exécuter instantanément et en direct l’environnement de production de l’entreprise. Pour garantir la continuité de service, le modèle utilise des technologies CSP (Cloud Solution Provider) intégrées aux serveurs de machines virtuelles, ces serveurs étant configurés pour prendre le relais en cas de défaillance des serveurs principaux de l’entreprise. En cas de sinistre ou de panne des services sur le site principal de l’entreprise, le fonctionnement des services critiques est assuré grâce au cloud du fournisseur. Et ce, sans équipement matériel coûteux ni installation épineuse.

En dehors des questions de disponibilité, plusieurs paramètres sont à étudier avant de choisir de faire les choses par vous-même ou de faire appel à une solution de DRaaS.

–            Lorsque vous configurez votre propre infrastructure de secours, vous devez budgétiser les coûts connus, les coûts récurrents, ainsi que les coûts imprévus. Résultat : les dépenses s’envolent et vos économies aussi ! En revanche, avec le DRaaS, tout est annoncé et calculé dès le début, sans que vous n’ayez à investir dans du matériel. Chez les acteurs du stockage cloud, la tarification des forfaits est calculée à l’usage (« pay-as-you-go »). Augmenter la disponibilité des systèmes en investissant moins... c’est ce que l’on appelle du gagnant-gagnant.

–             En dehors d’un coût total de possession inférieur, le DRaaS se distingue des solutions bricolées en interne par sa flexibilité et son évolutivité. En s’adaptant à l’évolution des besoins, les solutions dans le cloud offrent aux entreprises l’assurance de disposer instantanément de toutes les ressources nécessaires le jour où elles souhaiteront passer au niveau supérieur.

–           Dès lors que la gestion de la reprise d’activité incombe au fournisseur de services, les tâches de documentation inhérentes à une démarche « maison » n’ont plus lieu d’être. C’est au prestataire de veiller à ce que les procédures soient documentées de manière exhaustive, qu’elles soient communiquées à l’ensemble des parties prenantes, faciles à comprendre et à exécuter au moment où la catastrophe se produit.

–           Le prestataire doit également posséder toutes les compétences requises pour assurer le suivi des modifications dans l’environnement de production et l’actualisation de l’environnement répliqué. Faute de quoi, l’équipe informatique de l’entreprise risque d’avoir fort à faire pour maintenir l’historique requis et une réplication exacte de l’environnement concerné.

–            L’entreprise est-elle prête pour une solution DR ? Pour le savoir et garantir une reprise d’activité parfaitement conforme aux besoins de l’entreprise, des tests approfondis et cohérents doivent impérativement être réalisés. C’est un travail particulièrement chronophage et fastidieux. Dans le cadre d’un DRaaS, c’est le prestataire qui s’en charge. Il déroule le scénario de test de DR avec toute la rigueur requise. Certains fournisseurs proposent également d’effectuer des tests d’intrusion.

–            La quasi-totalité des fournisseurs DRaaS respecte les différents règlements et référentiels de sécurité. Ces normes réglementaires accordent une importance primordiale à la sécurité des données. Naturellement, le prestataire de services doit considérer la sécurité des données de l’entreprise comme une priorité critique. Pour l’entreprise, c’est la garantie d’une certaine sérénité, sachant que le prestataire assure la « reprise après sinistre », mais surtout qu’il le fait bien.

Comment savoir si la solution peut me convenir ?

Le DRaaS peut être personnalisée pour répondre aux besoins des entreprises de toute taille. Les avantages évoqués plus haut vous intéressent, mais vous n’avez ni les budgets ni les ressources nécessaires ? Trois possibilités s’offrent à vous :

  1. DRaaS en libre-service — Ici, le fournisseur met à votre disposition tous les outils nécessaires pour assembler, surveiller et réaliser les réplications de votre environnement de production, pour être prêt en cas de sinistre. L’équipe informatique de votre entreprise intervient au moment de la panne pour exécuter les procédures de reprise.
  2. DRaaS assistée — Même si cette option n’est que très rarement proposée, ici le fournisseur met à votre disposition les ressources nécessaires, et vous aide à mettre en œuvre, tester et gérer votre plan de reprise d’activité. En cas de sinistre, le fournisseur vous aide à compléter les ressources manquantes pour que votre entreprise atteigne les objectifs de reprise définis.
  3. DRaaS managée — Avec ce modèle, le fournisseur est responsable de tout. C’est la forme d’externalisation des options de reprise d’activité la plus courante. Le prestataire gère tous les aspects de la reprise — la mise en application de votre stratégie de récupération étant sa priorité absolue.

Précautions, décharge de responsabilité et dernières réflexions

Grâce à la réplication continue des infrastructures et données critiques vers un service cloud haute disponibilité, le DRaaS offre la résilience nécessaire pour permettre aux organisations de reprendre leur activité en quelques minutes à peine après une panne. Certains prestataires fournissent aussi une analyse constante de la gestion de la reprise d’activité permettant d’évaluer et de valider le degré de préparation des entreprises en matière de DR. Comme pour toute prestation externalisée, un point mérite une attention toute particulière : le fournisseur doit en effet offrir des garanties de confiance et de fiabilité.

Non seulement l’hébergement proposé par le fournisseur doit être sécurisé, mais il doit aussi pouvoir évoluer en fonction de la Durée maximale d’interruption admissible et des Pertes de données maximales admissibles évoquées au début de cet article. L’enjeu étant de taille, l’entreprise doit par conséquent prendre toutes les précautions et mesures de vérification nécessaires. Elle pourra ainsi effectuer une évaluation comparative approfondie des prestataires pour s’assurer qu’ils mettent en pratique ce qu’ils prêchent.

En fin de compte, avec sa fiabilité, sa rapidité, sa rentabilité et sa cohérence, la solution de reprise après sinistre estampillée DRaaS constitue, à mes yeux et en toute sincérité, la meilleure option pour les entreprises.

À propos de l’auteur

Anushree est consultante en technologie chez PwC Australie. C’est également une blogueuse prolifique sur les questions de sécurité de l’information sur Page Potato. Ancienne collaboratrice chez Deloitte et Adobe, Anushree a à son actif plus de 6 ans d’expérience en gestion de la sécurité de l’information et dans les services de conseils basés sur l’analyse des risques. Certifiée CISA, cette professionnelle est titulaire d’un diplôme en gestion des logiciels et des systèmes de la Symbiosis International University (Inde). En dehors de son travail, Anushree pratique le yoga et la danse, et rêve de devenir une chorégraphe reconnue.

Association professionnelle : PWC est l’un des quatre Géants mondiaux de l’audit et l’un des plus grands cabinets de services professionnels aux multinationales. PWC propose des services d’audit, de certification, de consulting, de conseil fiscal et juridiques de pointe pour aider les entreprises et les particuliers à créer de la valeur à la hauteur de leurs besoins.

Association des blogueurs: Les contenus ont un impact de plus en plus déterminant sur la croissance des entreprises. À cet égard, PagePotato remplit le rôle d’un professionnel du marketing de contenu : pilotage, exécution et soutien aux objectifs de la stratégie de marketing digital de ses clients. Son éventail de services englobe également la préparation et promotion de contenus, la conception de sites Web et les services de sécurité sur le Web.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog