Le cloud a simplifié et démocratisé la mise en place d’un PRA. Toutefois, la technologie ne permet pas, seule, d’assurer la continuité d’activité. La résilience d’une entreprise passe aussi par un certain nombre de prérequis, notamment organisationnels.
Pour gagner en résilience, la mise en place d’un Plan de reprise d’activité (PRA) devient incontournable. Dans le cas, par exemple, d’une attaque par ransomware, il permet à une société de restaurer rapidement son système d’information et de retrouver une activité normale.
Jusqu’alors accessible aux seules grandes entreprises, cette notion de PRA s’est fortement démocratisée grâce au cloud. Une organisation n’a plus à investir lourdement dans l’acquisition puis le maintien et la gestion en conditions opérationnelles d’une infrastructure de secours. Une infrastructure redondante qui – on l’espère – ne servira jamais.
Dans le modèle cloud, l’entreprise sauvegarde ses données dans le nuage puis, en cas de sinistre, utilise le dernier back-up pour redémarrer son IT. Les données sont redondées sur plusieurs sites et plusieurs régions (géo-redondance) afin de réduire le « single point of failure ».
Le prestataire met à disposition son infrastructure, répondant à un grand nombre de certifications qualité – ISO 27001, SOC 1, SOC 2… –, et s’engage contractuellement sur des niveaux de service (SLA). Un PRA dans le cloud est, par ailleurs, financièrement avantageux puisque l’essentiel de la structure de coûts repose sur du stockage objet dont les tarifs ne cessent de baisser.
RTO et RPO : Quel objectif ?
L’association du PRA et du cloud est une solution qui a tout pour plaire, il convient toutefois de respecter un certain nombre de prérequis. Une stratégie de continuité d’activité repose sur trois piliers. Il s’agit tout d’abord de professionnaliser une politique de RPA et d’adopter une approche par le risque. » Deux indicateurs clés de performance sont généralement retenus : le RTO (Recovery Time Objective), le temps de rétablissement des services IT à la suite d’un incident, et le RPO (Recovery Point Objective), la quantité maximale de données perdues « acceptable.
Le deuxième axe est la capacité à tester le dispositif de PRA afin de s’assurer qu’elle garantira en cas de sinistre la reprise d’activité.
Dédiée au management de la continuité d’activité, la norme internationale ISO 22301 fournit un ensemble de bonnes pratiques pour aider une organisation à se protéger et gagner en résilience.
Le dernier volet d’une stratégie de résilience repose sur l’accompagnement.
Les services proposés par un prestataire doivent correspondre au niveau de maturité dans le cloud, qui est extrêmement varié d’une entreprise à l’autre.
Certaines organisations font le choix d’une politique “cloud first” quand d’autres valorisent leur infrastructure informatique en propre dans une approche hybride.
On rappelle, par ailleurs, qu’une stratégie de PRA ne se résume pas à la technologie ou au réseau choisi. Elle recouvre un important volet organisationnel avec la création d’une cellule de crise ou la mise en place d’une chaîne de coordination pour assurer une protection optimale en cas d’incident.
Des services cloud résilients par design
Au-delà des solutions de PRA, une entreprise peut souscrire à des services cloud nativement résilients dans une approche multi-AZ (multiple availability zone). Les données situées sur une zone de disponibilité sont automatiquement répliquées sur une instance de secours située dans une autre zone. ST DIGITAL propose un service stockage objet multi-AZ sur ses datacenters de la région Afrique central et Afrique de l’ouest. En un clic, il est possible d’activer cette fonctionnalité de réplication des données.
La stratégie de PRA peut aussi s’inscrire dans une logique multicloud, ST DIGITAL est partenaire Gold Microsoft. Une entreprise peut ainsi construire une solution de PRA à partir de son cloud existant sur Microsoft Azure couplé à notre solution de cloud public.
Le cloud pour garantir votre protection d’activité
28 septembre 2022
par
Fabrice ADZRAKOU