RTO et RPO : Définition et utilité et différences à noter

Sommaire

L’informatique est désormais au centre de l’activité de la plupart des entreprises, de tous les secteurs d’activités ; c’est encore plus le cas depuis l’explosion du digital et de l’avènement des nouveaux modes de travail. Les entreprises se dotent donc de moyens technologiques, d’infrastructures informatiques leur permettant d’être compétitives sur le marché.

Le système informatique d’une entreprise peut faire objet à un moment de son exploitation d’attaques de diverses natures. Il peut s’agir d’une intrusion sur le système d’information (ransomware, phishing…). D’autre part, des incidents naturels (incendie, inondation…) peuvent en affecter le fonctionnement. Pour pallier ces arrêts d’activités, il est devenu impératif pour les entreprises de mettre en place un plan de reprise d’activités (PRA), strict et rigoureux.

RTO/RPO : Qu’est-ce que c’est concrètement ?

Les termes RTO (Recovery Time Objective) et RPO (Recovery Point Objective) sont étroitement liés au PRA, partie intégrante de la stratégie de Cyber-résilience d’une entreprise. A première vue les deux termes semblent très similaires, en réalité ils définissent deux notions bien spécifiques.

Le RPO : Recovery Point Objective

Le RPO est l’intervalle de temps correspondant à la quantité maximale de données perdue acceptable par l’entreprise. En d’autres termes, le RPO est la fraîcheur des données à restaurer en cas d’interruption (panne des serveurs, incendie, inondation…). Ce laps de temps est déterminé par les objectifs de sauvegarde des données, qu’il faut donc quantifier. Cela requiert d’évaluer la volumétrie des données produites, leur niveau de criticité ainsi que les fenêtres de sauvegarde qui vont permettre de répliquer les datas sur des unités externes mises à l’abri (chez le prestataire infogérance informatique par exemple)

La durée du RPO est donc définie par le laps de temps nécessaire pour effectuer la sauvegarde des données : ce peut être plusieurs fois dans la journée, ou seulement durant la nuit. Il faut y ajouter le temps nécessaire pour redémarrer les systèmes et recharger les données.

Le RTO : Recovery Time Objective

Le RTO s’inscrit dans la phase consécutive du RPO. Il s’agit de la durée maximale d’interruption acceptable. Plus précisément, cela correspond à l’intervalle de temps maximum entre le moment de la notification de l’incident et la reprise normale des activités / d’un service.

Ce laps de temps n’est pas aléatoire. En effet, il est déterminé par les moyens et ressources en secours (backup) sur lesquelles l’organisation est disposée à investir afin de limiter l’impact d’un incident, sinistre ou panne, qu’il s’agisse de ses applications principales, de ses serveurs, de ses baies de stockage ou de son réseau local ou distant.

La question clé peut se résumer ainsi : durant combien de temps l’entreprise peut-elle se permettre de fonctionner sans son informatique ? Cela dépend donc de son activité et de l’usage qu’elle fait de ses solutions informatiques.

Voici les principales différences entre le RTO (Recovery Time Objective) et le RPO (Recovery Point Objective) :

Définition :
- RTO : Durée maximale acceptable pour restaurer les opérations normales après une interruption.
- RPO : Quantité maximale de données que l’entreprise peut se permettre de perdre, exprimée en temps écoulé depuis la dernière sauvegarde valide.
Focus :
- RTO : Concentré sur le temps nécessaire pour rétablir les systèmes et applications fonctionnels.
- RPO : Axé sur la perte de données tolérable et la fréquence des sauvegardes requises.
Impact sur la planification :
- RTO : Détermine les stratégies de reprise et les ressources nécessaires pour minimiser le temps d’arrêt.
- RPO : Influence la planification des sauvegardes et des réplications pour limiter la perte de données à un seuil acceptable.

Comprendre ces distinctions est essentiel pour élaborer un plan de reprise après sinistre efficace, aligné sur les besoins opérationnels et la tolérance aux risques de l’entreprise.

Pourquoi le RTO et le RPO sont-ils cruciaux pour la continuité des activités ?

Le RTO (Objectif de Temps de Récupération) et le RPO (Objectif de Point de Récupération) constituent des éléments fondamentaux d’une stratégie de continuité des activités. Le RTO fixe la durée maximale acceptable pour rétablir les opérations, tandis que le RPO indique la quantité de données qu’une entreprise peut tolérer de perdre. Une définition précise de ces objectifs contribue à réduire les interruptions et à garantir la résilience face aux incidents.

Comment établir des RTO et RPO appropriés ?

Pour déterminer des objectifs adéquats, il est primordial d’analyser les processus métiers essentiels, d’identifier les risques potentiels et de consulter les parties prenantes. Une évaluation approfondie permet de hiérarchiser les ressources et d’ajuster la stratégie en fonction des contraintes techniques et financières

Quelles méthodes permettent d’atteindre les objectifs de RTO et RPO ?

Il existe plusieurs approches pour respecter les RTO et RPO établis. L’implémentation de sauvegardes automatisées, la création de systèmes redondants, l’utilisation du cloud et la réalisation de tests réguliers sont des mesures efficaces pour assurer une reprise rapide et minimiser la perte de données en cas de sinistre.

Quel est l’effet des nouvelles technologies sur le RTO et le RPO ?

L’automatisation et l’intelligence artificielle facilitent la prévision des pannes et optimisent la sauvegarde des données. Le stockage haute performance (flash, SSD) réduit les temps de récupération, tandis que les solutions d’orchestration améliorent la rapidité de restauration des systèmes, ce qui diminue les RTO et RPO.

Comment les RTO et RPO interviennent dans le PRA ?

La plupart des entreprises mettent dorénavant en place un plan de reprise d’activités professionnel, qui permet de formaliser des processus pour assurer la reprise des activités que ce soit d’un point de vue logistique, humain, ou encore informatique. C’est dans ce contexte que la définition du RTO et du RPO permet de planifier les actions à mener en cas de sinistre, mais aussi et surtout d’adopter une stratégie d’investissement informatique en vue d’une situation catastrophique.

Le délai total avant la reprise d’activité repose donc sur la combinaison du RTO et du RPO. Globalement, on prend en compte le temps de détection de l’incident, la prise de décision d’activer le plan de secours et le temps nécessaire pour redémarrer. Là encore, c’est l’activité de l’organisation et ses contraintes vitales qui déterminent les priorités et les ressources sur lesquelles investir

Et pour mettre en place RTO et RPO ?

Le calcul de ces 2 notions variera bien évidemment selon l’entreprise, et selon les usages qui y sont faits. Pour les calculer, il faut prendre en compte les potentiels impacts d’une indisponibilité. Une coupure aura en général deux impacts sur l’entreprise :

Impact direct comprenant la perte du chiffre d’affaires depuis l’incident, les salaires des employés, l’infrastructure à mettre en place pour restaurer le service et les interventions des prestataires externes.
Impact indirect comprenant l’image de marque, la réputation de l’entreprise qui pourra entraîner la perte de chiffre d’affaires sur le moyen et long terme.

Outre la notion de temps, les coûts sont très importants dans le calcul du RTO et du RPO. La définition du RTO et RPO, s’accompagne de la définition des :

Moyens techniques, humains, organisationnels et financiers disponibles
Technologies et méthodologies à utiliser

Il est important de se poser les bonnes questions pour ne rien négliger. On se dit souvent, ce n’est pas grave si cette application ne fonctionne pas une journée. Oui, mais si vos données n’ont pas été sauvegardées depuis une semaine ? Eh bien, accepteriez-vous de tout perdre ?

Chez Weodeo, nous nous appuyons sur des partenaires reconnus afin de proposer le meilleur des services à nos clients. Nous vous accompagnons non seulement dans la mise en place de votre plan de reprise d’activité, mais aussi dans la détermination des RTO et RPO, afin que les activités de votre entreprise ne soient pas interrompues même après un sinistre majeur. Qu’il s’agisse d’hébergement, d’externalisation ou de sécurité informatique, nous prenons le recul nécessaire pour analyser en profondeur les besoins, avant de vous proposer des solutions professionnelles

Et vous ? Combien de temps vous serait-il acceptable que votre activité soit à l’arrêt ? Une heure ? Une semaine ?

Vous souhaitez en savoir plus? N'hésitez plus, contactez nous.

RTO/RPO : Qu’est-ce que c’est concrètement ?

Le RPO : Recovery Point Objective

Le RTO : Recovery Time Objective

Pourquoi le RTO et le RPO sont-ils cruciaux pour la continuité des activités ?

Comment établir des RTO et RPO appropriés ?

Quelles méthodes permettent d’atteindre les objectifs de RTO et RPO ?

Quel est l’effet des nouvelles technologies sur le RTO et le RPO ?

Comment les RTO et RPO interviennent dans le PRA ?

Et pour mettre en place RTO et RPO ?

Publications similaires

Comment améliorer la rapidité d’un site ?

Quelles sont obligations pour une entreprise dans un contrat d’infogérance ?

Qu’est-ce que le monitoring synthétique ?

Comment choisir son outil de monitoring ?