L’informatique est désormais au centre de l’activité de la plupart des entreprises, de tous les secteurs d’activités ; c’est encore plus le cas depuis l’explosion du digital et de l’avènement des nouveaux modes de travail. Les entreprises se dotent donc de moyens technologiques, d’infrastructures informatiques leur permettant d’être compétitives sur le marché.
Le système informatique d’une entreprise peut faire objet à un moment de son exploitation d’attaques de diverses natures. Il peut s’agir d’une intrusion sur le système d’information (ransomware, phishing…). D’autre part, des incidents naturels (incendie, inondation…) peuvent en affecter le fonctionnement. Pour pallier ces arrêts d’activités, il est devenu impératif pour les entreprises de mettre en place un plan de reprise d’activités (PRA), strict et rigoureux.
RTO/RPO : Qu’est-ce que c’est concrètement ?
Les termes RTO (Recovery Time Objective) et RPO (Recovery Point Objective) sont étroitement liés au PRA, partie intégrante de la stratégie de Cyber-résilience d’une entreprise. A première vue les deux termes semblent très similaires, en réalité ils définissent deux notions bien spécifiques.
Le RPO : Recovery Point Objective
Le RPO est l’intervalle de temps correspondant à la quantité maximale de données perdue acceptable par l’entreprise. En d’autres termes, le RPO est la fraîcheur des données à restaurer en cas d’interruption (panne des serveurs, incendie, inondation…). Ce laps de temps est déterminé par les objectifs de sauvegarde des données, qu’il faut donc quantifier. Cela requiert d’évaluer la volumétrie des données produites, leur niveau de criticité ainsi que les fenêtres de sauvegarde qui vont permettre de répliquer les datas sur des unités externes mises à l’abri (chez le prestataire infogérance informatique par exemple)
La durée du RPO est donc définie par le laps de temps nécessaire pour effectuer la sauvegarde des données : ce peut être plusieurs fois dans la journée, ou seulement durant la nuit. Il faut y ajouter le temps nécessaire pour redémarrer les systèmes et recharger les données.
Le RTO : Recovery Time Objective
Le RTO s’inscrit dans la phase consécutive du RPO. Il s’agit de la durée maximale d’interruption acceptable. Plus précisément, cela correspond à l’intervalle de temps maximum entre le moment de la notification de l’incident et la reprise normale des activités / d’un service.
Ce laps de temps n’est pas aléatoire. En effet, il est déterminé par les moyens et ressources en secours (backup) sur lesquelles l’organisation est disposée à investir afin de limiter l’impact d’un incident, sinistre ou panne, qu’il s’agisse de ses applications principales, de ses serveurs, de ses baies de stockage ou de son réseau local ou distant.
La question clé peut se résumer ainsi : durant combien de temps l’entreprise peut-elle se permettre de fonctionner sans son informatique ? Cela dépend donc de son activité et de l’usage qu’elle fait de ses solutions informatiques.
Comment les RTO et RPO interviennent dans le PRA ?
La plupart des entreprises mettent dorénavant en place un plan de reprise d’activités professionnel, qui permet de formaliser des processus pour assurer la reprise des activités que ce soit d’un point de vue logistique, humain, ou encore informatique. C’est dans ce contexte que la définition du RTO et du RPO permet de planifier les actions à mener en cas de sinistre, mais aussi et surtout d’adopter une stratégie d’investissement informatique en vue d’une situation catastrophique.
Le délai total avant la reprise d’activité repose donc sur la combinaison du RTO et du RPO. Globalement, on prend en compte le temps de détection de l’incident, la prise de décision d’activer le plan de secours et le temps nécessaire pour redémarrer. Là encore, c’est l’activité de l’organisation et ses contraintes vitales qui déterminent les priorités et les ressources sur lesquelles investir
Et pour mettre en place RTO et RPO ?
Le calcul de ces 2 notions variera bien évidemment selon l’entreprise, et selon les usages qui y sont faits. Pour les calculer, il faut prendre en compte les potentiels impacts d’une indisponibilité. Une coupure aura en général deux impacts sur l’entreprise :
- Impact direct comprenant la perte du chiffre d’affaires depuis l’incident, les salaires des employés, l’infrastructure à mettre en place pour restaurer le service et les interventions des prestataires externes.
- Impact indirect comprenant l’image de marque, la réputation de l’entreprise qui pourra entraîner la perte de chiffre d’affaires sur le moyen et long terme.
Outre la notion de temps, les coûts sont très importants dans le calcul du RTO et du RPO. La définition du RTO et RPO, s’accompagne de la définition des :
- Moyens techniques, humains, organisationnels et financiers disponibles
- Technologies et méthodologies à utiliser
Il est important de se poser les bonnes questions pour ne rien négliger. On se dit souvent, ce n’est pas grave si cette application ne fonctionne pas une journée. Oui, mais si vos données n’ont pas été sauvegardées depuis une semaine ? Eh bien, accepteriez-vous de tout perdre ?
Chez Weodeo, nous nous appuyons sur des partenaires reconnus afin de proposer le meilleur des services à nos clients. Nous vous accompagnons non seulement dans la mise en place de votre plan de reprise d’activité, mais aussi dans la détermination des RTO et RPO, afin que les activités de votre entreprise ne soient pas interrompues même après un sinistre majeur. Qu’il s’agisse d’hébergement, d’externalisation ou de sécurité informatique, nous prenons le recul nécessaire pour analyser en profondeur les besoins, avant de vous proposer des solutions professionnelles
Et vous ? Combien de temps vous serait-il acceptable que votre activité soit à l’arrêt ? Une heure ? Une semaine ?
Vous souhaitez en savoir plus? N'hésitez plus, contactez nous.
