Aucune entreprise n’est aujourd’hui capable de se passer de son infrastructure informatique. La dépendance des organisations au numérique est telle qu’un sinistre affectant leur système d’information peut leur être fatal. On estime que 4 entreprises sur 10 ayant subi un arrêt d’activité de 72h sont amenées à disparaître. Dans ce contexte, l’élaboration d’un PRA (Plan de Reprise d’Activité) permettant de définir les procédures à suivre pour minimiser l’impact du sinistre et maintenir la continuité de vos activités est essentielle. Mais il existe d’autres bonnes pratiques à adopter lorsqu'il s'agit de relancer votre activité après un sinistre, quand une délégation de services est mise en place dans le cloud. Nous avons listé les 5 principales.
***
Bien que les services cloud offrent de nombreux avantages et répondent aux exigences des entreprises en matière de simplicité et d’accessibilité, ils ne sont pas infaillibles. Comme toute technologie, le cloud n'est pas à l’abri des catastrophes et l’actualité nous le rappelle régulièrement : erreurs humaines, défaillances matérielles, malveillances, cyberattaques de plus en plus fréquentes, etc. Dans le cloud, les entreprises ont tendance à faire aveuglément confiance à leur fournisseur de services dans la gestion de la sécurité de leurs données.
Même si les prestataires offrent de nombreuses garanties pour protéger les données et les applications contre les menaces, ils ne protègent pas contre leur perte. Les entreprises restent toujours propriétaires de leurs données, quelle que soit l’infrastructure choisie : local, cloud ou hybride. Evaluer avec exactitude le périmètre de la délégation confiée à votre prestataire de services est indispensable et vous évitera une perte de données qui pourrait être fatale à la pérennité de votre organisation.
***
27% des entreprises indiquent que leur perte de données la plus récente a perturbé un processus métier les empêchant de fournir un produit ou un service à un client. C’est pourquoi la mise en place d’un PRA dans le cloud nécessite une identification des risques liés à la perte de données. Dans l’élaboration de son PRA, votre entreprise doit identifier quelles sont les machines, les applications et les données critiques qui doivent être rétablies après un sinistre, et dans quel ordre. Une négligence dans la réalisation de ces procédures pourrait se traduire par un arrêt partiel ou définitif de l’activité de votre entreprise.
***
Face aux évolutions informatiques, les DSI ont l’obligation de tester deux à trois fois par an leur PRA. Mais pour des raisons de temps et de budget, ils omettent de réaliser ces tests malgré les risques encourus. Selon Forrester, une entreprise sur deux ne réalise qu’un seul test par an. Or, un PRA non testé équivaut à une absence de PRA. Des tests réguliers, en situation réelle, y compris avec votre fournisseur de service, permettent d’évaluer la fiabilité de votre PRA et de l’ajuster en cas d'anomalies.
***
Lors de l’élaboration de votre PRA, vous devrez évaluer les RPO (objectif de perte minimale de données) et RTO (objectif du délai maximal de reprise) acceptables pour chaque département et application dans l’entreprise. L’interruption d’activité dépend de l’entreprise et de la criticité de ses applications. Gardez en tête que les RPO et RTO sont fortement corrélés au coût des solutions. Par ailleurs, il est difficile- ou bien tor cher- d'envisager un ratio RTO/RPO proche de zéro, c’est-à-dire sans perte de données et avec un redémarrage de l’activité immédiat.
***
Nous vous conseillons de lire attentivement les contrats entre vous et votre fournisseur de service et de passer en revue les SLA (le contrat ou la partie du contrat par laquelle un prestataire s’engage à fournir un ensemble de services à un ou plusieurs clients). Si vous le jugez nécessaire, n’hésitez pas à les renégocier et à les adapter à vos besoins. Assurez-vous également que l’offre à laquelle vous souscrivez est opérée par une société soumise à la réglementation européenne. N’hésitez pas à vous faire accompagner par un DPO (Délégué à la Protection des Données) pour valider vos délégations et leur conformité avec le RGPD.
Heureusement, face à ces risques des solutions existent. Elles permettent de redémarrer rapidement votre infrastructure IT après un incident et d’atténuer l’impact du sinistre sur votre système d’information. Alors si nous devions ajouter une sixième bonne pratique à cette liste, nous recommanderions de vous faire accompagner par une solution européenne de protection de vos données et de reprise après sinistre, qui reste la pierre angulaire de tout PRA. Pour toute information, n’hésitez pas à nous contacter.
***
Pour prolonger la lecture :