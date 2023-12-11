Publication : 12 décembre 2023
Contributeurs : Mesh Flinders, Ian Smalley
La récupération après sinistre en tant que service (DRaaS) est une solution tierce qui fournit des capacités de protection des données et de reprise après sinistre (DR) aux entreprises à la demande, via Internet et sur la base d'un paiement à l'usage.
Les solutions DRaaS assurent la réplication et l'hébergement de vos serveurs physiques et Virtual Servers, garantissant une reprise rapide et efficace des opérations en cas de catastrophe grâce à un mécanisme de basculement automatique. Un DRaaS efficace contribue à limiter les temps d'arrêt et à réduire les objectifs de point de récupération (RPO) et les objectifs de temps de récupération (RTO) en cas de catastrophe.
Les solutions DR ont gagné en popularité ces dernières années en raison d'une prise de conscience croissante dans le monde de l'entreprise de l'importance de la sécurité des données. Les entreprises qui adoptent l'approche DRaaS externalisent essentiellement leur planification de récupération après sinistre à un tiers. Selon un rapport récent de Global Market Insights (GMI) (lien externe à IBM.com), le marché du DRaaS s'élevait à 11,5 milliards de dollars américains en 2022 et devrait croître de 22 % cette année (lien externe à ibm.com).
Qu'est-ce qu'un plan de reprise après sinistre ?
Les solutions DRaaS s'appuient sur des plans de reprise après sinistre (DRP), qui sont des documents détaillés décrivant la manière dont une organisation réagit à un incident imprévu. En complément des plans de continuité des activités (BCP), les plans de récupération après sinistre contribuent à garantir que les entreprises sont préparées à faire face à de nombreux types de menaces, notamment les attaques de ransomware et de logiciel malveillant, les catastrophes naturelles et bien d'autres.
Un DRP solide peut contribuer à rétablir la connectivité et à réparer la perte de données après une catastrophe. En cas de problème, une entreprise externe qui propose du DRaaS a moins de chances d'être touchée elle-même, ce qui lui permet de mieux appliquer le plan de reprise d'activité de ses clients.
Comment fonctionne le basculement/restauration ?
Les fournisseurs de DRaaS utilisent le basculement et la restauration pour garantir une reprise rapide et efficace des activités de leurs clients, quel que soit le type de sinistre. Le basculement est le processus de transfert des opérations informatiques vers un système secondaire en cas de défaillance du système principal, que ce soit dû à une panne de courant, une cyberattaque ou toute autre menace.
La restauration est le processus qui consiste à revenir au système d’origine après la résolution complète du problème. Dans un modèle de service DRaaS, un fournisseur peut basculer le centre de données d'un client vers un site secondaire où un système redondant prendrait immédiatement effet. S'ils sont exécutés correctement, le basculement et la restauration peuvent créer une expérience fluide où l'utilisateur/le client ne se rend même pas compte qu'il est transféré vers un système secondaire.
Découvrez comment le DaaS (Desktop as a service) permet aux entreprises d'atteindre le même niveau de performance et de sécurité qu'en déployant les applications sur site.
La première étape pour bénéficier d'un service DRaaS est de sélectionner le bon fournisseur ou prestataire de services (MSP). Cette entreprise vous aidera à mettre en place un service DRaaS, en définissant des objectifs de temps (RTO) et de point de reprise (RPO) , et en créant un plan de continuité des activités (BCP). Généralement, les MSP de DRaaS se concurrencent sur la réduction des RTO et des RPO. C'est donc un bon point de départ pour évaluer s'ils répondent à vos besoins.
Objectif de temps de reprise (RTO) : le RTO désigne le temps qui sera nécessaire à la reprise des opérations métier après un incident imprévu. Les accords de niveau de service (SLA) jouent un rôle crucial dans un modèle DRaaS en définissant l'objectif de temps de reprise (RTO) et en précisant les responsabilités du prestataire de services principal (MSP) et de l'organisation pour l'atteindre.
Objectif de point de reprise (RPO) : Le RPO représente la quantité de données qu'une organisation peut se permettre de perdre en cas de sinistre et de récupérer malgré tout. Certaines entreprises exigent que leurs données soient constamment copiées vers un centre de données distant pour garantir la continuité en cas de violation de sécurité. D'autres peuvent tolérer un objectif de point de reprise (RPO) de quelques minutes (voire heures). Définir clairement l'objectif de point de reprise (RPO) de l'organisation est une étape essentielle pour mettre en place une solution DRaaS.
Plan de continuité des activités : Comme les DRP, les RTO et les RPO , les plans de continuité des activités (BCP) sont essentiels au processus DRaaS. Les plans de continuité des activités (BCP) abordent généralement un éventail plus large de menaces et d'options de résolution que les plans de reprise après sinistre (DRP), en se concentrant sur les actions que l'organisation et le fournisseur DRaaS devront mettre en œuvre pour restaurer les fonctions essentielles de l'entreprise après un incident. Dans le cadre du modèle DRaaS, le MSP fournissant les services DRaaS développe généralement le BCP de l'organisation en étroite consultation avec les dirigeants de l'organisation.
La DRaaS repose sur la sauvegarde des systèmes critiques pour permettre leur restauration après un incident imprévu. La décision concernant l'emplacement et le type de sauvegardes est cruciale pour le succès du processus DRaaS d'une organisation. Vous avez le choix entre trois options : centre de données, cloud et sauvegardes hybrides.
Centre de données
Lorsqu'une organisation choisit de sauvegarder ses données les plus critiques dans un centre de données, ces données sont délocalisées, ce qui les protège des catastrophes naturelles et des cyberattaques localisées. Les sauvegardes dans les centres de données nécessitent des investissements significatifs en infrastructure, notamment en installations hors site, serveurs physiques, systèmes et personnel, ce qui en fait souvent l'option la plus coûteuse. De plus, la restauration de données depuis un centre de données hors site est un processus plus long que la restauration depuis le cloud et peut parfois prendre plusieurs jours, voire plusieurs semaines.
Cloud
Les plans de reprise après sinistre dans le cloud offrent une grande évolutivité et des coûts réduits grâce à l'absence d'infrastructure physique et de support. Les plans de reprise après sinistre dans le cloud stockent les données critiques dans le cloud, permettant à une organisation de créer une instance de Virtual Machine (VM) qui peut être activée en quelques minutes, voire en quelques secondes, en cas de sinistre.
Hybrid cloud
Les plans DRaaS hybrides utilisent à la fois un environnement de cloud public et un centre de données à des fins de sauvegarde. Les services de cloud hybride sont les plus flexibles des trois options disponibles, et ils constituent une bonne option pour les petites et moyennes entreprises (PME) qui souhaitent bénéficier de capacités DRaaS de niveau entreprise sans investir dans une infrastructure physique.
De nombreuses entreprises qui envisagent de recourir à la DRaaS considèrent également la sauvegarde en tant que service (BaaS) comme une option moins onéreuse. La BaaS est un service géré proposé par un fournisseur tiers qui permet aux entreprises de restaurer rapidement leurs données les plus précieuses en cas d'incident. Les solutions BaaS stockent les données dans un emplacement sécurisé et hors site, souvent dans le cloud, où elles sont protégées contre diverses menaces.
La sauvegarde des données BaaS peut inclure tout ce qui a de la valeur pour une organisation, comme les fichiers, les enregistrements et même les workloads complets. La BaaS , tout comme la DRaaS, est un service géré par un MSP et soumis à un SLA qui précise les responsabilités et les attentes de chaque partie.
Il existe trois différences essentielles entre les solutions BaaS et DRaaS qui méritent d'être prises en compte :
Exigences en matière de sauvegarde : Alors que la DRaaS sauvegarde à la fois les données et l'infrastructure, la BaaS ne sauvegarde que les données. Les MSP DRaaS assurent généralement la disponibilité et l'accessibilité de l'infrastructure critique, comme les serveurs, les bâtiments de bureaux et les réseaux, pour les utilisateurs pendant et immédiatement après un incident. Les fournisseurs BaaS ne proposent pas de services de ce type.
Délai de restauration : les fournisseurs BaaS peuvent restaurer les données et les récupérer, mais cela prend plus de temps qu'avec un fournisseur DRaaS en raison de la quantité de données impliquées. Les déploiements BaaS sont généralement utilisés pour gérer des volumes de données plus importants que les déploiements DRaaS. Leurs RPO et RTO sont mesurés en heures et en jours. Les fournisseurs DRaaS peuvent mesurer le RPO et le RTO en quelques minutes, voire en quelques secondes.
Tarification des solutions : la BaaS coûte nettement moins cher que la DRaaS. Cela s'explique principalement par le coût des ressources à déployer. Lors d'un déploiement DRaaS,les entreprises payent pour des ressources telles que les logiciels de réplication et l'infrastructure informatique, en plus des ressources de stockage, tandis que dans un déploiement BaaS, l'organisation ne paie que pour les ressources de stockage.
La plupart des organisations divisent la planification BCDR en deux processus distincts : la continuité des activités et la reprise après sinistre. Cette approche est pertinente car, si les deux processus ont plusieurs étapes en commun, ils se distinguent par la façon dont les plans sont conçus, appliqués et évalués.
La principale différence est que les BCP ont tendance à être proactifs, tandis que les DRP ont tendance à être plus réactifs. Il est important de garder cela à l'esprit lors de la construction des deux parties de votre plan BCDR , car cela détermine la relation entre les deux processus.
Une stratégie de continuité des activités solide se concentre sur les processus, les procédures et les rôles essentiels aux opérations métier avant, pendant et immédiatement après une catastrophe. La planification de la reprise d'activité est principalement axée sur la réponse aux incidents et la mise en œuvre des actions nécessaires pour y remédier.
Ces deux processus reposent principalement sur deux éléments essentiels : l'objectif de temps de reprise (RTO) et l'objectif de point de reprise (RPO) :
1. Conduire une analyse d'impact sur les activités (BIA)
Pour élaborer un BCP efficace, vous devrez d'abord comprendre les différents risques auxquels votre organisation est exposée. L'analyse de l'impact sur les activités (BIA) joue un rôle crucial pour la gestion des risques et la résilience des entreprises. L'analyse de l'impact sur les activités (BIA) consiste à identifier et à évaluer les risques potentiels d'une catastrophe sur les opérations courantes.
Une BIA efficace englobe un examen approfondi de toutes les menaces et vulnérabilités potentielles, internes et externes, ainsi que des plans de mitigation détaillés. De plus, la BIA doit déterminer la probabilité d'occurrence d'un événement afin que l'organisation puisse établir des priorités en conséquence.
2. Concevoir des réponses
Une fois votre BIA terminée, la prochaine étape dans la construction de votre BCP consiste à planifier des réponses efficaces à chacune des menaces que vous avez identifiées. Chaque menace nécessitera une stratégie de reprise après sinistre adaptée, de sorte que chacune de vos réponses doit comporter un plan détaillé décrivant comment l'organisation identifiera une menace spécifique et y réagira.
3. Identifier les rôles et les responsabilités clés
Cette étape détermine la façon dont les membres clés de votre équipe répondront à une crise ou à un événement perturbateur. Il définit les attentes ainsi que les ressources pour chaque membre de l'équipe pour qu’ils puissent remplir leur rôle.
C'est un aspect essentiel du processus pour évaluer la manière dont les individus communiquent en cas d'incident. Certaines menaces paralyseront des réseaux essentiels, comme la connectivité cellulaire ou Internet. C'est pourquoi il est essentiel d'avoir des plans de secours pour la communication.
4. Tester et mettre à jour votre plan
Pour que votre plan BCDR soit réalisable, vous devez constamment le mettre en pratique et l’affiner. Des tests et des formations réguliers des employés permettront un déploiement efficace en cas de catastrophe réelle. Simulez des situations réelles comme des cyberattaques, des incendies, des inondations, des erreurs humaines et autres pour que les équipes soient bien préparées et confiantes dans leurs rôles.
Les DRP, comme les BCP, nécessitent une analyse de l'impact sur les activités (BIA) pour définir les rôles, responsabilités et améliorer le plan grâce à des tests réguliers. Les DRP sont plus réactifs, donc ils se concentrent sur l'analyse des risques et la sauvegarde et la restauration des données. Les étapes 2 et 3 du développement du plan de reprise d'activité (DRP), à savoir l'analyse des risques (RA) et l'inventaire des actifs, ne sont pas nécessaires dans le processus de développement du BCP.
Voici un processus en cinq étapes couramment utilisé pour créer un plan de reprise après sinistre :
1. Conduire une analyse d'impact sur l'entreprise
Comme pour le BCP, commencez par évaluer chaque menace possible pour votre entreprise et ses conséquences. Évaluez l'impact potentiel des menaces sur les opérations quotidiennes, les canaux de communication réguliers et la sécurité des employés.
Pour une bonne analyse d'impact, il faut aussi penser à la perte de revenus, le coût du temps d'arrêt, les coûts de réputation (relations publiques), la perte de clients et d'investisseurs (à court et à long terme) et les éventuelles pénalités.
2. Analyser les risques
Les DRP ont besoin d'une évaluation des risques plus détaillée que les BCP, car ils se concentrent sur la récupération après une catastrophe. Lors de l'analyse des risques (RA) dans le cadre de la planification, évaluez la probabilité d'un risque et son impact potentiel sur votre entreprise.
3. Créer un inventaire des actifs
Un DRP efficace nécessite un inventaire précis des actifs de l'entreprise, leur fonction et leur état. Un inventaire régulier des actifs permet d'identifier le matériel, les logiciels, l'infrastructure informatique et tout ce que votre organisation pourrait posséder et qui est crucial pour vos opérations métier. Une fois tous vos actifs identifiés, vous pouvez les classer dans trois catégories : critique, important , et secondaires :
4. Définir les rôles et les responsabilités
Comme dans le développement de votre BCP, il sera essentiel de décrire clairement les rôles et responsabilités des membres de votre équipe. Assurez-vous que chacun dispose des ressources nécessaires pour accomplir ses missions en cas de sinistre. Sans cette étape importante, personne ne saura comment réagir en cas de catastrophe. Voici quelques rôles et responsabilités à prendre en compte lors de l’élaboration de votre DRP :
5. Tester et affiner
Comme le BCP, le DRP doit être régulièrement testé et amélioré pour rester efficace. Entraînez-vous régulièrement et mettez le plan à jour en fonction des modifications significatives. Par exemple, si votre entreprise acquiert un nouvel actif après la mise en place de votre DRP, il devra être intégré à votre plan pour garantir sa protection à l'avenir.
Les entreprises modernes ont, de manière compréhensible, une tolérance de plus en plus faible pour les périodes de temps d’arrêt.
Chaque jour, il semble qu’une nouvelle cyberattaque ou un événement imprévu fait la une des journaux, coûtant des millions aux entreprises. Les solutions de reprise d'activité comme la DRaaS assurent une sécurité des données et une reprise après sinistre efficaces contre diverses menaces.
L'externalisation de la mise en œuvre de votre plan de DRP et la sauvegarde des données les plus précieuses de votre organisation dans un emplacement distinct, deux éléments clés de la DRaaS, contribuent à garantir une récupération rapide et complète en cas de catastrophe.
Voici quelques-uns des principaux avantages des solutions DRaaS :
Les entreprises de pointe d'aujourd'hui s'appuient sur la technologie pour leurs activités essentielles. Lorsqu'un incident majeur survient, les jours, les heures, voire les minutes, pendant lesquels les processus normaux sont interrompus peuvent coûter des millions. De plus, les cyberattaques et les temps d’arrêt des grandes entreprises font souvent la une des journaux, entachant leur réputation et alourdissant ainsi la facture de la récupération. Une DRaaS efficace offre aux entreprises une protection des données, une sauvegarde et une meilleure résilience face aux menaces qu'elles rencontrent.
Le coût de la reprise après sinistre augmente chaque année. Si l’on ne considère qu’un seul type d’incident non planifié, les violations de données, le récent rapport d’IBM sur le coût des violations de données a révélé que le coût moyen d’une violation en 2023 était de 4,45 millions de dollars, soit une augmentation de 15 % au cours des 3 dernières années.
Lors d'une catastrophe, les entreprises qui utilisent un service de reprise après sinistre comme la DRaaS bénéficient de deux avantages significatifs par rapport à celles qui n'en utilisent pas : leurs données sauvegardées et la partie responsable de l'exécution de leur plan de récupération se trouvent dans un autre emplacement physique. Cela réduit considérablement la probabilité que le fournisseur DRaaS soit touché par le même incident qui menace l'organisation. De plus, les fournisseurs DRaaS proposent des modèles d'abonnement ou de paiement à l'usage, éliminant ainsi le besoin d'investissement initial dans l' infrastructure informatique.
La DRaaS est une solution hautement évolutive qui peut être adaptée aux besoins de presque toutes les entreprises. Les fournisseurs DRaaS tirent parti des fonctionnalités basées sur le cloud et de l’ automatisation des processus et des tâches clés pour maximiser l’efficacité et réduire les frais généraux. Les entreprises qui déploient des solutions DRaaS peuvent consacrer des ressources critiques à des fonctions cœur de métier, qui seraient normalement consacrées au développement, à la mise en œuvre et à la gestion de leur DRP.
Les secteurs fortement réglementés comme la santé et les finances personnelles imposent des amendes sévères aux entreprises qui sont victimes de violations de données. Souvent, le montant des amendes est lié à la durée des temps d'arrêt lors d'une attaque et à la quantité de données compromises. La DRaaS contribue à raccourcir les délais de réponse et de récupération, réduisant ainsi de manière significative les sanctions financières associées aux violations de données.
Les fournisseurs de DRaaS déploient les mesures de cybersécurité et de chiffrement les plus robustes disponibles pour une raison simple : c’est le cœur de leur activité. Lorsque vous engagez un fournisseur DRaaS, vous engagez des spécialistes de la sécurité des données, de la prévention du vol et de la reprise après sinistre pour faire ce qu’ils font le mieux : vous protéger, vous et vos données les plus critiques.
Les solutions de reprise après sinistre en tant que service (DRaaS) se déclinent en trois modèles : en libre-service, assisté et géré. En fonction des besoins et des ressources d'une organisation, il existe des différences notables entre ces options qui méritent d'être considérées.
La DRaaS en libre-service fournit aux organisations les outils et les ressources nécessaires pour construire et gérer leur propre DRP. Cela convient bien aux organisations technologiquement avancées disposant d'équipes informatiques internes dédiées qui ont besoin d'un haut niveau de contrôle sur leurs processus.
En raison de sa configuration minimale, la DRaaS en libre-service offre des options de tarification plus avantageuses que les autres plans et offre une plus grande flexibilité. Cependant, les organisations doivent savoir qu'avec une solution DRaaS en libre-service, elles sont seules pendant les phases de planification, de test et de gestion de leur DRP.
La solution DRaaS–assistée est un bon type de service de récupération pour les organisations qui doivent équilibrer leur besoin de contrôle avec un soutien solide d'un MSP tiers. Dans le cadre d'une solution DRaaS assistée, le MSP aide à construire, planifier, mettre en œuvre, tester et affiner le DRP, offrant une expertise et des conseils précieux tout au long du processus.
La DRaaS gérée est une solution DRaaS entièrement externalisée dans laquelle le MSP assure le contrôle et la responsabilité totale du développement et de la mise en œuvre du DRP d’une organisation. Une excellente option pour les entreprises qui n'ont pas leur propre service informatique, offrant la solution DRaaS la plus solide disponible. Comme on pouvait s'y attendre, c'est aussi souvent la plus coûteuse.
Même une panne mineure peut vous mettre à la traîne par rapport à la concurrence. Assurez la protection de vos données grâce à un plan de reprise après sinistre dans le cloud.
Mettez en place des modèles résilients pour atténuer les risques, renforcer la gestion de crise et garantir la continuité des activités.
Protéger vos données grâce à une solution de sauvegarde durable, évolutive et sécurisée.
Accélérez votre transformation numérique grâce à IBM Cloud for VMware Solutions, en étendant vos capacités et en consolidant votre infrastructure de centre de données sur une plateforme automatisée et centralisée.
Simplifiez la gestion des données et de l’infrastructure avec IBM Storage FlashSystem, une solution de stockage 100 % flash hautes performances qui rationalise l’administration et la complexité opérationnelle dans les environnements sur site, cloud hybride, virtualisés et conteneurisés.