Qu’est-ce que la reprise après sinistre en tant que service (DRaaS) ?

Les solutions DRaaS assurent la réplication et l'hébergement de vos serveurs physiques et Virtual Servers, garantissant une reprise rapide et efficace des opérations en cas de catastrophe grâce à un mécanisme de basculement automatique. Un DRaaS efficace contribue à limiter les temps d'arrêt et à réduire les objectifs de point de récupération (RPO) et les objectifs de temps de récupération (RTO) en cas de catastrophe.

Les solutions DR ont gagné en popularité ces dernières années en raison d'une prise de conscience croissante dans le monde de l'entreprise de l'importance de la sécurité des données. Les entreprises qui adoptent l'approche DRaaS externalisent essentiellement leur planification de récupération après sinistre à un tiers. Selon un rapport récent de Global Market Insights (GMI), le marché du DRaaS s'élevait à 11,5 milliards de dollars américains en 2022 et devrait croître de 22 % cette année.

Les solutions DRaaS s'appuient sur des plans de reprise après sinistre (DRP), qui sont des documents détaillés décrivant la manière dont une organisation réagit à un incident imprévu. En complément des plans de continuité des activités (BCP), les plans de récupération après sinistre contribuent à garantir que les entreprises sont préparées à faire face à de nombreux types de menaces, notamment les attaques de ransomware et de logiciel malveillant, les catastrophes naturelles et bien d'autres.

Un DRP solide peut contribuer à rétablir la connectivité et à réparer la perte de données après une catastrophe. En cas de problème, une entreprise externe qui propose du DRaaS a moins de chances d'être touchée elle-même, ce qui lui permet de mieux appliquer le plan de reprise d'activité de ses clients.

Les fournisseurs de DRaaS utilisent le basculement et la restauration pour garantir une reprise rapide et efficace des activités de leurs clients, quel que soit le type de sinistre. Le basculement est le processus de transfert des opérations informatiques vers un système secondaire en cas de défaillance du système principal, que ce soit dû à une panne de courant, une cyberattaque ou toute autre menace. 

La restauration est le processus qui consiste à revenir au système d’origine après la résolution complète du problème. Dans un modèle de service DRaaS, un fournisseur peut basculer le centre de données d'un client vers un site secondaire où un système redondant prendrait immédiatement effet. S'ils sont exécutés correctement, le basculement et la restauration peuvent créer une expérience fluide où l'utilisateur/le client ne se rend même pas compte qu'il est transféré vers un système secondaire.

La première étape pour bénéficier d'un service DRaaS est de sélectionner le bon fournisseur ou prestataire de services (MSP). Cette entreprise vous aidera à mettre en place un service DRaaS, en définissant des objectifs de temps (RTO) et de point de reprise (RPO) , et en créant un plan de continuité des activités (BCP). Généralement, les MSP de DRaaS se concurrencent sur la réduction des RTO et des RPO. C'est donc un bon point de départ pour évaluer s'ils répondent à vos besoins.

Objectif de temps de reprise (RTO) : le RTO désigne le temps qui sera nécessaire à la reprise des opérations métier après un incident imprévu. Les accords de niveau de service (SLA) jouent un rôle crucial dans un modèle DRaaS en définissant l'objectif de temps de reprise (RTO) et en précisant les responsabilités du prestataire de services principal (MSP) et de l'organisation pour l'atteindre.

Objectif de point de reprise (RPO) : Le RPO représente la quantité de données qu'une organisation peut se permettre de perdre en cas de sinistre et de récupérer malgré tout. Certaines entreprises exigent que leurs données soient constamment copiées vers un centre de données distant pour garantir la continuité en cas de violation de sécurité. D'autres peuvent tolérer un objectif de point de reprise (RPO) de quelques minutes (voire heures). Définir clairement l'objectif de point de reprise (RPO) de l'organisation est une étape essentielle pour mettre en place une solution DRaaS.

Plan de continuité des activités : Comme les DRP, les RTO et les  RPO , les plans de continuité des activités (BCP) sont essentiels au processus DRaaS. Les plans de continuité des activités (BCP) abordent généralement un éventail plus large de menaces et d'options de résolution que les plans de reprise après sinistre (DRP), en se concentrant sur les actions que l'organisation et le fournisseur DRaaS devront mettre en œuvre pour restaurer les fonctions essentielles de l'entreprise après un incident. Dans le cadre du modèle DRaaS, le MSP fournissant les services DRaaS développe généralement le BCP de l'organisation en étroite consultation avec les dirigeants de l'organisation.

La DRaaS repose sur la sauvegarde des systèmes critiques pour permettre leur restauration après un incident imprévu. La décision concernant l'emplacement et le type de sauvegardes est cruciale pour le succès du processus DRaaS d'une organisation. Vous avez le choix entre trois options : centre de données, cloud et sauvegardes hybrides.

Centre de données

Lorsqu'une organisation choisit de sauvegarder ses données les plus critiques dans un centre de données, ces données sont délocalisées, ce qui les protège des catastrophes naturelles et des cyberattaques localisées. Les sauvegardes dans les centres de données nécessitent des investissements significatifs en infrastructure, notamment en installations hors site, serveurs physiques, systèmes et personnel, ce qui en fait souvent l'option la plus coûteuse. De plus, la restauration de données depuis un centre de données hors site est un processus plus long que la restauration depuis le cloud et peut parfois prendre plusieurs jours, voire plusieurs semaines.

Cloud

Les plans de reprise après sinistre dans le cloud offrent une grande évolutivité et des coûts réduits grâce à l'absence d'infrastructure physique et de support. Les plans de reprise après sinistre dans le cloud stockent les données critiques dans le cloud, permettant à une organisation de créer une instance de Virtual Machine (VM) qui peut être activée en quelques minutes, voire en quelques secondes, en cas de sinistre.

Cloud hybride

Les plans DRaaS hybrides utilisent à la fois un environnement de cloud public et un centre de données à des fins de sauvegarde. Les services de cloud hybride sont les plus flexibles des trois options disponibles, et ils constituent une bonne option pour les petites et moyennes entreprises (PME) qui souhaitent bénéficier de capacités DRaaS de niveau entreprise sans investir dans une infrastructure physique.

De nombreuses entreprises qui envisagent de recourir à la DRaaS considèrent également la sauvegarde en tant que service (BaaS) comme une option moins onéreuse. La BaaS est un service géré proposé par un fournisseur tiers qui permet aux entreprises de restaurer rapidement leurs données les plus précieuses en cas d'incident. Les solutions BaaS stockent les données dans un emplacement sécurisé et  hors site, souvent dans le cloud, où elles sont protégées contre diverses menaces. 

La sauvegarde des données BaaS peut inclure tout ce qui a de la valeur pour une organisation, comme les fichiers, les enregistrements et même les workloads complets. La BaaS , tout comme la DRaaS, est un service géré par un MSP et soumis à un SLA qui précise les responsabilités et les attentes de chaque partie.

Il existe trois différences essentielles entre les solutions BaaS et DRaaS qui méritent d'être prises en compte :

Exigences en matière de sauvegarde : Alors que la DRaaS sauvegarde à la fois les données et l'infrastructure, la BaaS ne sauvegarde que les données. Les MSP  DRaaS assurent généralement la disponibilité et l'accessibilité de l'infrastructure critique, comme les serveurs, les bâtiments de bureaux et les réseaux, pour les utilisateurs pendant et immédiatement après un incident. Les fournisseurs BaaS ne proposent pas de services de ce type.

Délai de restauration : les fournisseurs BaaS peuvent restaurer les données et les récupérer, mais cela prend plus de temps qu'avec un fournisseur DRaaS en raison de la quantité de données impliquées. Les déploiements BaaS sont généralement utilisés pour gérer des volumes de données plus importants que les déploiements DRaaS. Leurs RPO et RTO sont mesurés en heures et en jours. Les fournisseurs DRaaS peuvent mesurer le RPO et le RTO en quelques minutes, voire en quelques secondes.

Tarification des solutions : la BaaS coûte nettement moins cher que la DRaaS. Cela s'explique principalement par le coût des ressources à déployer. Lors d'un déploiement DRaaS,les entreprises payent pour des ressources telles que les logiciels de réplication et l'infrastructure informatique, en plus des ressources de stockage, tandis que dans un déploiement BaaS, l'organisation ne paie que pour les ressources de stockage.

La plupart des Entreprises divisent la planification de la continuité d’activité et la reprise après sinistre (BCDR) en deux processus distincts : la continuité d’activité et la reprise après sinistre. Cette approche est pertinente car, si les deux processus ont plusieurs étapes en commun, ils se distinguent par la façon dont les plans sont conçus, appliqués et évalués.

La principale différence est que les BCP ont tendance à être proactifs, tandis que les DRP ont tendance à être plus réactifs. Il est important de garder cela à l'esprit lors de la construction des deux parties de votre plan BCDR , car cela détermine la relation entre les deux processus.

Une stratégie de continuité des activités solide se concentre sur les processus, les procédures et les rôles essentiels aux opérations métier avant, pendant et immédiatement après une catastrophe. La planification de la reprise d'activité est principalement axée sur la réponse aux incidents et la mise en œuvre des actions nécessaires pour y remédier.

Ces deux processus reposent principalement sur deux éléments essentiels : l'objectif de temps de reprise (RTO) et l'objectif de point de reprise (RPO) :

• Objectif de temps de reprise (RTO) : le RTO désigne le temps nécessaire à la reprise des processus métier après un incident imprévu.  Définir un RTO raisonnable est l'une des premières étapes que les entreprises doivent franchir lors de la création de leur DRP.
• Objectif de point de reprise (RPO) : le RPO d'une entreprise représente la quantité maximale de données qu'elle peut se permettre de perdre sans compromettre sa capacité de récupération. Étant donné que la protection des données est une priorité essentielle pour de nombreuses entreprises modernes, certaines copient constamment leurs données vers un centre de données distant afin d'assurer la continuité en cas de violation majeure. D'autres fixent un RPO tolérable de quelques minutes (ou heures), garantissant ainsi la possibilité de récupérer les données métier via un système de sauvegarde et savent qu’elles peuvent récupérer tout ce qui a été perdu pendant cette période.

1. Conduire une analyse d'impact sur les activités (BIA)

Pour élaborer un BCP efficace, vous devrez d'abord comprendre les différents risques auxquels votre organisation est exposée. L'analyse de l'impact sur les activités (BIA) joue un rôle crucial pour la gestion des risques et la résilience des entreprises. L'analyse de l'impact sur les activités (BIA) consiste à identifier et à évaluer les risques potentiels d'une catastrophe sur les opérations courantes.

Une BIA efficace englobe un examen approfondi de toutes les menaces et vulnérabilités potentielles, internes et externes, ainsi que des plans de mitigation détaillés. De plus, la BIA doit déterminer la probabilité d'occurrence d'un événement afin que l'organisation puisse établir des priorités en conséquence.

2. Concevoir des réponses

Une fois votre BIA terminée, la prochaine étape dans la construction de votre BCP consiste à planifier des réponses efficaces à chacune des menaces que vous avez identifiées. Chaque menace nécessitera une stratégie de reprise après sinistre adaptée, de sorte que chacune de vos réponses doit comporter un plan détaillé décrivant comment l'organisation identifiera une menace spécifique et y réagira.

3. Identifier les rôles et les responsabilités clés

Cette étape détermine la façon dont les membres clés de votre équipe répondront à une crise ou à un événement perturbateur. Il définit les attentes ainsi que les ressources pour chaque membre de l'équipe pour qu’ils puissent remplir leur rôle.

C'est un aspect essentiel du processus pour évaluer la manière dont les individus communiquent en cas d'incident. Certaines menaces paralyseront des réseaux essentiels, comme la connectivité cellulaire ou Internet. C'est pourquoi il est essentiel d'avoir des plans de secours pour la communication.

4. Tester et mettre à jour votre plan

Pour que votre plan BCDR soit réalisable, vous devez constamment le mettre en pratique et l’affiner. Des tests et des formations réguliers des employés permettront un déploiement efficace en cas de catastrophe réelle. Simulez des situations réelles comme des cyberattaques, des incendies, des inondations, des erreurs humaines et autres pour que les équipes soient bien préparées et confiantes dans leurs rôles.

Les  DRP, comme les BCP, nécessitent une analyse de l'impact sur les activités (BIA) pour définir les rôles, responsabilités et améliorer le plan grâce à des tests réguliers. Les DRP sont plus réactifs, donc ils se concentrent sur l'analyse des risques et la sauvegarde et la restauration des données. Les étapes 2 et 3 du développement du plan de reprise d'activité (DRP), à savoir l'analyse des risques (RA) et l'inventaire des actifs, ne sont pas nécessaires dans le processus de développement du BCP.

Voici un processus en cinq étapes couramment utilisé pour créer un plan de reprise après sinistre :

1. Conduire une analyse d'impact sur les activités

Comme pour le BCP, commencez par évaluer chaque menace possible pour votre entreprise et ses conséquences. Évaluez l'impact potentiel des menaces sur les opérations quotidiennes, les canaux de communication réguliers et la sécurité des employés.

Pour une bonne analyse d'impact, il faut aussi penser à la perte de revenus, le coût du temps d'arrêt, les coûts de réputation (relations publiques), la perte de clients et d'investisseurs (à court et à long terme) et les éventuelles pénalités.

2. Analyser les risques

Les DRP ont besoin d'une évaluation des risques plus détaillée que les  BCP, car ils se concentrent sur la récupération après une catastrophe. Lors de l'analyse des risques (RA) dans le cadre de la planification, évaluez la probabilité d'un risque et son impact potentiel sur votre entreprise.

3. Créer un inventaire des actifs

Un DRP efficace nécessite un inventaire précis des actifs de l'entreprise, leur fonction et leur état. Un inventaire régulier des actifs permet d'identifier le matériel, les logiciels,  l'infrastructure informatique et tout ce que votre organisation pourrait posséder et qui est crucial pour vos opérations métier. Une fois tous vos actifs identifiés, vous pouvez les classer dans trois catégories : critique, important , et secondaires :

• Critique : ne classez un actif comme critique que s'il est indispensable au fonctionnement normal de l'entreprise.
• Important : attribuez ce libellé aux actifs utilisés par votre entreprise au moins une fois par jour et qui affecteraient son activité s’ils venaient à être perturbés (sans toutefois l’arrêter complètement).
• Secondaires : Ces actifs sont secondaires pour votre entreprise et ne sont pas essentiels à son activité principale.

4. Définir les rôles et les responsabilités

Comme dans le développement de votre BCP, il sera essentiel de décrire clairement les rôles et responsabilités des membres de votre équipe. Assurez-vous que chacun dispose des ressources nécessaires pour accomplir ses missions en cas de sinistre. Sans cette étape importante, personne ne saura comment réagir en cas de catastrophe. Voici quelques rôles et responsabilités à prendre en compte lors de l’élaboration de votre DRP :

• Rapporteur d'incident : personne responsable de maintenir à jour les coordonnées des parties concernées et de communiquer avec les dirigeants de l'entreprise ainsi que les parties prenantes en cas d'événements perturbateurs.
• Superviseur DRP : le superviseur DRP veille à ce que les membres de l'équipe exécutent les tâches assignées lors d'un incident.
• Gestionnaire d'actifs : personne chargée de sécuriser et de protéger les actifs critiques en cas de catastrophe. 
• Liaison avec les tiers : La personne qui assure la coordination avec les fournisseurs ou prestataires tiers engagés dans le cadre du DRP et qui informe régulièrement les parties prenantes sur l'avancement du plan.

5. Tester et affiner

Comme le BCP, le DRP doit être régulièrement testé et amélioré pour rester efficace. Entraînez-vous régulièrement et mettez le plan à jour en fonction des modifications significatives. Par exemple, si votre entreprise acquiert un nouvel actif après la mise en place de votre DRP, il devra être intégré à votre plan pour garantir sa protection à l'avenir.

Les entreprises modernes ont, de manière compréhensible, une tolérance de plus en plus faible pour les périodes de temps d’arrêt. 
Chaque jour, il semble qu’une nouvelle cyberattaque ou un événement imprévu fait la une des journaux, coûtant des millions aux entreprises. Les solutions de reprise d'activité comme la DRaaS assurent une sécurité des données et une reprise après sinistre efficaces contre diverses menaces.

L'externalisation de la mise en œuvre de votre plan de DRP et la sauvegarde des données les plus précieuses de votre organisation dans un emplacement distinct, deux éléments clés de la DRaaS, contribuent à garantir une récupération rapide et complète en cas de catastrophe.

Voici quelques-uns des principaux avantages des solutions DRaaS :

Les solutions de reprise après sinistre en tant que service (DRaaS) se déclinent en trois modèles : en libre-service, assisté et géré. En fonction des besoins et des ressources d'une organisation, il existe des différences notables entre ces options qui méritent d'être considérées.

La DRaaS en libre-service fournit aux organisations les outils et les ressources nécessaires pour construire et gérer leur propre DRP. Cela convient bien aux organisations technologiquement avancées disposant d'équipes informatiques internes dédiées qui ont besoin d'un haut niveau de contrôle sur leurs processus.

En raison de sa configuration minimale, la DRaaS en libre-service offre des options de tarification plus avantageuses que les autres plans et offre une plus grande flexibilité. Cependant, les organisations doivent savoir qu'avec une solution DRaaS en libre-service, elles sont seules pendant les phases de planification, de test et de gestion de leur DRP.

La solution DRaaS–assistée est un bon type de service de récupération pour les organisations qui doivent équilibrer leur besoin de contrôle avec un soutien solide d'un MSP tiers. Dans le cadre d'une solution DRaaS assistée, le MSP aide à construire, planifier, mettre en œuvre, tester et affiner le DRP, offrant une expertise et des conseils précieux tout au long du processus.

La DRaaS gérée est une solution DRaaS entièrement externalisée dans laquelle le MSP assure le contrôle et la responsabilité totale du développement et de la mise en œuvre du DRP d’une organisation. Une excellente option pour les entreprises qui n'ont pas leur propre service informatique, offrant la solution DRaaS la plus solide disponible. Comme on pouvait s'y attendre, c'est aussi souvent la plus coûteuse.