Article Solutions de reprise après sinistre : 6 questions importantes à poser
Par Insight Editor / 28 Jun 2016 / Sujets: Cloud Modern infrastructure
Dans le domaine de la reprise après sinistre, il n’y a pas deux solutions identiques. Comprendre exactement le produit que vous obtenez en termes de niveau de sécurité de vos données et des processus exacts requis pour restaurer vos données et systèmes est essentiel pour maintenir un environnement pouvant résister à une catastrophe naturelle ou d’origine humaine.
Selon l’International Working Group on Cloud Computing Resiliency, le temps d’arrêt informatique moyen est de 10 heures par an, soit une disponibilité moyenne de 99,6 %. Le coût de ces temps d’arrêt peut varier entre 8 000 $ l’heure pour une petite entreprise et aller jusqu’à 700 000 $ l’heure pour les grandes entreprises.
La mise en œuvre d’un plan de reprise après sinistre qui répond à tous vos besoins et assure la sécurité de vos données est une étape importante pour les entreprises de toute taille. Mais, une fois que vous avez réalisé que vous avez besoin d’un plan de reprise après sinistre, comment savez-vous ce qui est nécessaire pour réaliser ce plan ?
Lorsque vous recherchez des fournisseurs tiers de solutions de reprise après sinistre comme Insight, vous devez comprendre exactement le produit que vous obtenez et le type de soutien que vous recevrez. Certains plans ne nécessitent de la part de votre fournisseur qu’une intervention minimale en cas de panne, et proposent à votre équipe informatique d’accéder aux sauvegardes et de restaurer elle-même vos systèmes. Une autre option est un service de reprise après sinistre entièrement administré où le fournisseur est sur le terrain, offrant un soutien complet à votre entreprise en s’occupant directement de rétablir votre arrière-plan informatique.
Il y a quelques concepts clés que vous devrez comprendre en concluant un contrat avec un fournisseur de reprise après sinistre : les 6 questions que voici pourront vous aider à éclaircir la nature exacte des offres de service.
Quel type de soutien fournissent-ils ?
Tout d’abord, vous devez comprendre exactement quelle sera la responsabilité de chacun en cas d’un désastre avéré. Le fournisseur prendra-t-il l’entière responsabilité de la sauvegarde, de la maintenance et de la surveillance régulières de vos données ? Ou votre équipe est-elle responsable de la planification et de la mise en œuvre des sauvegardes et des tests de routine ?
En définissant clairement les rôles et les responsabilités vous vous assurez que, dans le pire des cas, tout le monde sait ce qu’il est censé faire.
À quel endroit vos informations sont-elles stockées ?
Traditionnellement, la sauvegarde des données était téléchargée et stockée sur bandes magnétiques et des serveurs, archivée pour utilisation ultérieure ou en cas de catastrophe. Depuis l’arrivée de la colocation, le stockage de toutes vos sauvegardes dans vos propres bureaux n’est plus le moyen utilisé pour sauvegarder vos données. En cas de dommage à votre bâtiment, vous pourrez toujours accéder à vos données sauvegardées, car elles auront été stockées ailleurs.
Cependant, Gigaom.com indique que les centres de données sont traditionnellement situés à proximité des zones peuplées afin que les données puissent être transférées plus rapidement. En effectuant un rapprochement statistique entre l’emplacement des centres de données et les rapports de déclaration d’urgence de l’Agence fédérale de gestion des situations d’urgence, il devient évident que les centres de données se trouvent à grande densité à proximité du lieu des catastrophes.
Idéalement, vos données devraient être sauvegardées dans le nuage. Alors qu’auparavant la distance entre les centres de données et vos bureaux influençait négativement le temps de sauvegarde ou de restauration de vos systèmes, les solutions infonuagiques de reprise après sinistre pourront facilement atteindre un objectif de temps de reprise après sinistre de 4 heures (RTO) tout en offrant un objectif de temps de point de reprise de 24 heures (RPO). Connaissez bien les RTO et RPO moyens de votre fournisseur avant de signer votre contrat, de sorte que vous sachiez à quoi vous attendre du point de vue de la continuité de vos processus d’entreprise en cas de catastrophe.
Comment vos données sont-elles stockées du point de vue de la sécurité et de la conformité ?
Si votre entreprise a une réglementation stricte en matière de conformité, il est important de vous assurer que la solution que vous choisissez est conforme à cette réglementation : c’est une évidence. Cependant, certaines questions importantes ont des réponses plus complexes. Par exemple : qui fait l’administration des clés de cryptage ?
La plupart des fournisseurs infonuagiques vous donnent la possibilité de crypter vos données à votre place, tout en stockant la clé de cryptage chez un tiers de confiance. Il se peut que vous deviez plutôt, en vertu des règlements de conformité de l’industrie, faire chiffrer vos données avant la migration.
Définissez clairement le niveau de sécurité de vos données pendant leur transit et une fois entreposées.
Quelles sont les procédures de test et de communication de votre fournisseur ?
Le fournisseur s’occupe-t-il de la surveillance et la vérification de vos données, ou est-ce plutôt votre responsabilité ? Pouvez-vous utiliser vos propres outils à cette fin ?
Un plan de reprise après sinistre ne doit pas être mis en place et ensuite laissé dans la négligence. Pour la sécurité des données et des processus de votre entreprise, votre plan de reprise après sinistre doit être testé au moins une fois par an pour déterminer la vulnérabilité de vos systèmes. Parmi les vulnérabilités courantes des données mentionnons les échecs de déploiement, les fuites de données et les incohérences dans les bases de données.
Storage Newsletter rapporte que 58 % des entreprises testent une fois par an ou moins, tandis que 33 % ne testent que rarement ou jamais. Les entreprises testant peu fréquemment s’exposent à des problèmes de connectivité réseau ou à des configurations inappropriées qui pourraient entraîner des temps d’arrêt.
Quelles sont les caractéristiques de votre serveur infonuagique de base de données ?
Il est nécessaire de comprendre la qualité du centre de données où vos données sensibles seront stockées. Bien que nous ayons mentionné plus haut que vous devriez connaître l’emplacement de vos sauvegardes, vous devez également passer en revue les composants techniques et les redondances prévues qui rendent vos données plus sécurisées. Ces caractéristiques sont regroupées en « niveaux » (en anglais « tiers ») :
- Un centre de données de niveau 1 est au cœur de votre propre réseau d’exploitation avec des composants non redondants et une seule connexion avec ce réseau.
- Un centre de données de niveau 2 ajoute des composants de stockage redondants pour garantir que vos données ne seront pas perdues si vos disques tombent en panne.
- Au niveau 3, vous disposez de toutes les fonctionnalités ci-dessus, en plus de multiples liens de connexion assurant une meilleure connectivité et une vitesse réseau plus grande.
- Le niveau 4 est le plus sécurisé de tous les centres de données. Avec des composants à double alimentation électrique et à tolérance de pannes, vous pouvez vous assurer que le stockage, les serveurs, les liens de connexion, le chauffage, la ventilation, la climatisation et les refroidisseurs de matériel seront toujours en marche, garantissant une disponibilité de 99 999 %.
Alors que les niveaux 2 et 3 conviennent souvent aux petites entreprises, les entreprises qui ont besoin de serveurs dédiés pour leurs sauvegardes devraient se fier au niveau 4 pour une disponibilité constante et plus fiable. Les services infonuagiques définissent clairement leur garantie de disponibilité en fonction de la capacité et de la fonctionnalité de leurs serveurs. Par exemple, Microsoft Azure et VMware promettent tous deux une disponibilité d’au moins 99,5 % pour les solutions de reprise après sinistre.
Que comprend l’accord de niveau de service (ANS) ?
Avant de signer l’entente, certains aspects de votre contrat de service devraient être bien étudiés. Tout d’abord, vous devez veiller à comprendre le plan de reprise après sinistre de votre fournisseur en cas de dommages à leurs propres centres de données, et l’effet de toute clause de force majeure que le fournisseur aurait pu glisser dans le contrat en regard de cette éventualité.
Ne pas comprendre à l’avance les aspects clés de votre plan de reprise après sinistre pourrait laisser votre entreprise dans l’embarras lorsqu’un sinistre bien réel survient.
