De nombreuses entreprises pensent pouvoir dormir tranquilles en cas de sinistre informatique, au prétexte qu’elles ont sauvegardé leurs données à un moment ou à un autre. Or ce faux sentiment de confiance pourrait ne pas être justifiée.
Tribune par Erwin Vanderborght, Regional sales director EMEA south chez Arcserve – Une telle attitude risque en effet parfois d’aboutir à de graves pertes de données et donc à un préjudice pouvant se chiffrer en millions. Pour les grandes entreprises, la moindre interruption peut avoir de lourdes conséquences financières, atteignant en moyenne plusieurs milliers d’euros par minute. L’outil de calcul de Gartner estime ainsi le coût moyen d’un plan de reprise après sinistre pour un datacenter à environ 5600 dollars par minute. Même si les cyberattaques ne sont en rien la seule cause possible de perte de données pour une entreprise, le coût d’une interruption peut clairement avoir une incidence considérable
Les causes de perte de données (auxquelles vous n’avez peut-être pas pensé)
Les cyberattaques ont été l’une des causes les plus médiatisées de perte de données ces dernières années. En 2018, le ransomware, les attaques par déni de service distribué (DDoS) et d’autres formes de malware ont constitué une menace constante pour les entreprises, risquant de paralyser leur activité pendant des semaines d’affilée. Aujourd’hui les cybercriminels ne dorment jamais et trouvent en permanence de nouveaux moyens de s’attaquer aux entreprises.
Cependant, toutes les pertes de données ne sont pas dues à des cyberattaques à grande échelle. Elles peuvent être imputables à toutes sortes de causes, allant d’une erreur humaine à une catastrophe naturelle, aboutissant à des fuites ou des destructions d’informations susceptibles de nuire à la continuité d’activité de votre entreprise. Bien que toutes ces causes de perte de données soient moins glorieuses qu’une cyberattaque de grande ampleur, elles sont plus couramment à l’origine des problèmes des entreprises avec leurs informations.
Ce ne sera peut-être pas aujourd’hui ni demain mais il y a fort à parier que vous serez tôt ou tard victime d’une défaillance ou d’une autre de vos systèmes, quels que soient le soin et l’attention que vous accordez à leur protection. Pourtant, si les pertes des données sont un risque bien réel, cela ne veut pas dire que vous ne pouvez rien y faire. Il existe certaines mesures fondamentales que votre entreprise peut prendre afin d’en atténuer les retombées potentielles.
Par où commencer : changer d’état d’esprit
L’amélioration de votre processus de reprise après sinistre passe tout d’abord par un changement de vision de la sauvegarde et de la restauration des données. Cette démarche s’articule autour de deux grands principes :
- Veiller à sauvegarder vos données le plus souvent possible
- Pouvoir restaurer les sauvegardes de manière ultrarapide
Cela peut paraître simple mais il y a plusieurs points que votre entreprise serait bien avisée de garder présents à l’esprit afin d’éviter toute déception. Pour commencer, il importe de prendre un peu de recul et de déterminer quelles sont les données les plus importantes pour la continuité d’activité. Ensuite, il faut faire en sorte qu’il n’arrive rien de fâcheux à ces données. Si vous n’êtes pas 100% sûr de pouvoir vous charger des tâches ci-dessus, alors vous courez un risque.
L’étape suivante pour vous attaquer à vos processus de sauvegarde et de restauration consiste à établir les objectifs de temps de restauration (RTO) et de points de restauration (RPO) de votre entreprise. Le RTO indique le temps nécessaire à la restauration de vos sauvegardes, tandis que le RPO mesure le volume des données pouvant être perdues pendant une restauration. Si vous pouvez vous permettre de perdre 6 heures de données, par exemple, votre RPO est de 6 heures.
Une fois que vous avez réussi à définir ces valeurs pour votre entreprise, vous devez décider quels sont vos « joyaux de la couronne », de façon à pouvoir sauvegarder en priorité et avec rapidité les données qui vous sont les plus précieuses. Celles-ci peuvent varier d’un secteur d’activité à un autre. Par exemple, dans un commerce, il est impératif de pouvoir restaurer rapidement les systèmes transactionnels, tandis qu’un document marketing non encore finalisé pourra attendre un peu plus longtemps.
Cette tâche n’est nullement facilitée par les transformations rapides qui rendent les environnements informatiques modernes méconnaissables par rapport à ceux des décennies précédentes. Les entreprises ont souvent accumulé un grand nombre de matériels et de logiciels de générations antérieures, que ce soit sur site, dans le cloud ou dans le cadre d’une solution hybride. Les données d’une entreprise sont désormais éparpillées entre des équipements divers et variés, dont la coordination est parfois difficile. De plus, l’essor du travail nomade, en particulier au sein des entreprises décentralisées, fait des appareils mobiles des éléments essentiels qui doivent eux aussi être sauvegardés. Ces évolutions peuvent dresser des obstacles supplémentaires, compliqués à surmonter, pour la protection de ce qui doit être protégé.
Réinventer la sauvegarde pour éviter le désastre
Nul ne vous en voudra si vous pensez qu’éviter et empêcher signifient la même chose. Pourtant, en dépit de certaines similitudes, ces deux verbes désignent des notions distinctes. Eviter le désastre ne veut pas dire empêcher entièrement les pannes de se produire mais faire en sorte que celles-ci ne compromettent pas la continuité d’activité, les ramenant ainsi au rang de simple incident au lieu d’un désastre total pour les parties prenantes de votre entreprise. Cela n’a jamais été aussi vital dans l’économie actuelle, où toute perturbation de l’expérience client peut nuire sérieusement à la fidélisation de la clientèle sur le long terme.
Il importe de retenir que, pour éviter les désastres avec succès, il ne faut pas confier cette mission entièrement à la seule équipe informatique mais en faire un effort concerté de l’entreprise dans son ensemble. Par conséquent, il est crucial que la totalité de l’entreprise collabore étroitement avec l’équipe informatique. Les budgets doivent également être pris en compte car les entreprises commettent souvent l’erreur de prévoir leurs dépenses en matière de reprise après sinistre avant d’estimer précisément le risque d’interruption de l’activité et de pertes de données (qui peuvent être coûteuses).
Anticiper les sinistres informatiques
La clé pour éviter un sinistre informatique réside dans la capacité à faire le lien entre la direction de l’entreprise et les équipes techniques afin d’obtenir le financement nécessaire à la mise en place d’un programme DRaaS (Disaster Recovery as a Service) efficace. Cela signifie communiquer à la direction le caractère bien réel de la menace représentée par les coupures informatiques et le retour multiple que produira l’investissement initial sur le long terme.
Quatre mesures pour optimiser votre stratégie de sauvegarde
Chaque entreprise présente des besoins différents en matière de restauration des données mais il existe certaines mesures d’ordre général qui peuvent s’avérer utiles à pratiquement tout type d’entreprise, quel que soit son secteur d’activité, en vue d’éviter un désastre.
- Dressez votre profil de risque : il est essentiel, pour les responsables de la continuité d’activité, de déterminer le niveau de risque de leur entreprise. Il est ainsi indispensable de savoir à quelles menaces celle-ci peut être confrontée (le ransomware par exemple), et combien de temps elle peut tolérer une interruption de l’un de ses systèmes. Une vision claire des menaces internes et externes l’aidera à identifier les systèmes les plus importants pour son activité. Les responsables doivent donc identifier les systèmes et données à restaurer en priorité afin d’établir une hiérarchie.
- Optimisez vos processus et workloads en les automatisant : ce n’est pas sans raison que l’automatisation se répand à ce point dans le monde de l’entreprise. Des workloads automatisés peuvent permettre de libérer énormément de temps pour les équipes informatiques et de réduire la menace omniprésente d’une erreur humaine. Cela peut se révéler difficile de prime abord, c’est pourquoi mieux vaut commencer par des systèmes non critiques de façon à pouvoir éliminer tout problème éventuel avant une mise en œuvre à grande échelle. Il est également vital de tester souvent ces processus.
- Déterminez quels RPO sont critiques : les RPO ne sont pas nécessairement identiques pour chaque secteur de votre entreprise. En matière d’audits, par exemple, vous devrez peut-être stocker des données remontant des années en arrière alors que, dans d’autres domaines, les données datant de plus de quelques heures peuvent ne présenter guère d’intérêt. Il est donc crucial de pouvoir restaurer les bonnes données lors d’un retour à la normale, ce qui va au- delà du seul temps nécessaire à la restauration. Par conséquent, il est de la plus haute importance d’aligner vos RPO sur vos besoins opérationnels afin d’éviter de lourdes pertes financières.
- Faites appel aux meilleures technologies émergentes pour aider votre équipe à mettre en œuvre ses plans : jusqu’à présent, si vous employiez un prestataire (DRaaS), vous deviez l’appeler pour lancer manuellement votre machine virtuelle dans le cloud, un processus qui peut être coûteux. Aujourd’hui, cependant, les clients peuvent déclencher le basculement et accéder au cloud automatiquement. Avec l’amélioration de l’offre DRaaS au fil des années, les RTO sont devenus nettement plus performants, offrant ainsi une solution robuste pour la protection des bases de données transactionnelles ou quasi transactionnelles. Souvent, les entreprises appréhendent d’adopter les technologies DRaaS car elles les perçoivent comme trop coûteuses ou trop difficiles à gérer. Or c’est une idée fausse. La nouvelle génération de logiciels DRaaS peut assurer des RTO et RPO de quelques minutes seulement, avec des déploiements simples et indolores.
Il est vital pour les entreprises, quelle que soit leur taille, d’avoir conscience qu’il est parfois impossible d’éviter certains types de pertes de données. Cependant, accepter le problème est la première étape pour pouvoir l’affronter et se prémunir contre les dommages potentiels pour la réputation et les finances de l’entreprise. L’investissement initial dans l’établissement de votre profil de risque et la protection de vos joyaux portera indubitablement ses fruits à l’avenir.