Reprise après incident pour les PME : cinq éléments clés à prendre en compte
Cet article passe en revue des aspects importants de la reprise après incident pour les PME. Notamment pourquoi la sauvegarde ne suffit pas, comment créer un plan de reprise après incident, les meilleures pratiques en matière de tests, et la reprise après incident en tant que service.
Avec la crise sanitaire, les entreprises, quelle que soit leur taille, ont appris à s’accommoder des perturbations. Quand les bureaux ont dû fermer en raison des confinements, les organisations ont massivement adopté le télétravail.
Pour certaines, il s’agissait d’un domaine encore inconnu. Pour d’autres, cela faisait partie d’un plan existant de continuité des activités et de reprise après incident. Le travail à distance sur des ordinateurs portables avec des données stockées dans le cloud est déjà entré dans les mœurs pour faire face à des incidents allant de la panne de courant aux catastrophes naturelles.
Les plans de reprise d’activité après incident existent depuis longtemps dans les entreprises et les grandes institutions du secteur public, mais ils sont tout aussi essentiels pour les petites structures. Lorsqu’une petite ou moyenne entreprise (PME) est prestataire de grandes sociétés ou d’administrations publiques, un plan de reprise après incident est souvent exigé. Mais bon nombre des principes qui régissent la planification de la reprise après incident s’appliquent indépendamment de la taille de l’entreprise. Et la technologie, notamment les services dans le cloud, rend ce processus plus accessible aux PME.
1-Reprise après incident, ou sauvegarde et restauration ?
La reprise après incident est souvent considérée comme un exercice purement technique, centré sur la sauvegarde et la restauration des données. Toutefois, bien que la protection des données reste un élément clé de tout processus de reprise après incident (aucune entreprise n’a de chance de survie si elle ne peut pas récupérer ses données), la reprise a une portée plus large. Un plan de reprise après incident doit prendre en compte la manière dont les données sont protégées. Ce point est essentiel pour faire face aux pannes éventuelles dues à des problèmes logiciels ou matériels, mais aussi aux catastrophes naturelles telles que les récentes inondations au Royaume-Uni et en Europe continentale.
Un plan de reprise après incident doit prendre en compte la manière dont les données sont protégées.
Les planificateurs doivent envisager comment et où l’entreprise opérera dans une situation de reprise. Cette réflexion porte notamment sur les locaux physiques, y compris les espaces de travail de basculement et de récupération, et sur la possibilité pour les employés de travailler à domicile.
L’entreprise doit également prévoir des équipements de remplacement, au cas où le matériel existant serait endommagé, détruit ou inaccessible. Il s’agit notamment d’ordinateurs portables, de tablettes et d’autres terminaux, mais aussi d’équipements de communication et de réseau, ainsi que de serveurs et de solutions de stockage pour les systèmes sur site.
Or, la plupart des PME n’ont pas les moyens de s’équiper de datacenters en double ou de serveurs de secours. Certaines seront en mesure de basculer vers le cloud ou de l’utiliser temporairement, tandis que pour d’autres, la stratégie de reprise consistera à se procurer et à installer du nouveau matériel afin de récupérer les applications et les données. Mais, quelle que soit l’approche adoptée, la clé est la planification.
2-Planification de la reprise après incident : la question n’est pas « si », mais « quand »
Depuis quelques années, les entreprises ne considèrent plus les catastrophes comme une éventualité, mais comme une fatalité. Cette évolution s’explique en partie par le développement de la cybercriminalité, notamment des ransomwares. Parallèlement, la pandémie a fait de la reprise après incident une priorité pour les entreprises.
Quelle que soit leur taille, les entreprises doivent commencer par un plan de reprise qui définisse les mesures à prendre en cas d’incident et, surtout, les personnes chargées de les mettre en œuvre. Ce plan doit être complet, vérifié et expérimenté.
Les DSI doivent savoir où se trouvent leurs données et leurs systèmes stratégiques, comment ils sont sauvegardés et comment ils doivent être récupérés. Les entreprises ayant de plus en plus de systèmes informatiques à gérer, il leur faudra peut-être aussi privilégier une reprise échelonnée. En effet, il ne sera pas possible de redémarrer tous les systèmes en même temps. Une fois le plan approuvé par le DSI ou l’équipe de projet, il doit être communiqué à l’ensemble de l’organisation.
« La reprise après incident est bien plus qu’une simple récupération des systèmes informatiques au niveau des paramètres techniques et des données. »
Tony LockAnalyste, Freeform Dynamics
Trop souvent, les entreprises échouent en raison d’un manque de préparation, déclare Tony Lock du cabinet d’analyses Freeform Dynamics. « La reprise après incident est bien plus qu’une simple récupération des systèmes informatiques au niveau des paramètres techniques et des données », souligne-t-il. « Il est également essentiel de s’assurer que les procédures de reprise sont bien comprises, ce qui implique notamment de savoir qui sera chargé d’initier la reprise et de couvrir les coûts éventuels. Le personnel sait-il à qui s’adresser et par quel moyen, et les procédures de reprise sont-elles clairement rédigées et faciles à trouver en cas d’urgence ? »
Les organisations doivent également examiner leurs chaînes d’approvisionnement, et dans quelle mesure elles dépendent d’autres prestataires pour la fourniture de biens, de services et même de données.
« Les entreprises omettent souvent de prendre en compte les dépendances vis-à-vis de tiers et étudient rarement les accords interentreprises, mais en cas d’incident, les priorités de ces tiers ne seront pas nécessairement les mêmes que les vôtres », explique Adam Stringer, expert en résilience des entreprises chez PA Consulting. Il ajoute qu’un plan clair permettra d’identifier ces dépendances et le mode de fonctionnement d’une organisation en cas de défaillance d’un fournisseur clé.
3-Risque et reprise
Pour élaborer un plan, les DSI et les responsables de la résilience de l’entreprise doivent comprendre les risques et les impératifs liés à un retour à la normale des activités.
Les principaux indicateurs utilisés dans la reprise après incident (quelle que soit la taille de l’entreprise) sont l’objectif de point de reprise (RPO) et l’objectif de temps de reprise (RTO).
Le RTO est le délai dans lequel les données doivent être récupérées et de nouveau mises à disposition. Pour certains systèmes, il se mesure en secondes ; pour d’autres, il peut se chiffrer en heures, voire en jours.
Le RPO est la quantité de données que l’entreprise peut se permettre de perdre. Là encore, certaines entreprises auront une tolérance très faible à la perte de données.
Les risques de vol et de perte de données sont des facteurs clés, au même titre que le RPO et le RTO.
Tous les systèmes ne sont pas égaux en matière de RPO et de RTO. Certains, comme les applications destinées aux clients ou celles qui contiennent des données réglementées, auront des délais de reprise rapides et un faible seuil de tolérance à la perte de données. D’autres seront moins stratégiques ou mises à jour moins fréquemment. L’essentiel est que les planificateurs travaillent avec l’entreprise pour comprendre ses priorités et ses calendriers.
Les planificateurs doivent également considérer le RPO et le RTO sous l’angle des menaces, indique Stephen Young, directeur chez AssureStor, une société spécialisée dans la reprise après incident et la sauvegarde dans le cloud. Il souligne que les risques de vol et de perte de données sont des facteurs clés, au même titre que le RPO et le RTO.
4-Tester encore et encore
Toutefois, la planification de la reprise après incident ne s’arrête pas une fois que le plan est en place. Les entreprises doivent le faire connaître et le tester.
« Certaines entreprises disposent de plans et de procédures écrits qui sont peu pratiques ou mal connus, et surtout qui ne sont pas réellement appliqués en cas de crise », explique Adam Stringer de PA Consulting. « Il faut une structure décisionnelle claire et des playbooks validés et peaufinés au fil de la pratique et à l’occasion de tests, ainsi que des approches faciles à comprendre, comme une structure hiérarchique de type or, argent et bronze. Ces éléments sont plus utiles aux entreprises en cas de sinistre qu’un manuel détaillé de 100 pages. »
Les entreprises doivent également déterminer qui sera chargé de la gestion de crise. Il ne s’agit pas nécessairement du directeur général ou du PDG, mais peut-être du directeur financier ou du responsable informatique. L’essentiel est de s’assurer que chacun sache qui prendra les choses en main, et comment il communiquera.
« Les tests demandent du temps et de l’argent, mais sans eux, la reprise risque au mieux d’être incomplète ou trop lente. »
Tony LockAnalyste, Freeform Dynamics
Tony Lock de Freeform Dynamics est d’accord. « Les tests demandent du temps et de l’argent, mais sans eux, la reprise risque au mieux d’être incomplète ou trop lente », déclare-t-il. « Et au pire, soit elle échouera totalement, soit elle prendra beaucoup trop de temps pour l’entreprise, soit elle s’accompagnera de la perte d’informations importantes. »
Les tests doivent être réguliers, les spécialistes de la reprise après incident suggérant une fréquence minimale d’une fois par an. Les systèmes stratégiques pourront, eux, exiger des tests au moins une fois par mois.
5-Solutions DRaaS et SaaS
Les petites entreprises, cependant, ne disposent généralement pas d’équipes IT importantes capables d’élaborer des systèmes informatiques redondants.
Heureusement, le cloud offre diverses solutions de rechange, allant de fournisseurs de services dédiés de reprise après incident (DRaaS), à des applications métier telles que Microsoft Office 365.
Office 365, Google Workspace et les applications hébergées dans le cloud permettent à une entreprise de rétablir une grande partie de ses activités dès lors que ses collaborateurs ont accès à un navigateur Web. Le stockage dans le cloud peut également être une planche de salut.
