Pour les entreprises et les DSI, la question n'est pas de savoir si elles subiront un incident informatique qui ira jusqu'à l'engagement des procédures de reprise d'activité, mais quand ?
Globalement, l'informatique d'une entreprise sur 3 (35%) a subit un incident ou une panne, matérielle ou coupure d'électricité, qui a nécessité une reprise d'activité après sinistre. Et au cours des 5 dernières années, elles sont 4 sur 10 à avoir été contraintes de traiter de multiples incidents – 27 % ont rencontré 2 incidents, 10 % ont subi 3 incidents, 2 % pour 4 incidents, 1 % pour 5 incidents, 4 % plus de 5 incidents. C'est ce que révèle une étude de Evolve IP, réalisée auprès de 2.084 décideurs IT qui ont été interrogés sur leurs pratiques en matière de PCA/PRA.
D'où viennent ces incidents ?
Nous parlons ici d'incidents informatiques et de coupures d'électricité, de ceux qui touchent l'infrastructure du système d'information de l'entreprise. Les origines en sont :
- 47 % matérielles, qui touchent la salle informatique et en particulier le(s) serveur(s)
- 34 % environnementales, inondation, incendie, catastrophe naturelle
- 27,5 % coupures d'électricité
- 18,5 % erreur humaine
- 15 % panne logicielle
- 8,5 % panne de backup
- 6,5 % attaque délibérée
Nous noterons que l'incendie et la catastrophe naturelle sont la seconde cause d'incident et de rupture de l'activité, qui surprennent les entreprises car elles sont difficiles à anticiper, tout en étant très présentes.
Là où l'affaire se corse, c'est qu'en cas d'incident nécessitant une reprise d'activité, il faut du temps pour se remettre en place. Plus d'une entreprise sur deux (53%) a mis plus d'un jour ouvrable pour se remettre du pire évènement qu'elles ont dû affronter. Sans parler du coût de l'incident exprimé en perte d'activité et de données.
PRA/PCA en conformité
Une solution pour éviter le drame est d'être en conformité avec les règles de compliance IT, qui passent par la présence de plans de continuité (PCA) et de reprise d'activité (PRA). Une entreprise sur deux (54%) qui répond aux exigences de conformité se déclare d'ailleurs « très préparée » à affronter les incidents.
A l'inverse, moins d'une entreprise sur deux (44%) se déclare « un peu préparée ». Tandis qu'elles sont 2 % à avouer qu'elles en sont pas du tout préparées ! En l'absence de PCA/PRA, ces chiffres tombent à 31,5 % « très préparées », 61 % « un peu », et 7,5 % « pas du tout ».
La faiblesse de la préparation provient également d'un manque de moyens qui lui sont consacrés. 55 % des entreprises consacrent moins de 50.000 dollars par an au PCA/PRA, et 39 % reconnaissent qu'ils sont sous financés.
Protéger les actifs IT de l'entreprise
Quels sont les moyens mis en place pour protéger les données et les actifs informatiques de l'entreprise ?
- 45 % - Sauvegarde sur bande
- 42 % - Serveurs supplémentaires sur le site primaire
- 41 % - Second site miroir
- 34 % - Logiciel de réplication
- 33 % - Haute disponibilité des matériels et logiciels
- 30 % - Second site différent du premier
- 28 % - Réplication matérielle
- 26 % - Données et applications miroir
- 15 % - Environnement hébergé
- 13 % - Cloud public
- 6 % - Solution DraaS (Dissaster Recovery-as-a-Service)
Notre conclusion
Ce qui surprend à la lecture de l'étude Evolve IP, c'est que le sujet du PCA/PRA, c'est à dire de la capacité de l'entreprise à maintenir ou à reprendre son activité après un incident qui interrompt son informatique, n'est réellement pris en charge que par une entreprise sur deux. Les autres ont-elles pris conscience du risque qu'elles prennent ? Nous pouvons en douter !
Rappelons que selon McGladrey & Pullen, un datacenter sur 500 devra affronter une catastrophe qui sera si grave que 43 % des entreprises ne pourront récupérer leur infrastructure et/ou leurs données, et que 29 % seront contraintes à la fermeture dans les deux ans...