La seule évidence dont tous les responsables IT et dirigeants d’entreprises devraient être conscients, particulièrement après ces deux dernières années, est qu’il faut s’attendre à l'inattendu. C’est par l’établissement de stratégies claires de restauration des données en cas de failles techniques, et la vérification régulière de ces procédés, que les chefs d’entreprises peuvent se préparer au mieux à affronter le pire.
Ces Plans de Reprise d’Activité après sinistre (PRA) détaillent les méthodes qu’une organisation peut mettre en place pour gérer efficacement les effets d’une crise majeure, et pour s'en remettre le plus vite possible. Ils jouent un rôle essentiel pour aider les entreprises à faire face à l’imprévu. Qu'il s'agisse de catastrophes naturelles ou de cyberattaques, un plan de reprise après sinistre rigoureux et mis à l’épreuve garantit à votre organisation une reprise rapide, la continuité du service apporté à vos clients, et un impact moindre sur la génération de revenus.
Dans la pratique, alors que tous les responsables IT et dirigeants d'entreprise sont supposés connaître l'importance de ces stratégies PRA, plusieurs études démontrent qu’une part significative d’organisations restent plus lentes que d'autres à les adopter.
Par ailleurs, la mise en place d'un PRA n'est que le point de départ. Si les procédés mis en place ne sont pas régulièrement mis à l’épreuve en profondeur, comment pouvez-vous être sûr que votre stratégie soit payante ? Aux vues du nombre croissant d’exemples de services qui tombent en panne et ne se remettent pas rapidement en ligne, la question que nous posons est simple : les responsables testent-t-ils toujours leurs PRA ?
Malheureusement, il semble que la réponse à cette question soit "loin d'être suffisante".
Les responsables IT et chefs d'entreprise doivent mieux faire. Afin de s'assurer que leurs organisations disposent d’un plan de reprise sûr, les entreprises doivent tester leur stratégie avec beaucoup plus de rigueur.
Créer un environnement informatique isolé pour tester les logiciels (sandboxtesting), répertorier les données de façon intelligente et systématique, et procéder à des simulations régulières, sont les trois facettes essentielles pour la mise en place d’un plan de reprise stratégique fort.
Effectuer des tests en environnement isolé (sandboxtesting)
Mettre à l’épreuve un plan de reprise ne devrait pas être une crise en soi. Un fournisseur de logiciels et infrastructures IT doit pouvoir proposer des tests de secours sans l’interruption de toute l’activité. Les services PRA tiers doivent pouvoir s'appuyer sur une gamme d'équipements virtuels pour tester les plans.
Souvent appelée "sandbox", cette procédure permet à l’entreprise d'effectuer des tests complets sans affecter les serveurs de production des données. Cela signifie que, même pendant le test, les activités opérationnelles peuvent se poursuivre normalement.
Il faut également s’assurer que le testeur soit en mesure de fournir des résultats détaillés à partir des évaluations faites en environnement isolé. Toute solution technologique de planification de la reprise après sinistre devrait utiliser un suivi des contrôles d'audit pour réduire la complexité opérationnelle et ce en conformité avec toutes obligations légales.
Répertorier les données de façon intelligente et systématique
Dans toute entreprise, les données sont généralement considérées comme le nerf de la guerre, mais certaines informations ont plus de valeur que d'autres. À moins de disposer d'une stratégie efficace de classification des données, il sera difficile de déterminer quelles données doivent être protégées à tout prix.
L'organisation des informations par ordre d’importance est la base d'une gestion efficace des données. Savoir précisément à quoi correspondent les données - de la sécurité et de la conformité au service client et à l'optimisation des coûts –permet d’évaluer l’importance de ces informations et les mesures de protection à mettre en place.
Tout plan de secours doit tenir compte de la classification des données. Une approche par niveaux doit permettre de sauvegarder les données critiques tout en permettant leur disponibilité. Si le pire se produit et que le réseau est en panne, le plan de reprise après sinistre doit être conçu de manière à rétablir l'accès à ces données en priorité.
Procéder régulièrement à des simulations
Les relectures de PRA et les exercices en salle où des personnes de toute l'entreprise se réunissent pour analyser votre stratégie ne mèneront pas loin. Pour réellement connaître l'efficacité d’une stratégie de PRA, il faut effectuer une vraie simulation.
Plutôt que de se contenter d’en parler, cette simulation crée un scénario catastrophe, puis met en scène le plan avec toute l’équipe informatique. L'exercice doit également faire intervenir d'autres parties prenantes de l'entreprise et des fournisseurs tiers afin de créer une vision complète des dépendances et des exigences.
Pour aller plus loin qu'un test virtuel, cette simulation peut impliquer des tests physiques réels du matériel, des réseaux et des services. L'objectif est de vérifier de la manière la plus détaillée possible si la stratégie actuelle de secours est adaptée aux besoins, sans perturber les activités opérationnelles.
Ne rien tenir pour acquis
Les deux dernières années ont démontré combien il faut toujours s’attendre à l'inattendu. Avec l'augmentation de la fréquence et du coût des cyberattaques, il est essentiel d’avoir un ensemble solide de procédures en place pour une reprise rapide après sinistre, associé à une technologie fiable. Les entreprises devraient néanmoins rechercher la facilité d'utilisation, l'automatisation et la possibilité de contrôler le niveau de service en matière de récupération des données et de disponibilité des applications. Cette nouvelle génération de gestion des données offre également aux organisations un ensemble de capacités essentielles pour relever les défis auxquels les entreprises sont confrontées aujourd'hui lorsque l’on parle de reprise après sinistre.
Si certains défis sont presque impossibles à anticiper, une stratégie efficace de reprise après sinistre permettra d’être prêt à réagir lorsque ceux-ci se présenteront.
Par Tony Fanni, Senior Channel System Engineer SEMEA chez Cohesity