Blogue

PRA : 7 bonnes pratiques issues de l’expérience

Cogeco Peer 1

janvier 18, 2016

Share:    

Un responsable de CommVault, spécialiste des solutions de gestion des informations et de protection des données, édicte les 7 bonnes pratiques qu’il a retenu des échanges effectués avec de nombreux DSI.

Des sommes importantes sont investies depuis déjà des dizaines d’années dans des plans de reprise d’activité (PRA) après sinistre informatique qui visent à assurer le plus rapidement possible la continuité des activités des entreprises. Tâche ardue pour les DSI qui doivent orchestrer l’opération mais aussi la tester pour s’assurer qu’elle fonctionne. Inquiétude pour les dirigeants et les actionnaires qui doivent avoir l’assurance d’une reprise effective et rapide des activités de leur société que le problème soit d’origine humaine ou naturelle. C’est généralement au Conseil d’Administration de prendre les dispositions, parmi d’autres tâches importantes, qui vont garantir la survie de l’entreprise mais ce sont les DSI qui en ont concrètement la charge. Heureusement pour eux, l’existence du cloud est désormais en mesure de faciliter considérablement le travail d’élaboration du plan de reprise puisque l’actif essentiel de l’entreprise sont ses données (contacts clients, transactions, journaux, données financières ou autres) que l’on a pris théoriquement soin de protéger et de sauvegarder.
La reprise après sinistre ne concerne donc plus simplement la récupération des systèmes, mais également celle des informations liées à l’activité et aux clients.

Dans ses conversations avec les DSI clients de CommVault, l’entreprise a constaté qu’environ 50 à 60% des strucctures interrogées possèdent des plans de reprise après sinistre. Cependant, ils ne concernent souvent que quelques applications et sont souvent peu mis à jour pour intégrer les évolutions d’infrastructure IT ni testés pour éprouver leur efficacité. Les temps d’arrêt d’applications supérieurs à quatre heures se traduisent souvent en perte de chiffre d’affaires, de productivité et même d’image de marque. Pour justifier cette inaction, certains évoquent la complexité et le coût de mise en œuvre du PRA mais cela n’est plus de mise selon CommVault. Le cloud public est désormais disponible et il change la donne en aidant les DSI à reprendre le contrôle des coûts, à dépasser la complexité, mais aussi à étendre la reprise après sinistre à un plus large éventail de systèmes, d’applications et de données, ce qui rend au final le plan de récupération plus robuste et plus efficace. Ce constat a été particulièrement évident aux Etats-Unis lorsque l’on a comparé les conséquences informatiques des ouragans Katrina (2005) et Sandy (2012).

Voici quelques bonnes pratiques qu’il nous paraît intéressant de partager afin d’intégrer l’expérience issue de déploiement de plan de reprise après sinistre basé sur le cloud.

L’implication personnelle

L’implication directe du DSI dans la mise en place et l’application d’un PRA est primordiale si l’on veut s’assurer d’une préservation effective des actifs de l’entreprise au quotidien. Cette tâche ne peut être déléguée et elle doit être perçue par tout le SI comme un impératif informatique stratégique. Elle doit également concerner l’ensemble de l’entreprise afin de s’assurer que tous les collaborateurs, dans tous les autres services, sont informés des dispositions prévues et qu’ils réagiront de façon proactive. Il faut être à l’écoute des retours d’expérience mais rester maître de la manœuvre.

Commencer par l’analyse des risques

La planification de la reprise d’activité après sinistre suppose d’abord d’évaluer les risques encourus et d’en identifier les causes possibles sur toute l’échelle allant des catastrophes naturelles aux actions d’origine humaine. Ce dernier point couvre à lui seul une large palette allant des sabotages provoqués par des collaborateurs en colère, aux accidents involontaires et autres décisions erronées d’un administrateur système, sans oublier la défaillance technique d’un fournisseur d’application SaaS (logiciels en tant que service). Chaque évènement possible doit être évalué en termes d’occurrence et d’effets, et pris en compte dans le PRA. Ainsi, pour parer à une panne d’électrique, il faut au moins connaître les besoins minimaux en puissance, les priorités et les scénarios de restauration de l’énergie. Pour les éléments de PRA et de continuité de fonctionnement basés sur le cloud, il faut définir une priorité de remise en service des systèmes en fonction de leur criticité, des plus stratégiques aux moins importants dont l’arrêt prolongé ne pose pas de gros problèmes.

Gérer les résistances

Un service informatique repose sur une équipe dont la mission première est de mettre en place des infrastructures stables, sécurisées, solides… ce qui exclut a priori la remise en cause de fonctionnement habituel. L’impératif absolu de sécurité ne doit cependant pas faire obstacle au contrôle afin que s’établisse une véritable confiance. Comme tous les fournisseurs de service interne et externe, le SI doit se soumettre aux procédures qui permettent d’évaluer les risques et identifier les interactions possibles qui pourraient faire dysfonctionner l’entreprise.

Virtualisation et passage au cloud

Si le PRA est essentiel à la continuité des activités de l’entreprise, il est rarement en tête de liste des priorités budgétaires. D’où la tendance chez nombre de DSI à « dissimuler » l’investissement PRA dans d’autres registres. L’un des domaines d’anticipation les plus intéressants est la virtualisation dans le cloud qui permet la portabilité des applications et l’anticipation du paiement à l’usage d’une option d’hébergement externalisé. Cette base de PRA sera ensuite complétée par une solution de récupération et d’orchestration des plates-formes qui garantira la restauration opérationnelle des applications et données depuis le cloud dans les délais exigés pour assurer la continuité des activités.

Le mobile au centre du PRA

Plus des 2/3 des salariés dans les entreprises interrogées disposent d’un ou plusieurs terminaux mobiles pour leur travail, ce qui place la mobilité au centre des préoccupations des DSI. Mais Gartner prévoit que d’ici 2017, 50% des employeurs autoriseront ou préconiseront l’usage des terminaux personnels ce qui compliquera singulièrement les choses en matière de PRA sans parler du risque accru de perte des données de l’entreprise sur ces matériels ou leur disparition par perte ou vol : un casse tête pour la planification des PRA. Impossible de sauvegarder des données personnelles sur les serveurs de l’entreprise au même titre que les informations professionnelles ! Pourtant, il faudra bien mettre au point une politique de PRA acceptable par tous les collaborateurs, avec un cadre définissant ce que l’entreprise peut et ne peut pas faire sur le portable de chaque salarié.

Garder le moral après les tests

Un test de reprise après sinistre peut démoraliser l’équipe en charge des opérations si celles-ci font apparaître des failles de procédure. Pour rester positif, il convient d’expliquer le but de la manœuvre – anticiper les problèmes en les identifiant concrètement – puis mettre en place des points de contrôle réguliers afin de neutraliser les doutes. À terme, un fonctionnement incluant des tests périodiques de reprise après sinistre – comme on le fait avant tout déploiement d’application en production – permettra de créer une culture de précaution salutaire pour l’entreprise.

Garantir la récupération

Assurer au conseil d’administration que le plan de reprise après sinistre est en place, avec des risques de blocage largement atténués et une continuité des activités garantie pour l’essentiel est une finalité en soi. Encore faut-il en être certain et en administrer la preuve. Les DSI avisés se tournent maintenant vers le cloud et la virtualisation pour répondre au mieux à leur problématique de reprise après sinistre et il est finalement assez aisé de faire passer cet investissement si on présente en face les éventuelles pertes de chiffre d’affaires dans l’éventualité de l’arrêt de l’entreprise. Dans tous les cas de figure, la planification de reprise après sinistre et de continuité des activités doit s’inscrire aux cœur des priorités stratégiques de l’entreprise.


Contactez-nous

Vous aimeriez savoir comment tirer le maximum de votre infrastructure de données ? Contactez l’un de nos experts en solutions d’infrastructure dès aujourd’hui et découvrez ce qu’Aptum peut faire pour vous !

Obtenir un devis