il y a 1 mois

Comment Créer un Plan de Reprise d’Activité Après Sinistre Efficace – Disaster Recovery Plan

Modificato il 13 mars 2021

Avec les cyber-attaques et les catastrophes naturelles qui menacent vos données à chaque instant, comme le récent triste cas de l’incendie d’OVH, être préparé avec un plan de reprise après sinistre est votre meilleure défense.
DRP, Disaster Recovery Plan
DRP, Disaster Recovery Plan chiamato anche Piano di Recupero del Disastro @BL DIgital

Cependant, dans le domaine de la cybersécurité, toutes les catastrophes ne sont pas naturelles. De nombreuses entreprises sont frappées par des catastrophes d’origine humaine sous la forme de cyberattaques qui corrompent des données ou rendent des actifs vitaux non fonctionnels.

Que votre entreprise soit confrontée à une catastrophe naturelle ou à une menace de cybersécurité, la mise en place d’un plan de reprise d’activité après sinistre (également appelé «plan DR» ou DRP ou PRA) est une mesure essentielle d’atténuation des risques permettant de protéger votre organisation des incidents et ainsi respecter les pré-requis du GDPR.

Qu’est-ce qu’un plan de reprise d’activité après sinistre? Comment créer un plan de reprise après sinistre efficace pour votre entreprise?

1. Qu’est-ce qu’un Plan de Reprise d’Activité après Sinistre (PRA)?

Un plan de reprise d’activité après sinistre (PRA), appelé aussi Disaster Recovery Plan (DRP), est un ensemble d’outils et de procédures qu’une organisation utilise pour se remettre d’une perturbation majeure de ses actifs informatiques.

La planification de la reprise après sinistre peut utiliser divers outils en fonction des actifs existants et des objectifs de reprise de l’entreprise.

Lors de la planification de la reprise d’activité après sinistre, le «sinistre» peut être tout événement qui interrompt l’accès aux données, aux applications ou aux systèmes.

Cela peut inclure :

  • les pannes d’électricité;
  • la corruption du stockage des données;
  • les attaques DDoS;
  • les catastrophes naturelles qui coupent les connexions au serveur;

Tout ce qui perturbe les flux de travail informatiques. L’objectif est de surmonter le désastre des données et de restaurer les opérations normales.

Les plans de reprise d’activité après sinistre peuvent même être efficaces pour atténuer certaines menaces de cybersécurité. Par exemple, la mise en place d’un PRA peut être optimale pour contrer une attaque de ransomware. Avec une sauvegarde à distance, vous pouvez simplement restaurer les données corrompues à partir de celle-ci au lieu d’avoir à payer un cybercriminel pour la clé de cryptage, n’est pas Bill Gates qui veut!

via GIPHY

2. Qu’y a-t-il Dans un Plan de Reprise d’Activité Après Sinistre?

Les PRA intègrent souvent (mais sans s’y limiter) les éléments suivants:

  • Objectifs de Points de Récupération (RPO). Il s’agit d’une mesure de la quantité de données pouvant être perdue pendant les efforts de récupération. Ceci est contrôlé en ajustant la fréquence des sauvegardes de données.
  • Objectifs de Temps de Récupération (RTO). Il s’agit d’une estimation du temps qu’il faudrait pour que les opérations normales reprennent après un événement imprévu. Les RTO plus rapides nécessitent généralement plus de ressources que les plus lents.
  • Sauvegardes de Données à Distance. La création d’une sauvegarde hors site secondaire de vos données les plus importantes est au cœur de toute solution de reprise après sinistre.
  • Tableau ou Graphique de Responsabilité. Qui est responsable de la mise en œuvre d’un plan de reprise d’activité après sinistre? Le fait d’avoir attribué des rôles et des responsabilités dans un tableau de responsabilisation facilite le suivi et l’application d’un plan rapidement et de manière cohérente.
  • Test du plan DR. Les plans de reprise d’activité après sinistre nécessitent souvent des tests fréquents pour garantir que les RTO et les RPO peuvent être respectés en cas d’urgence réelle.

3. Plan de Reprise d’Activité après Sinistre (PRA) Vs Plan de Continuité d’Activité (PCA)

Plan de Reprise d’Activité après Sinistre iano di recupero del disastro (DRP) vs piano di continuità aziendale (BCP) = BCDR
Le Plan de Reprise d’Activité après Sinistre (PRA) et le plan de continuité d’activité ( PCA ou Business Continuity BCP) sont différents mais complémentaires: ils font partie du “BCDR”.

Lors de la recherche de solutions de reprise après sinistre, il n’est pas rare de rencontrer le terme « plan de continuité d’activité » PCA (appelé aussi Businness Continuity Plan, BCP). En fait, les deux termes sont souvent confondus. Cependant, si la reprise d’activité après sinistre est une partie importante de la planification de la continuité des activités, les deux termes ne sont pas la même chose.

La planification de la continuité des activités est principalement axée sur le maintien des opérations malgré les interruptions. La reprise d’activité après sinistre consiste à se remettre de telles interruptions. Ainsi, en règle générale, les plans de continuité des activités ont tendance à être plus gourmands en ressources que les plans de reprise d’activité après sinistre.

Par exemple, lorsqu’un plan PRA peut appeler un serveur de sauvegarde de données distant pour stocker des copies de données critiques, un plan PCA pourra avoir un environnement de production de sauvegarde complet qui reflète l’intégralité de votre serveur de production actif. Cet environnement de sauvegarde peut être réactivé dès qu’une catastrophe survient pour prendre le relais de manière quasi transparente afin que les autres ne remarquent même pas une interruption de service.

En outre, les plans de continuité des activités peuvent nécessiter des mesures de gestion des menaces spécifiques pour empêcher les catastrophes potentielles de se produire en premier lieu. Pour les organisations disposant des ressources, la mise en place d’un plan PCA / PRA complet peut être plus onéreux par rapport à une solution de reprise d’activité après sinistre plus basique.

4. Étapes du Plan de Reprise d’Activité Après Sinistre – Votre Entreprise Est-Elle Préparée?

Voici quelques étapes simples que vous pouvez suivre pour créer un PRA après sinistre efficace pour votre organisation:

Étape 1: Auditez toutes vos Ressources Informatiques

Avant de pouvoir planifier un retour à la «normal», vous devez savoir à quoi ressemble la routine pour votre entreprise. Une partie de ce point consiste à savoir quels sont tous les différents actifs qui existent sur l’infrastructure réseau de votre entreprise.

En créant un inventaire de toutes les ressources informatiques de votre réseau et des données que contiennent chaque ressource, vous pouvez commencer à consolider et simplifier les éléments pour faciliter la sauvegarde et la récupération des informations à l’avenir.

Étape 2: Déterminez ce qui est «Essentiel à la Mission»

Il y a de fortes chances que votre entreprise traite et stocke beaucoup plus de données que vous ne le pensez, et qu’une grande partie de ces données soit redondante ou pas vraiment cruciale pour que vous continuiez à fonctionner. Au cours de l’audit de vos actifs informatiques, vous rencontrerez probablement de nombreux ensembles de données qui ne sont tout simplement pas si importants.

Si vous essayez de copier chaque bit de données de chaque actif informatique de votre réseau vers un serveur de sauvegarde, cela prendra beaucoup de puissance de traitement à gérer. En triant les données inutiles ou redondantes, vous pouvez réduire la taille du fichier de sauvegarde que vous devez créer, économisant de l’espace de stockage et des dépenses plus tard.

C’est également l’occasion d’exercer une bonne hygiène des données en supprimant les fichiers superflus des endpoints sur lesquels ils n’ont pas besoin d’être stockés.

Étape 3: Établir les Rôles et les Responsabilités de Chacun dans le Plan de PRA

Chaque employé de l’organisation doit avoir un rôle à jouer dans votre plan de reprise d’activité après sinistre. Même quelque chose d’aussi simple que de signaler les menaces de cybersécurité le long de la chaîne de commandement à une personne ayant plus d’ancienneté ou de savoir-faire pour mettre en œuvre le plan de PRA peut s’avérer critique.

Lorsque tout le monde sait quoi faire en cas d’urgence, votre plan de PRA sera plus efficace qu’il ne le serait si personne ne savait quoi faire en cas de catastrophe.

via GIPHY

Étape 4: Définissez vos Objectifs de Récupération

À quelle vitesse votre organisation devrait-elle être en mesure de se remettre d’une catastrophe? Combien (et quelles) données pouvez-vous vous permettre de perdre en cas de sinistre? La définition de vos objectifs de point de récupération et de temps de récupération peut s’avérer cruciale dans un plan de reprise d’activité après sinistre efficace.

Vous voudriez peut-être même vous assurer de donner la priorité à certaines données par rapport à d’autres en ce qui concerne vos RPO et vos RTO. Par exemple, les données moins importantes auxquelles il n’est pas nécessaire d’accéder immédiatement peuvent se voir attribuer une priorité inférieure, en leur attribuant un temps de récupération plus long et en ne donnant pas la priorité aux sauvegardes fréquentes pour ces informations.

D’un autre côté, les données essentielles à la mission, telles que les données financières nécessaires pour les comptes fournisseurs et débiteurs, ou les données requises pour la conformité réglementaire, devraient se voir attribuer des RPO et des RTO beaucoup plus stricts afin de minimiser les perturbations. Cela pourrait signifier avoir des sauvegardes fréquentes de ces informations, ou même aller jusqu’à mettre en place un plan PRA avec un serveur de production de sauvegarde pour prendre le relais du serveur principal en cas de sinistre.

Étape 5: Trouver une Solution de Stockage de Données à Distance ou Hors Site.

Lorsque votre entreprise est touchée par un sinistre qui détruit votre solution de stockage de données principale, ces données peuvent être perdues à jamais si vous ne disposez pas d’une sorte de sauvegarde à distance.

Par exemple, supposons qu’une attaque de ransomware frappe votre entreprise et que toutes les données de votre base de données principale soient cryptées. Si vous disposez d’une sauvegarde à distance de toutes les données de cette base de données, vous pouvez simplement reformater et désinfecter les disques corrompus et restaurer les données à partir de la sauvegarde. Bien que cela prenne du temps, il vaut mieux que de perdre toutes les informations dont vous disposiez. De plus, payer une rançon ne signifie pas nécessairement que les criminels vous donneront réellement la clé de cryptage pour restaurer vos données.

En outre, si les actifs stockant vos données sont physiquement endommagés, par exemple par un incendie, une inondation ou une altération physique, vous pouvez utiliser les données stockées sur la sauvegarde pour couvrir la perte. Cela permet de minimiser les perturbations commerciales.

Plan de Reprise d’Activité après Sinistre Redondance de sauvegarde  DRP piano di ripristino di emergenza strategia di crisi backup ridondanza
DRP Redondance de Sauvegarde

À l’heure actuelle, la norme de référence pour la sauvegarde de données à distance serait des solutions basées sur le cloud qui peuvent automatiquement télécharger et copier des données tous les quelques jours (ou même toutes les quelques heures). Contrairement aux anciennes méthodes de sauvegarde manuelles exigeant que les utilisateurs copient des données sur un disque ou une clé USB, les sauvegardes via une solution cloud peuvent être effectuées à tout moment, et sans avoir à extraire un morceau de support physique.

Cependant, les sauvegardes de supports physiques, bien que plus lentes et plus lourdes à déployer, sont également plus faciles à isoler des systèmes infectés en les gardant hors ligne jusqu’à ce qu’elles soient nécessaires. Cela les rend moins susceptibles d’être corrompus par des ransomwares et autres logiciels malveillants que le stockage cloud à mise à jour automatique.

Bien entendu, il existe des solutions plus robustes que le simple stockage de données. Certaines entreprises qui proposent des solutions de reprise après sinistre disposent d’environnements de cloud computing complets capables de gérer le trafic lorsque votre réseau principal est en panne afin de minimiser les perturbations.

Étape 6: Créer un Test pour le Plan de Récupération

Créer un plan de reprise après sinistre pour votre entreprise est une chose, c’est une autre de savoir si ce plan fonctionnera lorsque vous en aurez besoin. Pour cette raison, il est essentiel de disposer d’une méthode pour tester périodiquement votre plan de reprise après sinistre, comme un exercice incendie.

Lors de la création de ce test, tenez compte des éléments suivants:

  • Points de Défaillance Uniques. Y a-t-il des systèmes qui manquent de redondance dans votre plan de récupération? Si ces points de défaillance uniques rencontrent un problème, pouvez-vous continuer votre plan de récupération?
  • Le Temps de Récupération. Combien de temps faut-il entre le début du test pour restaurer les fonctionnalités minimales? Combien de temps encore pour que les choses reviennent à la normale? Tenez compte de ces temps de récupération et découvrez comment vous pourriez les rendre plus rapides.
  • Point de Récupération. Quelle quantité de données a été perdue lors du passage à la sauvegarde à distance? Les données perdues étaient-elles critiques pour vos opérations d’une manière ou d’une autre? La vérification des points de récupération est importante pour éviter la perte de données lors d’une catastrophe réelle.
  • Le Type de «Catastrophe» Simulée. Exécutez-vous un test qui suppose que les données de votre réseau sont corrompues ou les données sont-elles inaccessibles en raison de dommages causés aux actifs de votre bureau / centre de données? Considérez comment différents types de catastrophes peuvent affecter vos options et vos besoins en matière de récupération. Cela vous aidera à créer un plan de reprise après sinistre plus robuste et plus efficace.

via GIPHY

Tenir compte de ce qui précède lors de la création d’un test peut vous aider à trouver des moyens d’améliorer votre plan de reprise après sinistre à long terme, ce qui peut contribuer à rendre votre entreprise plus résiliente face aux catastrophes de toutes sortes.

Certaines entreprises proposent une reprise après sinistre en tant que service (DRaaS) pour aider les organisations à créer et à gérer leurs plans de reprise après sinistre. La qualité et la fiabilité des services DRaaS peuvent varier d’un fournisseur à l’autre, il est donc important de vérifier ces services avant de s’enregistrer.

5. Que Nous Apprend l’Incident d’OVH

Ne dit-on pas de ne pas mettre tous ses œufs dans le même panier ?

Le sinistre du centre de données OVH démontre pourquoi les plans de reprise d’activité et les sauvegardes sont vitaux.

Il est vite apparu que toutes les entreprises n’avaient pas mis en place un plan de reprise après sinistre suffisant, les administrations françaises et beaucoup de grandes entreprises étant toujours hors ligne au moment de la rédaction de cet article, plus de 24 heures plus tard.

OVH DRP
@BL Digital

Beaucoup d’incompréhension et de confusion de la part de ses entreprises qui comptaient sans doute sur leur sauvegarde hébergée directement dans la même infrastructure sans créer de redondance.

Et c’est peut-être l’une des plus grandes leçons que les entreprises peuvent tirer des événements qui se sont déroulés à Strasbourg hier. Malgré tous les avantages qu’apporte le cloud computing, les entreprises continuent de faire confiance à une seule infrastructure, économisant sur leur process, c’est pourquoi il est si important de disposer d’un solide plan de reprise après sinistre – y compris des sauvegardes de données.

Néanmoins, de bons élèves ont su répondre avec efficacité à cet incident: comme le montre l’exemple d’Axeptio qui dès 8h50 a remis en place son infrastructure, informant rapidement sa clientèle.

6. Que Dit le RGPD

Depuis le 25 mai 2018, date d’entrée en application du RGPD, vous devez, pour vous conformer aux règles de protection des données personnelles:

“Effectuer des sauvegardes régulières pour limiter l’impact
d’une disparition non désirée de données. : Si le risque zéro n’existe pas en informatique, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez.

Vous garantissez ainsi l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage.

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas de d’incident.”

CNIL, Commission nationale de l’informatique et des libertés

Ce que disent les avocats experts, comme Maître Gérard HAAS, Maître Stéphane ASTIER et Maître Florian PERRETIN

“En application de l’article 32 du Règlement Général Européen pour la Protection des Données (ci-après RGPD), le responsable du traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement. Cela inclut des mesures de prévention contre tous types de risques, même accidentels, et donc un plan de continuité d’activité pour satisfaire aux exigences de disponibilité des données.

Dans une logique de conformité au RGPD, une politique de sécurité efficace passe par la mise en place de méthodes préventives visant à éviter la discontinuité du service, et curatives afin de rétablir la continuité après la survenance du sinistre. Le tout est d’adopter un comportement pro-actif dans la gestion de la crise.”

Cabinet HAAS Avocats

Il est donc bien de la responsabilité du chef d’entreprise de s’assurer qu’il est en mesure de garantir la continuité d’activité pour ainsi éviter la rupture de service dans le contrat qui le lie à un hébergeur. Un PCA ou PRA n’est donc pas une option.

En résumé, une organisation doit développer une équipe de reprise pour créer un plan de reprise après sinistre qui comprend l’identification et l’évaluation des risques de sinistre, la détermination des applications critiques et la spécification des procédures de sauvegarde.

Créer et de mettre en œuvre un plan de reprise d’activité après sinistre (PRA / DRP) n’est pas anodin .Le plan doit être facile à suivre et à comprendre, et être personnalisé pour répondre aux besoins uniques de l’organisation.

Le PRA doit être continuellement testé et maintenu pour préparer systématiquement l’organisation à l’évolution des catastrophes et des urgences.

7. Que Prévoit-On Chez BL Digital

Chez BL Digital, nous avons déjà élaboré notre Plan de continuité d’activité et notre Plan de reprise d’activité après SInistre.

En cas de suspension de votre site internet, nous garantissons un déploiement rapide de votre dernière sauvegarde en fonction des délais inscrits dans le plan de maintenance que vous avez souscrit.

Toutes vos données sont hébergées dans un cloud crypté avec une triple redondance.

Lila HNAT BENGUEDACH
Lila HNAT BENGUEDACH
PhD in memology with a soft spot for optimisation! I'm the owner of BL Digital, specialised in beautiful website that rank and convert. Passionate Trimix Diver too, Web Designer Creative, SEO Witcher, Q&A to the perfectionism, "Fus Ro Dah" tips expert. I love nothing more than connecting with others and sharing the things I am passionate about.

Modifié le13 mars 2021

Vous Aimerez Aussi

  • SEO
  • CyberSécurité
Google video schema SEO

Google Propose 5 Bonnes Pratiques pour Optimiser les Vidéos pour votre Référencement SEO

Lila HNAT BENGUEDACH Mar 18, 2021

Sur sa chaîne YouTube, Google dévoile les cinq bonnes pratiques essentielles pour permettre à l'algorithme d'indexer correctement les vidéos. Comment intégrer des vidéos dans un site Web pour que Google puisse les indexer au mieux et les afficher dans les résultats de recherche?

Retour haut de page