En matière de reprise après incident, deux métriques essentielles pour les entreprises sont le délai optimal de reprise d’activité (RPO) et l’objectif de temps de restauration (RTO), qui portent respectivement sur la quantité de données perdues et le temps nécessaire pour les restaurer. Avoir une connaissance claire de votre niveau de tolérance au risque vis-à-vis de ces questions permet de vous assurer que votre stratégie de sauvegarde et de restauration est alignée sur vos objectifs commerciaux.
Découvrons les RPO et RTO et le rôle essentiel qu’ils jouent dans le plan de reprise d’activité de votre entreprise.
Que signifie RPO ?
Le délai optimal de reprise d’activité (RPO) est la quantité maximale de données perdues acceptable pour une entreprise. La tolérance aux pertes de données est souvent mesurée en termes de temps.
Les entreprises qui traitent des données sensibles, notamment dans les secteurs de la finance, de l’administration publique ou de la santé, peuvent être contraintes de tenir compte des exigences réglementaires au moment de définir leurs RPO. Les exigences métier peuvent également influencer les RPO. Par exemple, les passerelles de paiement, les serveurs de messagerie et les bases de données boursières peuvent avoir un RPO d’une minute ou moins. En revanche, la base de données du blog grand public d’une entreprise peut avoir un RPO de 24 heures.
Que signifie RTO ?
L’objectif de temps de restauration (RTO) est la durée maximale pendant laquelle un ordinateur, un système, un réseau ou une application peut être hors service à la suite d’une défaillance. Un RTO est le plus souvent mesuré en secondes, minutes, heures ou jours.
Un serveur de messagerie peut avoir un RTO allant jusqu’à quatre heures, car les autres serveurs de messagerie réessaieront généralement de livrer si un serveur est hors ligne pendant une courte période. En revanche, une banque gérant un volume élevé de transactions peut définir un RTO de quelques secondes seulement pour toutes les applications financières.
Les RTOs sont définis en fonction de l’application et de son incidence sur l’activité. Les pertes de données et les pannes affectent la génération de revenus. Quantifier l’impact d’une panne est un facteur clé pour déterminer les RTO et la manière de configurer l’environnement pour minimiser les temps de restauration.
Quelle est la différence entre RPO et RTO ?
Les RPO et RTO sont exprimés en intervalles de temps. Les RPO tiennent compte de la tolérance aux pertes de données d’une entreprise et sont rétrospectifs, car ils sont mesurés d’après la date à laquelle les données restaurées doivent remonter. Les RTO évaluent l’impact que toute panne ou perturbation aurait sur la capacité de l’entreprise à générer du chiffre d’affaires et sont prospectifs puisqu’ils mesurent des incréments de temps dans le futur en cas de défaillance.
Définir un RPO vous aide à décider de la fréquence des sauvegardes. Par exemple, un RPO nul nécessiterait des snapshots fréquents ou des sauvegardes incrémentielles. Des tolérances plus longues permettent des sauvegardes moins fréquentes et donc des coûts de stockage réduits.
Le RTO permet de déterminer l’architecture de vos systèmes. Si un certain temps de restauration est acceptable, la restauration d’un seul système à partir d’une image est une option. Lorsque le RTO souhaité est nul ou quasi-nul, il est nécessaire d’investir dans des solutions de redondance, d’équilibrage de charges et de basculement.
Définir des RTO et RPO appropriés est particulièrement important pour les entreprises, car toute panne ou perturbation des données peut avoir des conséquences directes sur les ventes et la réputation de la marque, et peut affecter négativement la confiance et la fidélisation des clients.
L’importance des RPO et RTO dans la reprise après incident
Les objectifs de restauration sont des métriques essentielles pour élaborer une stratégie de reprise après incident. Ils vous aident à quantifier le niveau de pertes de données ou de perturbation que vous êtes prêt à accepter pour mettre en place un système de sauvegarde et de restauration fiable et économique.
Les sauvegardes périmées ou dont la restauration prend trop de temps ne sont pas d’une grande utilité pour votre entreprise. Savoir que vous pouvez rétablir un fonctionnement normal dans un délai raisonnable offre une plus grande tranquillité d’esprit.
Comprendre la différence entre RPO et RTO et connaître le rôle de chaque métrique dans l’élaboration de votre plan de reprise d’activité est primordial. Savoir quelle quantité de données perdues, le cas échéant, est acceptable et combien de temps vous pouvez tolérer l’indisponibilité d’un service vous aide à prendre des décisions éclairées concernant vos solutions de sauvegarde et votre workflow de restauration.
Comment calcule-t-on un délai optimal de reprise d’activité ?
Pour calculer un RPO, tenez compte des éléments suivants :
- Fréquence des changements de données : Le RPO doit, au minimum, correspondre à la fréquence à laquelle vos données changent. Ainsi, l’écart entre les nouvelles données et les données de sauvegarde est minimal, ce qui réduit le risque de perte
- Alignez les RPO sur les plans de continuité de l’activité : Les processus métier individuels peuvent avoir des RPO différents, selon la criticité de leurs données. Certaines applications exigent une approche « Always-On » de la continuité de l’activité, alors que d’autres sont plus tolérantes aux pertes de données.
- Tenez compte des normes du secteur : Les meilleures pratiques varient d’un secteur d’activité à l’autre, mais il faut tenir compte des règles générales suivantes en matière de RPO :
- 0 à 1 heure : La durée la plus courte pour les workloads stratégiques et les données volumineuses, dynamiques ou difficiles à recréer
- 1 à 4 heures : Pour les applications considérées comme semi-stratégiques, lorsqu’une petite quantité de pertes de données est acceptable
- 4 à 12 heures : Pour les données qui sont mises à jour peu fréquemment (par exemple, quotidiennement), des snapshots occasionnels sont acceptables
- 13 à 24 heures : Le RPO le plus long encore couramment observé pour des données rarement mises à jour, importantes mais non considérées comme critiques
Documentez le processus de prise de décision. Une fois les RPO définis, faites-les approuver par le service informatique et les autres parties prenantes.
Examinez régulièrement les RPO pour vous assurer qu’ils sont toujours pertinents et appropriés. Ajustez-les si nécessaire pour assurer une protection maximale de vos données.
Calcul du risque
Le RPO et le RTO représentent tous deux des calculs de risque. Ils mesurent la quantité de données qu’une entreprise peut perdre et la durée pendant laquelle elle peut tolérer une mise hors ligne après un incident. Ces objectifs de restauration peuvent être mesurés en secondes, heures, minutes ou jours selon le processus métier. La quantification des risques est un processus complexe qui doit tenir compte de l’application, de l’ensemble de données et des objectifs de l’entreprise.
Toutes les parties prenantes doivent avoir la possibilité de donner leur avis sur leur tolérance au risque en ce qui concerne les pertes de données et les temps d’arrêt. Lorsqu’une seule organisation informatique est au service de l’entreprise et qu’elle est responsable de l’implémentation, la gestion et la supervision d’une solution de sauvegarde et de restauration, cette solution doit répondre aux besoins des processus métier les plus stratégiques.
Comment définir les valeurs de RTO et de RPO pour vos applications
Pour définir le RTO de votre entreprise, veuillez prendre en compte les éléments suivants :
- Coût d’une panne par minute, heure ou jour
- SLA de restauration existants en place avec les clients
- Quelles applications ont la plus haute priorité
- L’ordre idéal dans lequel les applications stratégiques doivent être restaurées
Pour définir vos RPO, prenez en compte les points suivants :
- Si les pertes de données sont acceptables dans n’importe quel scénario
- L’impact des pertes de données sur votre marque
- Incidences juridiques éventuelles
- Incidences financières éventuelles
Un facteur plus délicat, mais important, à prendre en compte lors de l’élaboration d’une stratégie est l’impact négatif que les pertes de données ou les temps d’arrêt peuvent avoir sur votre image de marque. Cela est souvent difficile à quantifier en termes financiers, mais des temps d’arrêt importants ou des pertes de données peuvent entraîner un manque de confiance de la part des clients.
Évaluez les problèmes ci-dessus par rapport au coût des solutions de transfert, de stockage et de restauration des données pour trouver la stratégie la mieux adaptée à vos besoins.
Évaluez chaque application ou processus métier indépendamment. Sollicitez l’avis des parties prenantes tout au long de cette partie du processus et, en cas de doute, il vaut mieux opter pour une restauration plus rapide et une limitation des pertes de données.
Meilleures pratiques d’optimisation des RPO et RTO
Pour optimiser le RPO et le RTO, appliquez les meilleures pratiques suivantes :
Sauvegardes fréquentes
Pour obtenir des environnements aux RPO incroyablement réduits, la technologie de protection des données en continu de Veeam et d’autres sauvegardes prenant en charge les applications ou incrémentielles peuvent être utilisées pour les snapshots fréquents. Pour les applications moins stratégiques, définissez une fréquence de sauvegarde appropriée. Pour plus de tranquillité d’esprit, automatisez le processus de sauvegarde, notamment en vérifiant l’intégrité de la copie.
Les sauvegardes complètes fréquentes entraînent des surcoûts importants en termes de coûts de stockage. Les sauvegardes incrémentielles permettent de réduire les coûts en enregistrant ce qui a changé entre chaque sauvegarde.
Conservez plusieurs sauvegardes sur différents types de supports. Idéalement, vous devriez aussi disposer d’une sauvegarde hors site inaltérable pour vous protéger contre les pertes de données dues aux attaques de logiciels malveillants ou de ransomware.
Redondance et basculement
Minimisez les temps d’arrêt grâce à la redondance et au basculement des services stratégiques. Cette pratique ne remplace pas les sauvegardes, mais elle protège contre les défaillances ou les pannes d’applications qui, autrement, interrompraient le service.
L’utilisation de certaines matrices RAID peut offrir une couche de redondance, ce qui peut réduire le risque de perte de données et vous permettre de répondre aux défaillances matérielles. Encore une fois, il s’agit simplement d’une protection supplémentaire et non d’un remplacement des sauvegardes de votre plan de continuité d’activité.
Lorsque les données et les workloads sont répliqués sur des services cloud redondants, le risque d’altération ou de perte de données demeure, par exemple en cas d’attaque par ransomware. La technologie de protection des données en continu de Veeam constitue un outil capable d’atténuer les risques de perte de données sur les machines virtuelles stratégiques.
Test et validation
L’évaluation des priorités entre le RPO et le RTO et la définition d’objectifs ne sont qu’un début. Pour avoir la certitude que votre entreprise est en capacité à atteindre ces objectifs, toutes les pratiques de sauvegarde et de restauration doivent être testées régulièrement.
Il existe de nombreuses meilleures pratiques permettant de tester les objectifs de restauration, mais le plus important consiste à réaliser ces tests. Il est essentiel d’investir dans les ressources et le temps nécessaires à la réalisation du processus de test. Gardez également à l’esprit que des tests adéquats peuvent nécessiter des ressources en stockage, traitement, réseau et temps.
Prenez les points suivants en considération lorsque vous planifiez les tests de restauration :
- Le meilleur programme de tests pour répondre aux exigences des SLA
- Le temps nécessaire pour restaurer les données ou le workload à un état opérationnel
- Les contraintes de stockage pour la restauration des données
- Les exigences de stockage et de traitement pour les workloads stratégiques
- Des outils d’automatisation et d’orchestration qui permettent de personnaliser les tests et de les exécuter sans erreur.
Restauration basée sur les priorités
Déterminez quelles workloads sont stratégiques et classez-les par ordre de priorité lorsque vous développez une stratégie de restauration. L’exécution d’applications stratégiques sur des machines virtuelles peut accélérer le processus de restauration. Par exemple, restaurer les données des clients ou les dossiers financiers aurait une priorité plus élevée que la restauration d’une base de données de documents de formation internes.
Automatisation
L’automatisation permet de réaliser des sauvegardes sans intervention humaine. Les sauvegardes planifiées limitent les risques de perte de données. Les outils de protection moderne des données prennent en charge les tests automatisés et l’orchestration, ce qui vous offre une tranquillité d’esprit : les sauvegardes sont exemptes d’erreurs et peuvent être restaurées.
Ne considérez pas les sauvegardes automatiques comme une incitation au laxisme. Vérifiez régulièrement vos processus de sauvegarde pour vérifier qu’ils couvrent toutes les données stratégiques.
Stockage hors site
La règle du 3-2-1 de la sauvegarde impose :
- Vous devez disposer de trois copies des données
- Sur au moins deux supports différents
- Dont une copie conservée hors site
Ainsi, les données sont protégées non seulement contre la suppression ou l’altération accidentelles, mais aussi contre la perte résultant d’événements catastrophiques tels que des incendies ou des inondations qui pourraient détruire une copie sur site conservée sur un stockage amovible ou NAS.
Supervision et analyse continues
Quelle que soit la solution IT, la supervision et l’analyse offrent des informations sur les performances de votre infrastructure. De nombreux paramètres peuvent être surveillés pour les solutions de sauvegarde et de restauration :
- Test des sauvegardes pour s’assurer qu’elles se déroulent sans erreur
- Supervision de l’infrastructure pour identifier les problèmes susceptibles de compromettre la réussite des sauvegardes
- Analyse des tendances d’utilisation pour éviter tout problème de capacité de stockage des sauvegardes
Pour en savoir plus sur la manière d’améliorer la continuité de l’activité, consultez notre guide détaillé des meilleures pratiques pour atteindre vos objectifs de restauration.
Améliorez votre stratégie de reprise après incident avec Veeam
Le RPO et le RTO sont des mesures essentielles lors de la définition d’une stratégie de sauvegarde et de restauration. Tenez compte de votre tolérance en matière de perte de données (RPO) et de temps d’arrêt (RTO) lorsque vous équilibrez votre budget et vos ressources disponibles.
Gardez toujours à l’esprit les meilleures pratiques et échangez avec les parties prenantes dans toute l’organisation pour vous assurer que votre stratégie de reprise après incident répond aux besoins de l’entreprise. Il est essentiel d’automatiser le processus de sauvegardes fréquentes et de les tester. Il est également utile de prendre d’autres précautions, comme la redondance pour les applications stratégiques. Envisagez les solutions de protection des données de Veeam, y compris celles adaptées aux besoins des secteurs règlementés.
Contactez Veeam aujourd’hui pour prendre rendez-vous ou obtenir une démonstration de sa plateforme de protection des données.
Contenus associés