Découvrez ce qu’est le Disaster Recovery et pourquoi nous en avons besoin.
L’augmentation de la dépendance des organisations aux technologies complexes et l’accroissement des menaces auxquelles elles sont confrontées nous rendent de plus en plus vulnérables face aux potentielles failles de leur système informatique.
Nos systèmes, et donc nos organisations, sont exposés à une multitude de menaces. Ces incidents varient en gravité, allant de mineurs à catastrophiques. Ils incluent des coupures de courant, des interruptions de lignes de données et des désastres naturels tels que les incendies, les inondations ou les tremblements de terre. Théoriquement, dans un contexte politique de plus en plus incertain, nous pourrions également subir les conséquences de cette instabilité ou être victimes d’attaques terroristes.
Tout ce qui a été exposé jusqu’à présent, ainsi que les nouvelles que nous avons pu lire au fil des années sur des entreprises subissant des incidents catastrophiques, nous enseigne que les organisations qui ne sont pas préparées aux pires scénarios sont susceptibles de ne pas survivre lorsqu’ils se présentent, aussi improbables qu’ils soient.
C’est pour cette raison et sur la base de la nécessité d’assurer la continuité des activités que nous devons mettre en place une stratégie ou une politique de reprise après sinistre (DR).
Au fil du temps, à partir de la norme britannique BS25999, la première à s’approcher de la gestion de la continuité des activités (BCM ou Business Continuity Management), différentes réglementations ont émergé pour déterminer les besoins d’une organisation lors d’une potentielle catastrophe et pour évaluer quels sont les moyens nécessaires pour s’en sortir.
Un problème complexe :
La complexité est l’un des principaux problèmes en ce qui concerne la mise en œuvre d’un DR. À cela s’ajoute le coût de mise en œuvre et de maintenance des moyens nécessaires à cette prévision, qui ne sont pas négligeables.
On part de l’approche quelque peu erronée selon laquelle seuls des spécialistes peuvent l’implémenter, ce qui rend, au moins en principe, ce type de mise en marche difficilement abordable pour les petites et moyennes entreprises (PME). Et bien que les spécialistes en continuité des activités ou en DR existent et soient mieux préparés (ils connaissent beaucoup mieux les processus formels ainsi que les normes d’application et même les solutions techniques) puisqu’ils s’y consacrent comme le ‘cœur’ de leur métier, cela ne signifie pas qu’une bonne solution de Disaster Recovery ne puisse exister en leur absence.
Nous avons souvent une vision timorée selon laquelle les départements informatiques (surtout ceux des PME) ne sont pas préparés pour un projet de ce type et que le manque d’expérience dans ce domaine, ajouté aux coûts possibles associés, rend impossible la mise en œuvre d’un projet de ce type dans les entreprises de petite ou moyenne taille.
Cette vision est complètement fausse parce que, même si la plupart des techniciens informatiques de petites entreprises peuvent manquer d’expérience dans la conception et la mise en œuvre de solutions de reprise après sinistre, ils bénéficient d’une grande expérience dans un large éventail de technologies avec lesquelles ces solutions sont conçues. En fin de compte, quand nous parlons de reprise après sinistre, nous parlons de configurations d’applications, de systèmes d’exploitation, d’électronique de réseau, etc., en plus de la partie procédurale, normative ou légale.
Qu’est-ce que vraiment le Disaster Recovery ?
Le terme DR, ou reprise après sinistre, fait référence à toutes les activités qui doivent être réalisées en amont pour déployer et gérer l’infrastructure nécessaire à la récupération du fonctionnement correct de l’entreprise, afin qu’elle ne subisse pas un grand impact sur le service qu’elle fournit.
Définissant de manière un peu plus académique la reprise après sinistre, nous pouvons dire que c’est toute la planification, préparation, mise en œuvre, maintenance et exécution de tous les processus nécessaires pour restaurer le service après un désastre.
Pourquoi avons-nous besoin du Disaster Recovery ?
La disponibilité des systèmes a toujours été impérative et critique, car sans systèmes de production ou de facturation fonctionnels, il est impossible de maintenir l’activité d’une entreprise.
L’indisponibilité des services ou le manque d’opération peut impacter de multiples manières notre entreprise, y compris un facteur souvent négligé : celui de l’image corporative. Cette dernière peut être déterminante pour qu’une entreprise puisse sombrer ou s’en sortir raisonnablement bien face à ses concurrents.
De nos jours, grâce aux ordinateurs, tablettes, et surtout aux terminaux de téléphonie mobile avec des fonctionnalités avancées (smartphones), la plupart des utilisateurs se sont habitués à avoir la capacité d’accéder à l’information, à des nouvelles et à tout type de contenus de manière instantanée.
Cela a permis, d’une part, d’atteindre une meilleure productivité et, d’autre part, cela a créé une dépendance aux systèmes d’information ainsi qu’une certaine « anxiété » lorsque les systèmes ne fonctionnent pas aussi rapidement que souhaité ou lorsqu’ils ne sont pas disponibles, ce qui n’était pas le cas auparavant. Il y a quelques années, si vous n’aviez pas accès à internet ou à un site spécifique, vous réessayiez plus tard ; aujourd’hui, il est fréquent de trouver des utilisateurs qui n’attendent pas que le service s’améliore ou soit à nouveau disponible et qui vont chercher un autre site web, un autre magasin ou toute autre ressource disponible immédiatement.
Tout cela rend plus nécessaire que jamais que nos services et nos processus soient opérationnels en tout temps pour garantir la survie de notre organisation.
Comment mettons-nous en place un Disaster Recovery ?
Bien que ce ne soit pas l’objectif de cet article, nous allons tout de même réfléchir brièvement à la manière de mettre en place un DR dans notre organisation.
Ce type de processus de DR est généralement planifié de manière holistique pour rassembler les processus, les personnes et la technologie qui constituent la logique de gestion d’entreprise. Cela implique qu’un travail de coordination entre les différents départements est prévu pour pouvoir recueillir les informations nécessaires à la mise en marche, avoir une vision claire de ce qui est le plus important et concevoir une solution pour le rétablissement du service.
D’une part, tous les processus de l’entreprise doivent être analysés à la recherche de ceux susceptibles d’avoir un impact majeur sur le chiffre d’affaires, afin d’assigner à chaque processus une priorité dans leur traitement et rétablissement.
D’autre part, il faut déterminer quelles sont les personnes et les rôles clés dans l’opération des systèmes, dans la coordination et la prise de décisions, et dans l’exécution des tours de garde pour avoir la certitude que, en cas de besoin, tout fonctionnera comme sur des roulettes.
Enfin, il est important de tenir compte des dépendances aux technologies impliquées tant dans l’opération ordinaire des services que dans la production de l’entreprise elle-même.
Une fois les besoins opérationnels de l’entreprise analysés et les flux opérationnels qu’on ne peut pas se permettre d’interrompre identifiés, il faudra penser aux processus, aux technologies et aux personnes qui devront s’organiser pour le rétablissement des systèmes, et surtout pour que toute la partie de l’infrastructure pouvant être définie comme critique soit rétablie le plus rapidement possible.
Compte tenu de ce qui a été exposé précédemment, nous devons prendre en compte que les besoins, les processus, les personnes ou les technologies ne seront pas les mêmes si notre entreprise se consacre à réparer des grille-pain, à vendre des pommes de terre ou à fournir des services de conseil. Par conséquent, il n’y aura pas de formule universelle pour concevoir un DR applicable à toute entreprise.
Si ce que l’on recherche est la conformité réglementaire à une norme, comme par exemple l‘UNE-ISO-22301 (Systèmes de gestion de la continuité d’activité), alors divers modèles de documents peuvent être très utiles. En réalité, il existe des entreprises qui vendent cette documentation, élaborée à partir de modèles où il suffit de remplir les blancs. Cependant, malgré leurs meilleures intentions, ces documents n’auront pas une validité réelle au-delà de répondre aux exigences de la norme, et certainement ne nous sauveront pas en cas de chute de production ou de nos systèmes puisqu’il s’agit de quelque chose d’« artificiel », et non d’une mise en œuvre réelle du DR
Conclusion
Comme nous l’avons vu tout au long de l’article sur le Disaster Recovery et sur la nécessité de ce dernier, il est important d’établir des contrôles et des processus pour récupérer le fonctionnement correct des systèmes en cas de panne, surtout quand ces pannes affectent des services fondamentaux de notre organisation.
Nous avons également vu qu’il est essentiel de distinguer entre la conformité réglementaire à une norme telle que l’ISO 22301, et un système de Disaster Recovery conçu pour restaurer effectivement le service de l’entreprise.
Enfin, nous avons pu constater qu’un plan de récupération en cas de désastre n’est pas uniquement l’apanage d’une équipe de spécialistes, mais qu’il peut également être déployé par le groupe de techniciens des systèmes et des communications qui travaille habituellement au sein de notre organisation, avec le soutien nécessaire de la direction et de l’ensemble de l’organisation.
Pour plus d’informations sur le DR et des sujets connexes, n’hésitez pas à consulter notre blog post Disaster Recovery : Que sont les RPO, RTO, WRT ou MTD.
Bonne lecture !