RTO, RPO : pourquoi et comment les réduire ?

Dans notre article sur le Plan de Reprise d’Activité,  nous évoquions le RTO (Recovery Point Objective) et le RPO (Recovery Time Objective), deux objectifs de limitation des pertes. Interconnectées au sein du PRA, RTO et RPO encadrent temps et données en cas de panne informatique.

Comment anticiper l’imprévisible ? En mesurant les risques en amont. Éclairage sur deux indicateurs clés de la maintenance préventive

RTO, RPO : quelle différence ?

Au sein d’un PRA, le RTO et le RPO permettent à la fois de définir les différents niveaux de criticité du système d’information, mais aussi d’établir des objectifs réalistes pour le rétablissement du service après un incident.

  • Le RPO (Recovery Point Objective) évalue la quantité maximale de données qu’une entreprise peut perdre entre la dernière sauvegarde et la panne informatique, sans que cela ne nuise (trop) à l’activité.
  • Le RTO (Recovery Time Objective) évalue le délai de rétablissement du service, à respecter avant que l’incident ne nuise à l’activité.

 

Plus une application est critique, plus son RTO et son RPO devront être proches de zéro. Moins une application est critique, plus la tolérance quant au RTO et au RPO pourra être élevée. Et moins elle nécessitera de ressources pour la protéger.

Le RTO : la gestion du temps d’interruption

Le RTO, Recovery Time Objective, définit le temps maximal d’interruption des services informatiques informatiques acceptable pour une organisation. Autrement dit la durée maximale de restauration des opérations après une panne, au-delà de laquelle l’interruption nuirait à l’organisation ou l’entreprise.

Comment se calcule le RTO ?

Le RTO se mesure en heures, minutes, secondes et comprend :

  • Le temps de détection de l’incident, de l’intrusion ou de la panne.
  • Le temps nécessaire au lancement des procédures de secours.
  • Le temps d’exécution des procédures de secours et de résolution du sinistre informatique
  • Le temps nécessaire au contrôle et à la relance du système informatique.

 

Le RPO : la gestion des pertes de données

Le RPO, Recovery Point Objective, détermine l’historique de travail, la quantité de données qu’une organisation peut consentir à perdre en cas d’incident, mesurée depuis la dernière sauvegarde.

Par exemple, un RPO évalué à 30 minutes nécessite que les données soient sauvegardées toutes les 30 minutes. Le RPO peut être différent pour chaque application, en fonction de son degré de criticité.

Comment se calcule le RPO ?

Le Recovery Point Objective (RPO) est déterminé en fonction du temps maximal que l’entreprise peut tolérer entre deux sauvegardes successives de données en cas d’incident.

RPO = temps acceptable entre la dernière sauvegarde et le moment de l’incident

La valeur du RPO est souvent déterminée en fonction de la criticité des données. Plus les données sont cruciales, plus le RPO sera réduit :  des sauvegardes plus fréquentes seront alors nécessaires pour minimiser la perte de données en cas d’incident.

Calculer le RPO implique donc de déterminer la fréquence de sauvegarde des données nécessaire pour application et le type de sauvegarde à déployer.

Une organisation ne pouvant pas se permettre la moindre perte de données par exemple, devra mettre en œuvre les moyens nécessaires pour effectuer des sauvegardes presque en continu…

Pourquoi chercher à réduire RTO et PRO ?

Une entreprise a tout intérêt à réduire autant que possible ces deux indicateurs.

  • Minimiser les pertes financières : en réduisant le RPO, une entreprise limite la quantité de données et transactions qu’elle peut potentiellement perdre en cas d’incident.
  • Favoriser une reprise d’activité rapide : un RTO plus court signifie une reprise plus rapide des opérations normales après un incident.
  • Répondre aux exigences contractuelles et réglementaires et ainsi éviter sanctions financières ou des conséquences légales.
  • Préserver la réputation de l’entreprise et la confiance des clients.
  • Assurer autant que possible la productivité.

Réduire autant que possible le RPO et le RTO contribue à la résistance aux cyberattaques de l’organisation.

Comment réduire le RTO ?

Un PRA bien pensé est en soi un moyen de réduire au maximum le RTO.

Un protocole d’intervention clair pour faire face aux incidents, spécifiant les missions de chaque intervenant, favorise la réduction du temps de récupération du système informatique. Le RTO n’est pas un indicateur isolé : il s’inscrit dans un contexte global de sécurité informatique.

Ainsi les mesures qui permettent de le réduire sont étroitement liées au Plan de Reprise d’Activité lui-même.

  • Maintenir des sauvegardes actualisées et externalisées.
  • Assurer une assistance technique immédiate ou rapide, sur site, par prise en main à distance des postes de travail ou par un service d’assistance technique.
  • Formaliser et diffuser une stratégie de gestion proactive des risques informatiques.
  • Sensibiliser et former le personnel aux risques informatiques.

 

Comment réduire le RPO ?

Réduire le RPO nécessite :

  • Des sauvegardes fréquentes, notamment des données critiques.
  • Des sauvegardes incrémentielles, associée aux sauvegardes complètes, pour plus de réactivité et une perte de données minimisée en cas d’incident.
  • La mise en place de réplications en temps réel : pour assurer la copie instantanée des données en deux emplacements différents, en synchronisation continue.
  • L’automatisation des sauvegardes pour assurer leur régularité.
  • La priorisation des données : évaluer le niveau de criticité de chaque type de données permet d’établir des priorités.

 

L’importance de l’orchestration des sauvegardes dans le RPO

Les logiciels de sauvegarde proposent généralement plusieurs moyens de sauvegarde, à ajuster en fonction des besoins de votre activité avec votre prestataire informatique.

Sauvegarde incrémentale

Une sauvegarde incrémentale, ou sauvegarde incrémentielle, enregistre uniquement les changements, et ce depuis la dernière sauvegarde, qu’elle soit complète ou non, ce qui réduit la quantité de données stockées par rapport à une sauvegarde complète. Les sauvegardes incrémentielles sauvegardent uniquement les fichiers modifiés ou créés depuis la dernière sauvegarde.

Sauvegarde différentielle

Une sauvegarde différentielle, à l’inverse, se base uniquement sur le dernier backup complet pour sauvegarder toutes les données modifiées. Effectuer chaque jour de la semaine une sauvegarde différentielle à partir d’une sauvegarde complète effectuée un lundi par exemple, revient à stocker plus de données qu’en effectuant chaque jour une sauvegarde incrémentielle.

La sauvegarde incrémentielle se base sur la dernière sauvegarde, quelle qu’elle soit. La sauvegarde différentielle prend en compte la dernière sauvegarde complète.

La sauvegarde incrémentale nécessite moins d’espace de stockage, mais nécessite un temps de restauration plus long que la sauvegarde différentielle…

Avantage des sauvegardes incrémentielles

Miser sur les sauvegardes incrémentielles dans le cadre d’un RPO (Recovery Point Objective) présente plusieurs avantages, notamment la réduction du temps nécessaire pour effectuer les sauvegardes et le gain de réactivité dans la gestion des données, mais aussi :

  • Réduction de la bande passante utilisée : les sauvegardes incrémentielles sauvegardent moins de données à la fois, réduisant ainsi la quantité de données transférées. Ce qui peut être précieux pour minimiser l’impact de la sauvegarde sur le réseau et garantir la réactivité de celui-ci.
  • Économie d’espace de stockage, avantage non négligeable lorsque le volume de données à sauvegarder est important.
  • Temps de sauvegarde réduit : seules les données modifiées étant sauvegardées, le processus de sauvegarde incrémentielle est plus rapide que celui d’une sauvegarde complète. Cela permet de respecter des fenêtres de sauvegarde plus courtes, en faveur d’un RPO minimal.
  • Fréquence des sauvegardes accrues : la rapidité des sauvegardes incrémentielles permet d’augmenter la fréquence des sauvegardes. Et avec des intervalles plus courts entre deux sauvegardes, l’entreprise peut réduire la quantité de données risquant d’être perdue en cas d’incident.

 

Un équilibre à trouver entre les différents types de sauvegarde

L’équilibre entre sauvegardes complètes et sauvegardes incrémentielles est crucial pour atteindre un RPO optimal. Des sauvegardes complètes, effectuées à intervalles réguliers, fournissent une base solide et indispensable. Les sauvegardes incrémentielles, réalisées entre les sauvegardes complètes, permettent de maximiser les fenêtres de sauvegarde.

Il s’agira donc de trouver le bon équilibre avec votre prestataire informatique pour  minimiser la perte de données en cas d’incident, en fonction de vos ressources.

RTO et RPO : à adapter selon le domaine d’activité

L’enjeu reposant sur chaque indicateur peut varier en fonction du service, mais aussi plus globalement du secteur d’activité de l’entreprise.

Par exemple, un e-commerce s’attachera en priorité à la remise en service de son site web pour assurer les ventes et ne pas perdre de chiffre d’affaires. Le trafic du site et la fréquence des ventes interviendront dans le calcul du RTO.

L’éditeur d’un logiciel SaaS tiendra compte de ses engagements de disponibilité de service, souvent formalisée par SLA, Service Level Agreement ,  pour définir son RTO.

Derrière RTO et RPO : la question de la résilience opérationnelle. Une qualité indispensable mais complexe à développer quelle que soit la nature de l’organisation. À confier assurément à un professionnel de l’infogérance informatique.

Découvrir notre offre !

Toute notre expertise dans un contrat cadre, une configuration de service sur mesure