Dans notre article sur le Plan de Reprise d’Activité, nous évoquions le RTO (Recovery Point Objective) et le RPO (Recovery Time Objective), deux objectifs de limitation des pertes. Interconnectées au sein du PRA, RTO et RPO encadrent temps et données en cas de panne informatique.
Comment anticiper l’imprévisible ? En mesurant les risques en amont. Éclairage sur deux indicateurs clés de la maintenance préventive.
Au sein d’un PRA, le RTO et le RPO permettent à la fois de définir les différents niveaux de criticité du système d’information, mais aussi d’établir des objectifs réalistes pour le rétablissement du service après un incident.
Plus une application est critique, plus son RTO et son RPO devront être proches de zéro. Moins une application est critique, plus la tolérance quant au RTO et au RPO pourra être élevée. Et moins elle nécessitera de ressources pour la protéger.
Le RTO, Recovery Time Objective, définit le temps maximal d’interruption des services informatiques informatiques acceptable pour une organisation. Autrement dit la durée maximale de restauration des opérations après une panne, au-delà de laquelle l’interruption nuirait à l’organisation ou l’entreprise.
Comment se calcule le RTO ?
Le RTO se mesure en heures, minutes, secondes et comprend :
Le RPO, Recovery Point Objective, détermine l’historique de travail, la quantité de données qu’une organisation peut consentir à perdre en cas d’incident, mesurée depuis la dernière sauvegarde.
Par exemple, un RPO évalué à 30 minutes nécessite que les données soient sauvegardées toutes les 30 minutes. Le RPO peut être différent pour chaque application, en fonction de son degré de criticité.
Comment se calcule le RPO ?
Le Recovery Point Objective (RPO) est déterminé en fonction du temps maximal que l’entreprise peut tolérer entre deux sauvegardes successives de données en cas d’incident.
RPO = temps acceptable entre la dernière sauvegarde et le moment de l’incident
La valeur du RPO est souvent déterminée en fonction de la criticité des données. Plus les données sont cruciales, plus le RPO sera réduit : des sauvegardes plus fréquentes seront alors nécessaires pour minimiser la perte de données en cas d’incident.
Calculer le RPO implique donc de déterminer la fréquence de sauvegarde des données nécessaire pour application et le type de sauvegarde à déployer.
Une organisation ne pouvant pas se permettre la moindre perte de données par exemple, devra mettre en œuvre les moyens nécessaires pour effectuer des sauvegardes presque en continu…
Une entreprise a tout intérêt à réduire autant que possible ces deux indicateurs.
Réduire autant que possible le RPO et le RTO contribue à la résistance aux cyberattaques de l’organisation.
Un PRA bien pensé est en soi un moyen de réduire au maximum le RTO.
Un protocole d’intervention clair pour faire face aux incidents, spécifiant les missions de chaque intervenant, favorise la réduction du temps de récupération du système informatique. Le RTO n’est pas un indicateur isolé : il s’inscrit dans un contexte global de sécurité informatique.
Ainsi les mesures qui permettent de le réduire sont étroitement liées au Plan de Reprise d’Activité lui-même.
Réduire le RPO nécessite :
Les logiciels de sauvegarde proposent généralement plusieurs moyens de sauvegarde, à ajuster en fonction des besoins de votre activité avec votre prestataire informatique.
Une sauvegarde incrémentale, ou sauvegarde incrémentielle, enregistre uniquement les changements, et ce depuis la dernière sauvegarde, qu’elle soit complète ou non, ce qui réduit la quantité de données stockées par rapport à une sauvegarde complète. Les sauvegardes incrémentielles sauvegardent uniquement les fichiers modifiés ou créés depuis la dernière sauvegarde.
Une sauvegarde différentielle, à l’inverse, se base uniquement sur le dernier backup complet pour sauvegarder toutes les données modifiées. Effectuer chaque jour de la semaine une sauvegarde différentielle à partir d’une sauvegarde complète effectuée un lundi par exemple, revient à stocker plus de données qu’en effectuant chaque jour une sauvegarde incrémentielle.
La sauvegarde incrémentielle se base sur la dernière sauvegarde, quelle qu’elle soit. La sauvegarde différentielle prend en compte la dernière sauvegarde complète.
La sauvegarde incrémentale nécessite moins d’espace de stockage, mais nécessite un temps de restauration plus long que la sauvegarde différentielle…
Miser sur les sauvegardes incrémentielles dans le cadre d’un RPO (Recovery Point Objective) présente plusieurs avantages, notamment la réduction du temps nécessaire pour effectuer les sauvegardes et le gain de réactivité dans la gestion des données, mais aussi :
L’équilibre entre sauvegardes complètes et sauvegardes incrémentielles est crucial pour atteindre un RPO optimal. Des sauvegardes complètes, effectuées à intervalles réguliers, fournissent une base solide et indispensable. Les sauvegardes incrémentielles, réalisées entre les sauvegardes complètes, permettent de maximiser les fenêtres de sauvegarde.
Il s’agira donc de trouver le bon équilibre avec votre prestataire informatique pour minimiser la perte de données en cas d’incident, en fonction de vos ressources.
L’enjeu reposant sur chaque indicateur peut varier en fonction du service, mais aussi plus globalement du secteur d’activité de l’entreprise.
Par exemple, un e-commerce s’attachera en priorité à la remise en service de son site web pour assurer les ventes et ne pas perdre de chiffre d’affaires. Le trafic du site et la fréquence des ventes interviendront dans le calcul du RTO.
L’éditeur d’un logiciel SaaS tiendra compte de ses engagements de disponibilité de service, souvent formalisée par SLA, Service Level Agreement , pour définir son RTO.
Derrière RTO et RPO : la question de la résilience opérationnelle. Une qualité indispensable mais complexe à développer quelle que soit la nature de l’organisation. À confier assurément à un professionnel de l’infogérance informatique.
Nous rejoindre
Nous sommes une entreprise d’infogérance spécialisée pour les PME de 1 à 200 collaborateurs. Pour renforcer l’équipe :