Hébergement des données : quel plan d’action mettre en place pour anticiper les risques ?
Hébergement des données : quel plan d’action mettre en place pour anticiper les risques ?
L’hébergement des données est stratégique. Que les entreprises choisissent de le faire en interne ou de les confier à un prestataire extérieur, le risque zéro n’existe pas. La meilleure des préventions est d’anticiper les risques. Il est indispensable de sécuriser les données pour les entreprises et de mettre en place un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA).
Les différents problèmes d’attaques virales notamment liés aux ransomwares, ainsi que les incidents majeurs sur les centres de données – comme celui subi par les clients d’OVH il y a quelques mois – ont permis à de nombreuses entreprises de prendre conscience que la sécurisation des données est un enjeu primordial. De plus, un hébergement dans un datacenter dit « sécurisé » n’inclut pas systématiquement les services de sauvegarde et de remise en production en cas de désastre majeur. Il est donc de la responsabilité des entreprises de gérer les risques, de valider les services contractualisés avec le prestataire et de tester les procédures de reprise d’activité pour anticiper cela.
Anticiper en mettant une stratégie de Plan de reprise d'activité du système d'information est primordial
Pour les entreprises, il est aujourd’hui primordial de mettre en place un plan de reprise d’activité. Les raisons sont nombreuses : les risques naturels, les défaillances techniques ou plus souvent les cyberattaques. Il est donc essentiel pour toutes les entreprises de mettre en place un PCA/PRA. Pour comprendre comment fonctionne un PCA/PRA, il suffit d’avoir en tête la règle du 3-2-1 : “ceinture, bretelle et parachute”. C’est-à-dire que la donnée doit être copiée trois fois, sur deux supports/technologies différents et avoir une copie de sauvegarde stockée dans un endroit sécurisé. Cette dernière est principalement là pour assurer le PRA ou DRP (Disaster Recovery Plan) en cas de défaillance majeure.
Le PCA/PRA sont des solutions technologiques qui permettent de mettre en place une réplication des données sur un site distant. Il existe plusieurs types de synchronisations de données :
- Active/Active : cette solution est généralement mise en place sur une infrastructure en miroir situé en général à moins de 30 km du site de production. Les données sont ainsi synchronisées en temps réel et permettent une continuité d’activité avec un arrêt de production bref.
- Active/Passive : cette solution est mise en place sur une infrastructure dormante qui peut se situer à plusieurs centaines de kilomètres du site primaire. Les données quant à elles, ne sont pas synchronisées en temps réel et une perte de données est alors acceptée par l’entreprise.
Ces deux solutions complémentaires ont leurs avantages et leurs désavantages, notamment en termes de coûts. C’est l’analyse de risque qui permet de définir précisément les besoins ainsi que la perte de production acceptable par l’entreprise. Cette évaluation de risques est réalisée en calculant le RTO (Recovery Point Objective) /RPO (Recovery Time Objective) de chacune des applications en fonction du besoin vital de l’entreprise. Quoi qu’il en soit, la mise en place d’un PCA/PRA est impératif pour sécuriser et assurer la survie d’une entreprise.
Comment mettre en place un PCA / PRA ?
Pour mettre en place un PCA/PRA efficace, il faut commencer par comprendre et définir en amont les besoins de services et d’applications. Dès lors, on peut élaborer un cahier des charges. Grâce à cette méthodologie, l’entreprise est en capacité de réfléchir à la gestion des risques. Il est néanmoins important de préciser qu’un PCA/PRA est impulsé par une démarche d’amélioration continue. Celle-ci doit s’adapter et évoluer en même temps que le système d’information des entreprises.
Les étapes pour mettre en place un PCA/PRA doivent être vues comme des étapes cycliques.
Voici les principales étapes à suivre dans la mise en place d’un PCA/PRA :
- Évaluer les risques et les priorités
- Sélectionner les différentes solutions techniques à mettre en place
- Définir l’ensemble des rôles et des responsabilités de chacun au sein de chaque processus et activité
- Tester et mettre à jour régulièrement les procédures
Le DRaaS : un modèle de services dans le Cloud facilement accessible pour l’ensemble des entreprises
Aujourd’hui, il est impératif d’avoir à la fois des procédures de reprise définies et les compétences nécessaires en cas de désastre majeur. Il faut donc tester une à deux fois par an les plans de bascules pour mettre à jour les documents et se familiariser avec les procédures techniques. Il faut également s’assurer du bon fonctionnement du matériel. Et tout cela a un coût. Des solutions existent pourtant pour les mettre à la portée de tous les budgets, c’est notamment le cas des solutions en mode DRaaS (Disaster Recovery-as-a-Service). Le DRaaS permet de mettre en place une stratégie de reprise basée sur un service dans le cloud public ou privé. Cette alternative aux solutions plus conventionnelles permet de ne pas être propriétaire de l’infrastructure qui est utilisable à la demande avec un paiement à l’usage et sous forme de service. Cela permet de transférer le risque à un tiers et de ne pas avoir à gérer une seconde infrastructure ou un second site. Cette solution est pertinente pour les entreprises avec une infrastructure réduite ou qui ne souhaitent pas mettre en place une infrastructure de secours.
En conclusion, mettre en place un PCA/PRA, c’est établir à la fois une organisation humaine et technique ainsi que des procédures permettant de limiter voire d’éliminer l’impact d’une catastrophe pourêtre plus fort.