Blog

13 points à inclure dans votre plan de reprise après sinistre

UNE plan de reprise après sinistre (DRP) is a document you need to keep handy to handle unexpected incidents that could shut down your company’s IT systems and hinder its overall operation.
A DRP aims to get your business up and running as quickly as possible during a disaster or data breach. With an reprise après sinistre efficace plan, il y a moins de chances que vous perdiez des bénéfices pendant trop longtemps. En outre, des sauvegardes doivent être mises en place pour éviter que des données sensibles (numéros de sécurité sociale ou informations de carte de crédit) ne soient compromises.

Votre entreprise a-t-elle un plan de reprise après sinistre?

Perte de données, les temps d'arrêt et les outrages technologiques sont quelques-unes des nouvelles histoires d'horreur que même les plus grandes entreprises rencontrent de nos jours. Chaque fois qu'un sinistre survient dans une entreprise, les équipes d'ingénierie se précipitent pour réparer les dégâts, et d'autre part, les équipes de relations publiques font des heures supplémentaires pour restaurer la confiance des clients. Ne pensez-vous pas que c'est un effort long et coûteux? Bien sûr, ça l'est! Mais certaines organisations gèrent ces catastrophes plus efficacement et cela aussi avec moins de dommages collatéraux. Vous vous demandez comment? Simple, ils disposent d'un plan de reprise après sinistre complet, facile à suivre et régulièrement testé.

Disasters come uninvited with loads of complex challenges, which organizations might take months or years to overcome. Cyber attacks, tornadoes, terrorist attacks, hurricanes, and floods are some of the disasters that can cause data breaches. A disaster plan is a long-term assurance of business operability as it is designed in such a way that it enables businesses to reduce damages of unpredicted outages.

Avez-vous un plan de reprise après sinistre ou commencez-vous tout juste à en créer un pour votre organisation? Dans l'un ou l'autre de ces cas, la liste de contrôle du plan de reprise après sinistre ci-dessous vous aidera à ajouter tous les composants cruciaux de votre plan.

1. Analyser les menaces potentielles et les réactions possibles

La première chose à faire est de prendre du temps et d'analyser tous les facteurs possibles qui peuvent perturber votre flux d'affaires. Une fois la recherche terminée, il est temps de créer un plan de récupération différent pour chacun de ces scénarios. Par exemple, les cyberattaques sont de plus en plus répandues et susceptibles de se produire, et malheureusement, le pare-feu moyen n'est pas assez puissant pour se protéger de la plupart d'entre elles.

Examinez donc la possibilité d'une cyberattaque plus intensément que vous ne le feriez, par exemple, un tsunami. Vous pouvez opter pour le chiffrement des données et la sécurisation du matériel. Essayez de comprendre les vulnérabilités de vos systèmes, car ce sont les points d'entrée qu'un hacker utilisera pour y accéder.

Le meilleur moyen est de vous tenir au courant des nombreux systèmes utilisés par les pirates. Vous pouvez éviter la majorité des infections de phishing et de logiciels malveillants.

2. Fixez les objectifs de reprise après sinistre

La reprise après sinistre vous aide à faire fonctionner votre entreprise comme d'habitude, en permanence, vous devez donc corriger les services informatiques les plus critiques pour gérer votre organisation. En outre, l'objectif de temps de récupération (RTO) et l'objectif de point de récupération (RPO) requis pour ces services / machines. Mais connaissez-vous RTO et RPO?

RPO: temps nécessaire pour récupérer après une catastrophe après notification d'une interruption d'activité. En cas de sinistre, si votre entreprise n'est pas en mesure de supporter au moins une heure d'indisponibilité sans perdre des clients au profit de vos concurrents, alors c'est crucial. Vous avez besoin d'un plan de reprise après sinistre fiable qui comprend un RTO autorisé clairement indiqué.

RPO: une fenêtre de temps dans laquelle les données sont acceptables. Après une catastrophe, si votre entreprise ne peut survivre à une perte de données que pendant quatre heures après une journée complète d'activité, cela peut entraîner une perte catastrophique de données importantes, de sorte que votre RPO serait de quatre heures.

Les RTO et RPO d'une organisation auront certainement une incidence sur sa stratégie de reprise et les dépenses associées. Afin de réduire le coût total de la stratégie de reprise après sinistre, il est préférable de diviser les applications en niveaux. Le niveau le plus élevé réservé aux applications critiques nécessiterait une technologie de reprise après sinistre basée sur la réplication continue des données en temps réel. Le niveau intermédiaire peut nécessiter une application basée sur des instantanés et, enfin, le niveau le plus bas peut s'en sortir avec un simple système de sauvegarde au niveau des fichiers.

3. Reconnaissez les parties prenantes dans votre plan de reprise après sinistre

La prochaine étape cruciale consiste à identifier ceux qui doivent être mis à jour une fois qu'une catastrophe se produit. Les ingénieurs, le support, les cadres, etc. seront impliqués dans la réalisation de la reprise après sinistre proprement dite. Néanmoins, vous devez également en identifier d'autres comme les fournisseurs, les membres de l'équipe des relations publiques et du marketing, les fournisseurs tiers et les clients clés. La plupart des entreprises tiennent un registre des parties prenantes dans la documentation de leur bureau de projet pour les notifier en cas de catastrophe.

4. Créez un site de reprise après sinistre

Il y a de fortes chances qu'un sinistre endommage gravement votre centre de production, vous empêchant ainsi de reprendre les opérations sur le site principal et donc de migrer les charges de travail critiques vers un autre emplacement. Selon le plan de reprise après sinistre, la liste de contrôle dont vous avez besoin pour créer un site de reprise après sinistre à utiliser en cas de déplacement d'urgence des données critiques, du personnel, des ressources physiques, des applications publicitaires. En outre, vous devez équiper le site de suffisamment de matériel et de logiciels pour prendre en charge les charges de travail essentielles.

5. Rassemblez toute la documentation de l'infrastructure

Lorsqu'une catastrophe survient, tout se joue, tout le monde est sous pression. En effet, vous disposez de vos équipes d'ingénierie avec les compétences et les connaissances requises pour activer les procédures de reprise après sinistre, mais la documentation de l'infrastructure est obligatoire. Même les ingénieurs très compétents lors de la reprise après sinistre préféreraient passer commande par commande à partir de la documentation de l'infrastructure.

Alors, que comprend cette documentation? L'ensemble de la configuration des systèmes et de leur utilisation (installation, procédures de récupération, applications en cours d'exécution, système d'exploitation et configuration), modèles de cloud, stockage et bases de données (comment et où les données sont enregistrées, comment les sauvegardes sont restaurées, comment l'exactitude des données est vérifiée) et toutes vos connexions réseau mappées (avec les appareils fonctionnels et leur configuration).

6. Choisissez la technologie précise

Disaster Recovery as a Service (DRaaS) and on-premise disaster recovery is not just the feasible solutions available for business continuity. The next option is to make use of cloud-based disaster recovery in order to spin up your disaster recovery site on a public cloud-like Microsoft AzureAWS et Google Cloud in minutes using an automated disaster recovery solution.

Avant de choisir une solution, assurez-vous de prendre en compte le coût total de possession, les exigences de maintenance, l'évolutivité, la récupération au point précédent et la facilité des tests. Les choix sont nombreux en matière de solution de reprise après sinistre, alors effectuez des recherches approfondies et choisissez judicieusement.

7. Lancer les canaux de communication

Personne ne sait quand un sinistre peut frapper votre porte, donc en tant qu'organisation, vous devez conserver une liste des équipes (avec leurs rôles et leurs coordonnées) pour la reprise après sinistre. Essayez d'établir une chaîne de commandement complète qui comprend des personnes responsables de chacune des équipes d'ingénierie (par exemple, base de données, systèmes, réseau, stockage) et la direction exécutive pertinente. Configurez également des canaux et des hubs de communication dédiés, ou un outil de partage d'informations en ligne à utiliser pour la messagerie instantanée.

8. Décrire une procédure de réponse aux incidents

Si vous disposez d'un plan de reprise après sinistre, une «procédure de réponse aux incidents» est indispensable. Ici, les entreprises définiront en détail quels événements doivent être déclarés comme une catastrophe. Par exemple, si votre système tombe en panne, considérerez-vous cela comme une catastrophe? En outre, le plan doit également indiquer comment vérifier la catastrophe et comment elle sera signalée - par un système de surveillance automatique, déclenché par les appels des équipes d'ingénierie de la fiabilité du site (SRE) ou signalé par les clients?

Afin de vérifier qu'un sinistre se produit réellement, vous devez vérifier l'état des périphériques réseau critiques, des journaux d'application, du matériel serveur ou de tout autre composant critique de votre système de production, que vous surveillez de manière proactive. Si quelque chose est étrange ou ne fonctionne pas, vous avez certainement une catastrophe entre les mains.

9. Décrire une procédure d'action-réponse

Une fois qu'une catastrophe se produit, un environnement de reprise après sinistre doit être activé dès que possible. Une procédure de réponse à l'action décrit comment basculer vers le site de reprise après sinistre avec toutes les étapes requises. Que votre processus de récupération utilise DRaaS ou un outil de récupération après sinistre pour lancer automatiquement votre site après sinistre, vous devez préparer la procédure d'intervention par écrit pour vous assurer de la manière dont les services nécessaires seront démarrés, vérifiés et contrôlés.

De plus, il ne suffit pas de lancer des services de production dans un autre emplacement, il est également essentiel de s'assurer que toutes les données requises sont en place et que toutes les applications métier requises fonctionnent correctement.

10. Préparez-vous pour la restauration vers l'infrastructure principale

La reprise en ligne consiste à restaurer les opérations au centre de production principal une fois qu'elles ont été transférées vers un site DR pendant le basculement. Les sites DR ne sont pas conçus pour exécuter des opérations quotidiennes; au lieu de cela, ils ne peuvent être utilisés qu'à des fins d'urgence. Les sites DR sont construits pour une période très courte (jusqu'à la restauration du site principal ou jusqu'à la construction d'un nouveau centre de production).

Une fois la catastrophe terminée, beaucoup d'efforts sont nécessaires pour implémenter le transfert des données et des services métier vers l'emplacement principal - prévoyez une éventuelle interruption partielle de votre activité pendant le processus de retour. Heureusement, il existe des solutions de reprise après sinistre qui fournissent une restauration unifiée vers l'emplacement principal, activées automatiquement ou manuellement une fois que vous avez terminé la vérification de l'emplacement informatique principal.

11. Signalez l'incident aux parties prenantes

Une fois qu'une catastrophe se produit, informez-en d'abord non seulement ceux qui sont responsables de l'exécution des activités de reprise après sinistre, mais également les principales parties prenantes telles que les fournisseurs, les clients, les membres de l'équipe de relations publiques et marketing et les fournisseurs tiers. Pensez également à informer chacun de ces groupes et à formuler des réponses pour répondre à leurs préoccupations. Il est préférable d'écrire un communiqué de presse à l'avance pour ne pas perdre de temps lors d'une catastrophe réelle et le préparer pour publication.

12. Faites les tests approfondis

Tester votre plan de reprise après sinistre est obligatoire mais généralement négligé. Les tests de basculement sont généralement complexes et entraînent une perte de données et une interruption des services produits. Ainsi, la plupart des entreprises ne testent pas régulièrement leur plan de reprise après sinistre.

Afin de comprendre dans quelle mesure votre plan de reprise après sinistre fonctionnera, vous devez planifier des tests de basculement réguliers. Ignorer les tests du plan de reprise après sinistre peut mettre l'ensemble de votre entreprise en danger lors d'un sinistre, en se retrouvant incapable de récupérer à temps ou pas du tout. Les tests de performances vous aident également à évaluer si votre emplacement secondaire est suffisant pour supporter la charge de l'entreprise.

13. Gardez votre plan de reprise après sinistre à jour

Dernier point mais non le moindre, comme le test du plan de reprise après sinistre est obligatoire, il en va de même pour la mise à jour de tous les documents de reprise après sinistre. À la fin de chaque test, examinez ce qui s'est passé, comment vos équipes gèrent le test et documentez vos résultats.

Se déconnecter:

Vous pouvez choisir d'effectuer une reprise après sinistre à faire soi-même (une option bon marché mais sujette aux erreurs) ou avoir un bon plan de reprise après sinistre à portée de main pour aider votre entreprise à récupérer toutes les données perdues et à accélérer le retour de votre organisation aux opérations commerciales normales. En plus de cela, cela garantira également que la catastrophe n'entraînera pas de conséquences financières néfastes ni de perturbations majeures des activités.

Assurez-vous de prendre en compte tous les aspects de votre organisation (par exemple, le nombre d'employés, le budget disponible, les facteurs de risque, la taille de l'infrastructure informatique, etc.) pour déterminer ce qui fonctionnera le mieux pour vous et votre équipe.

Laisser un commentaire

fr_FRFrench