Les entreprises doivent élaborer des plans de reprise après sinistre basés sur le cloud – des politiques et des procédures – afin de pouvoir restaurer leurs données et applications critiques en cas de catastrophe. Voici cinq conseils essentiels à garder constamment à l’esprit.
Bien que le cloud computing offre à de nombreuses organisations divers avantages, tels que la scalabilité et une flexibilité accrue, sans oublier les économies de coûts, il expose également à des risques bien réels tels que les violations de sécurité, la perte de données et les interruptions de service.
Selon Suda Srinivasan, vice-président de la stratégie et du marketing chez Yugabyte, fournisseur de YugabyteDB, une base de données SQL distribuée open source, l’utilisation des services cloud a connu une croissance exponentielle en raison de leur commodité et de leur omniprésence.
“Le cloud offre des capacités inégalées aux utilisateurs pour croître et évoluer”, explique-t-il.
“Cependant, les incidents dans le cloud ne sont pas rares. Les pannes cloud continuent d’augmenter en raison d’une augmentation des conditions météorologiques extrêmes, de l’instabilité géopolitique, des violations de sécurité, des erreurs opérateur, et bien plus encore. Il est donc impératif que les organisations soient prêtes à se protéger et à se rétablir face à ces incidents.”
Points-clés
- PRS Basées sur le Cloud : Les entreprises doivent établir des plans de reprise après sinistre (PRS) basés sur le cloud pour restaurer leurs données et applications cruciales en cas de catastrophe.
- Avantages et Risques du Cloud : Le cloud offre des avantages comme la scalabilité et les économies de coûts, mais présente également des risques tels que les violations de sécurité et la perte de données.
- Croissance de l’Utilisation du Cloud : L’utilisation des services cloud connaît une forte croissance en raison de leur commodité et de leur omniprésence.
- Éléments Clés de la Planification : La planification des PRS cloud doit tenir compte de la classification, de la localisation des données et des responsabilités du fournisseur.
- Redondance et Résilience : Optez pour la redondance et la résilience dans vos PRS cloud pour assurer la disponibilité continue des données et des applications essentielles en cas de défaillance.
POURQUOI VOUS AVEZ BESOIN D’UN PLAN DE REPRISE APRÈS SINISTRE BASÉ SUR LE CLOUD
Ainsi, les entreprises doivent élaborer des plans de reprise après sinistre basés sur le cloud – des politiques et des procédures – afin de pouvoir restaurer leurs données et applications critiques en cas de catastrophe.
“Exploiter le cloud public pour un environnement de reprise après sinistre offre une récupération rapide des applications et des données”, explique Colm Keegan, consultant principal en marketing de produits chez Dell Technologies. “Alors que les charges de travail s’étendent aux bureaux distants, aux centres de données sur site et aux différents clouds publics, il est essentiel d’intégrer la simplicité, l’automatisation, la redondance et la résilience dans votre plan de reprise après sinistre.”
Bien que l’élaboration d’un plan de reprise basé sur le cloud repose sur de nombreux principes généraux de sauvegarde, les différences d’infrastructure, en particulier en termes de gestion, exigent des organisations qu’elles dissipent de nombreuses incertitudes liées à la sécurité, à l’échelle, aux performances et aux coûts, comme l’explique Adrian Moir, consultant principal en gestion de produits et stratège technologique chez Quest Software, un fournisseur de logiciels de gestion des systèmes, de protection des données et de sécurité.
“En résumé, les entreprises ne peuvent pas élaborer des plans de reprise basés sur le cloud identiques à leurs plans sur site et s’attendre à ce qu’ils réussissent”, souligne-t-il.
Voici quelques éléments que les entreprises doivent prendre en considération pour concevoir des plans de reprise après sinistre basés sur le cloud efficaces :
5. Mettez en place une classification des données
Comprendre quelles données et services sont en leur possession et déterminer ceux qui sont les plus cruciaux pour leurs opérations commerciales constitue une ressource fondamentale en période de crise, indique Moir.
La manière dont les entreprises classifient les données sensibles dépendra de l’ampleur des incidents pour lesquels elles se préparent ainsi que du niveau de performance qu’elles doivent maintenir, ajoute Moir.
“Par exemple, un plan de reprise en réaction à une panne de données peut inclure un plan pour récupérer toutes les données, tandis que dans le cas d’une attaque de ransomware à grande échelle, il peut être plus logique de cibler les données nécessaires pour relancer l’activité commerciale.
“De même, en fonction de la nature du problème, avoir une solution de reprise basée sur le cloud opérationnelle, même si sa performance est légèrement dégradée, vaut mieux que rien.”
Dale Zabriskie, responsable de la sécurité de l’information sur le terrain chez Cohesity, est du même avis. Il affirme qu’en matière de création d’un plan de reprise après sinistre basé sur le cloud, les organisations doivent avoir une compréhension approfondie de leurs données commerciales, incluant leur nature, leur emplacement, et les personnes qui y ont accès.
Les organisations devraient traiter leurs données comme on traite la monnaie : les grandes coupures sont une priorité plus élevée, indique-t-il. Les données ne sont pas différentes ; les contrôles les plus stricts devraient entourer les données qui revêtent une importance cruciale pour l’entreprise.
“Pour ces données prioritaires, des sauvegardes immuables et un archivage isolé et déconnecté sont essentiels”, ajoute Zabriskie.
“Pour les données secondaires, la recherche de logiciels malveillants et de vulnérabilités sera également cruciale, car les acteurs de menace peuvent se cacher dans les systèmes dans les semaines suivant une cyberattaque réussie. Par conséquent, l’indexation et la classification des données sont essentielles pour atteindre ces mesures.”
4. Évaluer la Localisation de Vos Données
Même si cela peut sembler évident, disposer d’une compréhension précise de l’emplacement de leurs données prioritaires aidera les entreprises à établir des attentes claires en ce qui concerne le temps de récupération et l’accessibilité des données, selon Moir. Cependant, le temps de récupération ne l’est pas.
“Cela dépend non seulement de l’emplacement, mais aussi des performances de l’infrastructure sous-jacente et de la complexité de l’environnement de données, y compris la capacité à récupérer des ensembles de données en parallèle”, explique-t-il.
“Savoir quelles sont les restrictions de stockage de votre fournisseur cloud peut vous aider à vous assurer que vous répartissez vos données de sauvegarde de manière abordable et fiable pour la récupération.”
3. Comprenez les responsabilités prises en charge par votre fournisseur de services cloud
Il est crucial pour les organisations de bien comprendre les responsabilités que leur fournisseur prendra en charge. Moir explique que cette compréhension contribuera à garantir un accès rapide et une récupération efficace, permettant ainsi d’adapter l’approche technologique en fonction des besoins spécifiques de chaque organisation.
“Par exemple, en matière de sécurité, si une panne de données survient en raison d’un compte compromis, il est essentiel de s’assurer que des privilèges et des autorisations stricts sont clairement définis dans le plan de reprise”, explique-t-il.
Dans tous les cas, les entreprises doivent garantir la présence de copies immuables de leurs données, souligne-t-il.
“Si cela n’est pas possible, il est important de comprendre au moins la qualité des données récupérées afin de pouvoir informer l’entreprise ou les clients de toute éventuelle dégradation”, ajoute-t-il.
Les organisations doivent également s’assurer de maîtriser de bout en bout les accords de service de leur fournisseur cloud, couvrant les attentes de performance ainsi que tous les coûts supplémentaires qui pourraient être engagés pour la récupération.
2. Optez pour la Redondance et la Résilience
Il est essentiel pour les entreprises de se rappeler que le cloud public n’est rien d’autre que le centre de données d’un tiers, souligne Keegan. “Il est souvent incorrect de placer les environnements de sauvegarde et de reprise après sinistre dans la même région cloud que celle où résident les applications de production”, fait-il remarquer.
“En cas d’indisponibilité de cette région, vous perdrez toute capacité de reprise. Veillez à utiliser une région cloud alternative ou un fournisseur cloud secondaire pour votre environnement de reprise après sinistre.”
Étant donné que les logiciels fonctionnant dans le cloud ne sont pas automatiquement résilients, ils doivent être conçus en vue d’une disponibilité élevée. Cela évite la perte de données et assure aux organisations une résilience en cas de défaillance, comme l’explique Srinivasan. Dans le domaine des bases de données, cette résilience est atteinte en répliquant les données pour la redondance.
“Les bases de données cloud natives, conçues pour une disponibilité élevée, répliquent automatiquement les données sur différentes zones de disponibilité”, affirme Srinivasan. “En cas de défaillance, les applications peuvent basculer de manière transparente, souvent sans aucune interruption, vers un autre emplacement, sans perte de données ni impact sur les clients.”
Cet aspect revêt une importance cruciale, car la réputation d’une organisation est en jeu si elle ne dispose pas d’un plan de réponse résilient pour faire face à des perturbations majeures et n’est pas prête au premier signe d’une catastrophe technique, explique Paul Barnhill, directeur général de Deloitte Consulting LLP. C’est ici qu’un plan de reprise après sinistre peut renforcer la confiance des clients et réduire les primes d’assurance.
Un exemple illustrant cette importance s’est produit pendant le “Grand Gel du Texas” (du 11 au 20 février 2021), relate Srinivasan.
“L’un de nos clients mondiaux du Fortune 100 dans le secteur de la vente au détail a vu son centre de données cloud public hors ligne pendant quatre jours, et ses générateurs de secours ont échoué. Cependant, malgré une panne Azure de plusieurs jours, le détaillant a réussi à éviter une interruption des applications car il avait déployé son cluster de base de données SQL distribué sur trois régions avec une réplication synchrone, ce qui signifiait que les données étaient toujours 100 % cohérentes dans toutes les régions.”
Le détaillant a pu continuer à exploiter son catalogue de produits critique pour l’entreprise (composé de milliards de mappages pour plus de 100 millions d’articles) et à gérer plus de 100 000 requêtes par seconde, souligne-t-il. “YugabyteDB a fourni la disponibilité et la flexibilité dont le client avait besoin pour maintenir ses données en ligne pendant cette catastrophe naturelle sans précédent”, conclut-il.
1. Effectuez des tests périodiques, surveillez et mettez à jour régulièrement votre plan de reprise après sinistre.
Lors de l’élaboration de leurs plans de reprise après sinistre basés sur le cloud, les organisations doivent également passer par l’étape de révision et d’analyse de leurs infrastructures actuelles, selon Mike Lefebvre, directeur de la cybersécurité chez SEI Sphere, un fournisseur de services de sécurité gérés.
“Une fois que les entreprises ont défini leurs stratégies et mis en place leurs infrastructures, des tests réguliers sont cruciaux”, affirme-t-il. “Nous recommandons un test annuel pour garantir que le processus de basculement fonctionne conformément aux attentes en cas de sinistre réel.”
Il est également nécessaire pour les entreprises de surveiller en continu leurs environnements de reprise après sinistre, de réviser périodiquement et de mettre à jour leurs plans de reprise après sinistre pour prendre en compte les évolutions dans les infrastructures, les applications ou les besoins commerciaux, explique Lefebvre.
“Veillez à configurer des alertes pour les réplications et les sauvegardes afin de vous assurer que les ressources sont en bon état”, ajoute-t-il.
Conclusion
Un plan de reprise après sinistre prépare les entreprises à réagir de manière plus efficace aux interruptions de service avec une prise de décision améliorée, selon Barnhill.
Il contribue également à la morale et à la sécurité des employés pendant une période critique où les personnes peuvent être personnellement touchées par le sinistre et avoir des engagements contradictoires avec un temps limité pour résoudre la situation, explique-t-il. Ainsi, le coût de la période d’inactivité peut être considérablement réduit avec une planification et une pratique adéquates.
“Un plan de reprise après sinistre est essentiel pour assurer la continuité des activités de l’entreprise et constitue une exigence réglementaire pour les données sensibles, avec des processus d’audit en place pour plusieurs applications clés, organisations et entités gouvernementales”, ajoute Barnhill.
Un plan de reprise après sinistre offre également un avantage concurrentiel aux yeux des clients qui privilégient des fournisseurs proposant des services fiables et sécurisés, indique-t-il. Cela est particulièrement pertinent dans les secteurs où les entreprises dépendent fortement de fournisseurs et de chaînes d’approvisionnement pour éviter les perturbations des biens et services. Idem pour les secteurs où où les entreprises dépendent étroitement des bases de données et des services cloud pour maintenir la continuité des activités.
FAQ (Foire Aux Questions)
Voici les réponses aux questions les plus posées sur les plans de reprises après sinistres basés sur le cloud.