Assurez-vous de la fiabilité de votre plan de reprise d'activité

Dans mon rôle d’architecte de solutions internes chez 11:11 Systems, mon objectif est de faire correspondre la gamme de solutions de 11:11 Systems aux besoins de protection des données des clients, du simple BaaS hors site aux solutions DRaaS entièrement gérées. Cet objectif est plus facile à atteindre lorsque les clients viennent à la table avec un plan de reprise d’activité efficace et fiable. Alors, comment élaborer un plan de reprise efficace et fiable ? Voici quelques points clés à prendre en compte lors de l’élaboration de votre plan de reprise.

1. Comprendre vos données précieuses, vos systèmes et processus de base.

“C’est un peu évident ! Je vous entends dire. Eh bien, oui et non… il ne s’agit pas toujours des suspects habituels. Tout le monde désignerait immédiatement les données de production comme les données les plus précieuses, et ce n’est pas faux. Mais les données de valeur ne se limitent pas aux données de production.
Les entreprises doivent être en mesure de prendre du recul par rapport à la production et d’envisager leur patrimoine de données de manière globale. Oui, nous voulons que les données/systèmes de production soient protégés, opérationnels dès que possible, mais qu’en est-il des données/systèmes qui se trouvent en amont ou en aval des données de production ? Même en allant plus loin et en examinant l’impact potentiel en amont ou en aval, les fournisseurs extérieurs à l’entreprise peuvent avoir un impact sur vos précieuses données, vos systèmes et vos processus de base.

Par exemple, vous êtes une entreprise manufacturière qui prend des commandes en ligne et vous avez rencontré un problème majeur. Invoquant votre plan de reprise d’activité, vous faites basculer votre entreprise sur votre site de reprise d’activité. Vous découvrez alors que le service d’expédition ne peut pas imprimer d’étiquettes d’adresse parce que son PC d’impression d’étiquettes et son logiciel de planification des courriers ont également été touchés et sont actuellement hors ligne. Ou bien vous faites un basculement mais vous avez négligé d’inclure votre système de paie (pas le système de production, n’est-ce pas ?), je suis sûr que vous voudriez pouvoir payer vos employés (et je suis sûr que les employés le voudraient aussi !).

Conseil : avant de rédiger un plan de reprise, organisez un exercice sur table avec les parties prenantes de chaque secteur de l’entreprise et élaborez des scénarios :

  • “Et si nous perdions le système x/y/z ?”
  • “Quelles sont les données concernées ?
  • “Qui est touché ?”
  • “Quels sont les services en amont et en aval concernés ?

2. Veillez à ce que vos données soient propres.

Une autre évidence, mais il ne sert à rien d’avoir un plan de protection/récupération des données si les données que vous récupérez ne sont pas propres. Alors, comment savoir si vos données sont propres ? Un vieux dicton d’administrateur système dit que “les sauvegardes sont votre dernière ligne de défense”, et cela n’a jamais été aussi vrai que dans l’environnement d’aujourd’hui.

Les sauvegardes doivent être un élément d’une stratégie de protection des données à plusieurs niveaux. Exploitez les fonctions de votre fournisseur de sauvegardes pour vous permettre d’effectuer des contrôles sur les données. Par exemple, Veeam propose SureBackup/SureReplica et Secure restore ou Zerto test failover, tous ces éléments contribuent à renforcer la confiance dans le fait que vos données sont propres et prêtes à être récupérées, si le besoin s’en fait sentir.

Conseil : Incorporez des tests/analyses réguliers de vos données de sauvegarde, elles doivent également être considérées comme faisant partie de vos actifs de données de valeur. Dans cette optique, tirez parti de fonctionnalités telles que l’immutabilité et les sauvegardes en temps réel, afin de vous assurer que les données de sauvegarde précieuses sont également protégées.

3. Disposez d’un endroit propre pour placer vos données récupérées.

Il ne sert à rien d’avoir des données propres à récupérer si l’on ne dispose pas d’un endroit propre où récupérer. Considération pour votre plan de reprise d’activité : “Est-ce que je dispose des ressources adéquates pour récupérer ?” Là encore, les suspects habituels ne sont pas toujours au rendez-vous en ce qui concerne les ressources :

  • Le temps
    C’est quelque chose que l’on ne peut pas acheter à un fournisseur ou créer, surtout lorsque le PDG se tient près de notre bureau pendant un incident en criant “REMETTEZ LE EN LIGNE MAINTENANT”. Chercher à intégrer l’automatisation pour accélérer le rétablissement
  • Matériel
    Tout le monde ne dispose pas d’une infrastructure prête à l’emploi. Il convient de s’appuyer sur des MSP tiers et/ou des fournisseurs de cloud hyperscale pour fournir les ressources nécessaires.
  • Personnes
    Le personnel possède-t-il les
    compétences et les connaissances nécessaires pour effectuer la récupération dans les délais requis ?

Conseil : intégrez votre infrastructure/système de reprise après sinistre dans votre programme d’analyse et de mise à jour de la sécurité.

4. Disposez d’un plan de sauvegarde pour votre plan de reprise.

Pour citer Mike Tyson, “Tout le monde a un plan, jusqu’à ce qu’il reçoive un coup de poing dans la bouche”, ce qui est une façon subtile de dire que vous pouvez faire toute la planification, mais jusqu’à ce que l’événement que vous prévoyez se produise, vous ne le saurez jamais. Heureusement, la technologie actuelle nous permet de simuler la plupart des scénarios et de chercher à automatiser la reprise lorsque c’est possible.

Cependant, l’automatisation ne doit pas signifier que les équipes ne connaissent pas l’intégralité du processus de récupération. Si vous disposez d’un plan de reprise automatisé en 100 étapes et qu’il échoue à l’étape 57 lors d’un événement en direct, votre personnel doit savoir comment faire progresser ce plan de reprise à partir de l’étape 57…. avez une sauvegarde de votre plan de reprise !

Une fois que vous avez établi votre plan de reprise, à quelle fréquence le testez-vous ? Une fois par an ? Tous les six mois ? Effectuez-vous des reprises complètes ? Comme pour les sauvegardes, vous devriez envisager des reprises incrémentielles. Effectuez toujours votre “big bang” annuel ou semestriel, mais envisagez également d’effectuer régulièrement des restaurations d’un seul serveur/système. Le personnel sera moins débordé et il sera plus facile de procéder à des reprises plus fréquentes. Cela devrait permettre de ne pas négliger le calendrier des tests de basculement. Par ailleurs, il convient d’utiliser un service/système différent à chaque fois.

Conseil : votre plan de reprise ne doit PAS être un processus/document statique. Il doit évoluer avec votre environnement, et donc être lié à votre système de gestion des changements. Ajoutez une considération à votre processus de changement : “Est-ce que cela a un impact sur notre capacité à récupérer sans plan de récupération existant ?”

Par exemple, vous créez un plan de reprise en janvier, mais vous devez le “dépoussiérer” en septembre pour faire face à un incident. Cela représente neuf mois de changements au niveau de l’infrastructure, des applications et des processus qui pourraient avoir une incidence sur la capacité de reprise. Apprenez à tenir votre plan de reprise à jour.

Si vous avez besoin d’aide pour démarrer, aligner les parties prenantes ou même tester la reprise, l’équipe de 11:11 Consulting Services a beaucoup d’expérience pour aider des organisations comme la vôtre à mettre en place des plans de reprise d’activité et de reprise après sinistre.

Auteur : Craig Dalrymple

Craig Dalrymple est architecte de solutions internes chez 11:11 Systems. Il aide nos clients à faire correspondre les solutions 11:11 à leurs besoins en matière de protection des données, d’informatique dématérialisée, de connectivité et de sécurité.

Join the companies doing great things with 11:11 Systems

Dr. Martens
Benchmade
Lush
TreeTop
City of Bend