Article – Le cloud peut-il à lui seul garantir votre protection d’activité ?

Le cloud a simplifié et démocratisé la mise en place d’un PRA. Toutefois, la technologie ne permet pas, seule, d’assurer la continuité d’activité. La résilience d’une entreprise passe aussi par un certain nombre de prérequis, notamment organisationnels.

Pour gagner en résilience, la mise en place d’un Plan de reprise d’activité (PRA) devient incontournable. Dans le cas, par exemple, d’une attaque par ransomware, il permet à une société de restaurer rapidement son système d’information et de retrouver une activité normale.

Jusqu’alors accessible aux seules grandes entreprises, cette notion de PRA s’est fortement démocratisée grâce au cloud. Une organisation n’a plus à investir lourdement dans l’acquisition puis le maintien et la gestion en conditions opérationnelles d’une infrastructure de secours. Une infrastructure redondante qui – on l’espère – ne servira jamais.

Dans le modèle cloud, l’entreprise sauvegarde ses données dans le nuage puis, en cas de sinistre, utilise le dernier back-up pour redémarrer son IT. Les données sont redondées sur plusieurs sites et plusieurs régions (géo-redondance) afin de réduire le « single point of failure ».
Le prestataire met à disposition son infrastructure, répondant à un grand nombre de certifications qualité – ISO 27001, SOC 1, SOC 2… –, et s’engage contractuellement sur des niveaux de service (SLA). Un PRA dans le cloud est, par ailleurs, financièrement avantageux puisque l’essentiel de la structure de coûts repose sur du stockage objet dont les tarifs ne cessent de baisser.

RTO et RPO

Si, sur le papier, l’association du PRA et du cloud est une solution qui a tout pour plaire, il convient toutefois de respecter un certain nombre de prérequis. Pour Nacer Bakli, Product Owner chez Orange Business, une stratégie de continuité d’activité repose sur trois piliers. « Il s’agit tout d’abord de professionnaliser une politique de RPA et d’adopter une approche par le risque. » Deux indicateurs clés de performance sont généralement retenus : le RTO (Recovery Time Objective), le temps de rétablissement des services IT à la suite d’un incident, et le RPO (Recovery Point Objective), la quantité maximale de données perdues « acceptable ».

« Le deuxième axe est la capacité à tester le dispositif de PRA afin de s’assurer qu’elle garantira en cas de sinistre la reprise d’activité. » Dédiée au management de la continuité d’activité, la norme internationale ISO 22301 fournit un ensemble de bonnes pratiques pour aider une organisation à se protéger et gagner en résilience.

Le dernier volet d’une stratégie de résilience repose sur l’accompagnement. « Les services proposés par un prestataire doivent correspondre au niveau de maturité dans le cloud, qui est extrêmement varié d’une entreprise à l’autre, observe Nacer Bakli. Certaines organisations font le choix d’une politique cloud first quand d’autres valorisent leur infrastructure informatique en propre dans une approche hybride. »

Il rappelle, par ailleurs, qu’une stratégie de PRA ne se résume pas à la technologie ou au réseau choisi. « Elle recouvre un important volet organisationnel avec la création d’une cellule de crise ou la mise en place d’une chaîne de coordination pour assurer une protection optimale en cas d’incident. »

Des services cloud nativement résilients

Au-delà des solutions de PRA, une entreprise peut souscrire à des services cloud nativement résilients dans une approche multi-AZ (multiple availability zone). Les données situées sur une zone de disponibilité sont automatiquement répliquées sur une instance de secours située dans une autre zone. Depuis début 2021, Orange Business propose un service stockage objet multi-AZ sur ses datacenters de la région parisienne. En un clic, il est possible d’activer cette fonctionnalité de réplication des données. Dans une approche cross-région, elle sera également disponible à Amsterdam et ses environs dès la fin du mois de septembre.

La stratégie de PRA peut aussi s’inscrire dans une logique multicloud, Orange Business ayant noué des partenariats avec Amazon Web Services, Microsoft Azure, Google Cloud ou OVHcloud. Une entreprise peut ainsi construire une solution de PRA à partir de son cloud existant couplé à notre solution de cloud public de son choix.
Orange Business a l’habitude de travailler avec des partenaires extérieurs, comme Nuabee pour le PRA cloud dédié aux PME.

Découvrez les recommandations de Pascal Bitterly – Product Owner Leader chez Orange Business, sur la manière de garantir la résilience et la continuité de votre activité grâce au cloud. Au sommaire :
– Pourquoi protéger mon activité ?
– Cloud versus on-premise
– Les bonnes pratiques de la résilience
– Nos engagements sur la sécurité de vos données.