Disposer d’un SI résilient n’est plus une option pour les PME !

Disposer d’un SI résilient n’est plus une option pour les PME !

octobre 20

Actu IT

Devenu essentiel à l’activité de toute entreprise, le système d’information doit continuer à fonctionner « quoi qu’il arrive ». Mais comment mesurer la résilience de son informatique ? Deux indicateurs sont à utiliser : le RTO et le RPO. Les explications de François Mingoia, directeur général d’Activium-ID.



Un patron d’entreprise – qu’il s’agisse d’une PME, d’une ETI ou d’un grand groupe – doit être prêt à affronter tout type de crise : sanitaire, économique, organisationnelle  ou technologique. « En donnant à ses collaborateurs la capacité d’assurer la continuité du service aux clients, le dirigeant garantit les performances financières et économiques de sa société. Tant que le client final est servi, la pérennité de l’activité est assurée », explique François Mingoia.
 

Mesurer et anticiper le temps d’indisponibilité acceptable


Pour assurer la continuité du service aux clients de l’entreprise, applications et données doivent être disponibles à tous les collaborateurs qui produisent le service… avec un minimum d’interruption en cas de problème. « L’usage des technologies étant désormais indissociable de l’activité même de l’entreprise, l’anticipation des risques possibles doit être effectuée en amont. Et le temps acceptable d’indisponibilité du système d’information précisément mesuré », prévient le directeur. C’est là qu’interviennent deux indicateurs de sécurité complémentaires qui font référence dans le domaine de la sécurité informatique : le RTO et le RPO.

RTO : Recovery Time Objective


Ce premier indicateur traduit la durée maximale d’interruption autorisée en cas de sinistre. Cette durée est définie à l’avance et dépend généralement de la criticité de l’activité concernée et de l’application pour la réaliser. Par exemple, s’il s’agit d’un ERP utilisé pour la production des biens commercialisés par l’entreprise, le RTO sera relativement court : 4 à 8 heures maximum. Au-delà, l’indisponibilité du logiciel ferait peser un risque trop important sur la pérennité de l’entreprise.

RPO : Recovery Point Objective


Le RPO désigne la durée maximale d’enregistrement des données qu’il est acceptable de perdre pendant une panne ou une indisponibilité du système d’information. Cette durée peut aller jusqu’à 24 ou 48 heures si la volumétrie des données est faible.


Déléguer la gestion du risque à un tiers


« Le RTO comme le RPO sont des indicateurs qui ont un impact sur le budget de l’entreprise puisqu’ils mesurent le coût financier des éventuelles pertes d’exploitation. Ils doivent à ce titre être validés par le comité de direction », précise François Mingoia. La question cruciale à se poser, selon l’expert : « Comment trouver le juste équilibre entre l’investissement IT, le choix de l’architecture technologique et les durées d’interruption acceptables ? ». L’objectif ultime : éviter l’interruption prolongée de la chaîne de production.

Les entreprises prévoyantes se dotent également d’un plan de continuité d’activité ou PCA, voire d’un site de repli pour leurs collaborateurs en cas d’indisponibilité totale ou partielle de leurs locaux.

Dans tous les cas, la solution de l’infogérance – confier l’exploitation de son système informatique à une entreprise dont c’est le métier – permet de se concentrer sur son activité en déléguant la gestion du risque à un tiers. L’infogérant se doit également de conseiller son client sur le type d’architecture technologique à mettre en oeuvre : sur site (« on premises »), dans le Cloud ou en mode hybride. Certains infogérants vont même jusqu’à proposer un service de type « Lease Back to Cloud » permettant de réconcilier les enjeux techniques et financiers du système d’information tout en assurant sa résilience.

Lire la suite