RTO et RPO : Définition et différences
Les termes RTO (Recovery Time Objective) et RPO (Recovery Point Objective) sont essentiels dans le cadre d’un Plan de Reprise d’Activité (PRA), qui constitue une composante cruciale de la stratégie de cyber-résilience d’une entreprise. Avant d’élaborer un PRA, il est impératif de réaliser un bilan d’impact sur l’activité, ainsi que de définir les RTO et RPO, qui servent de fondations pour l’identification et l’analyse des stratégies à inclure dans le plan de continuité d’activité.
Table des matières
Bien que RPO et RTO puissent sembler similaires, ils désignent en réalité des concepts distincts. Une manière simple de se souvenir de leur différence est de considérer les deux premières lettres : RT pour « Temps de Reprise » et RP pour « Paramètres de Reprise ».
Le RPO : Recovery Point Objective
Le RPO représente l’intervalle de temps correspondant à la quantité maximale de données pouvant être perdues sans impact significatif pour l’entreprise. Il s’agit donc de la fraîcheur des données à restaurer en cas d’interruption. Par exemple, si une entreprise fixe un RPO de 24 heures et qu’un de ses serveurs rencontre une panne à 10 heures, elle restaurera la dernière sauvegarde, datant de 18 heures la veille, ce qui entraînera une perte de données de 16 heures, respectant ainsi l’objectif.
Le RPO est défini selon l’analyse des risques et le bilan d’impact sur l’activité, étapes à réaliser avant la mise en place du projet PRA. Pour des serveurs à faible volumétrie, un RPO de 24 heures peut suffire. En revanche, pour des systèmes à forte volumétrie, comme une base de données SQL, un RPO plus court est souvent nécessaire, impliquant des sauvegardes plus fréquentes.
Dans le cadre d’un Plan de Continuité d’Activité (PCA), le RPO peut être réduit à quelques secondes grâce à une réplication synchrone, garantissant ainsi une correspondance parfaite entre les données sources et cibles. Cependant, cette approche est généralement coûteuse et nécessite un débit Internet élevé.
Le RTO : Recovery Time Objective
Le RTO quant à lui, désigne la durée maximale d’interruption acceptable. Il représente l’intervalle de temps maximum entre la notification d’un incident et la reprise normale du service. Le RTO est déterminé en fonction des besoins métiers et du temps d’arrêt que l’entreprise peut tolérer. Il est également possible de fixer des RTO différents selon les machines concernées par le PRA. Par exemple, un ERP essentiel à la production nécessitera un RTO plus court qu’un serveur de documentation, jugé moins critique.
Un autre facteur à considérer dans la définition du RTO est la taille des machines à restaurer, car des temps de restauration plus longs peuvent être requis.
RTO et RPO dans le cadre d’un Plan de Reprise d’Activité Informatique
Les entreprises conscientes des risques pesant sur leurs systèmes d’information, tels que les incidents, sinistres, pannes ou cyberattaques, mettent en place un Plan de Reprise d’Activité Informatique. Ce plan organise les processus nécessaires pour assurer la continuité des activités.
La définition des RTO et RPO est une étape incontournable dans cette démarche. Il est également important de noter que le RTO et le RPO sont souvent corrélés aux coûts des solutions de PRA. En effet, plus les temps de RTO et RPO sont réduits, plus les coûts associés peuvent augmenter. Une évaluation budgétaire est donc essentielle avant d’implémenter un PRA.
Source : Nuabee
