Comment bien réussir l’externalisation de son PCA/PRA

Stratégies Channel

Les entreprises sont de plus en plus dépendantes de leurs services internet et des applications informatiques qu’elles délivrent : sites de vente en ligne, extranets, applications métiers… Tous ces services nécessitent une très haute disponibilité. Pour répondre à ces besoins, la mise en œuvre un Plan de Continuité d’activité (PCA) ou d’un Plan de Reprise d’Activité (PRA) est une option à considérer.

Par Antoine Moraillon, Directeur technique d’Ecritel

La mise en place d’un PCA ou d’un PRA permet de planifier les actions à mener en cas de sinistre ou de limiter les dommages pouvant survenir après une catastrophe. Leur mise en place nécessite un investissement informatique non négligeable pour les entreprises et leur mise en œuvre requiert de la préparation.

Pour toute entreprise dont le système d’information (SI) est au cœur de son activité, la mise en place d’un PCA/PRA devient alors un enjeu stratégique. En effet, si une entreprise ne dispose pas des ressources en interne, il est préférable qu’elle externalise son PCA/PRA. L’entreprise doit alors choisir un prestataire dont l’expertise et la maîtrise technique de projets de grande envergure sont reconnues sur le marché.

Les huit points clés pour mettre en œuvre un PCA/PRA de qualité

1.    Choisir plusieurs fournisseurs 
Il est recommandé à une entreprise de faire appel à plusieurs fournisseurs d’infrastructures et réseaux pour minimiser les risques éventuels liés à l’externalisation d’un PCA/PRA. En cas de problème avec un fournisseur, un autre prestataire est alors en mesure d’assurer une continuité de service.

2.    Vérifier la qualité du réseau
Un réseau de qualité est un critère primordial à prendre en compte dans le choix de son prestataire. En effet, la capacité du réseau de celui-ci, pour l’interconnexion des différents sites, la réplication des données et l’accès au SI de l’entreprise, doit permettre la réalisation d’un PCA/PRA dans des conditions optimales.
Il est possible d’accéder au SI de l’entreprise de deux manières :
•    dans le cadre d’un hébergement “privé” d’applications métiers par exemple, l’identification des personnes se connectant au SI est alors connue, ce qui permet de gérer le réseau de bout en bout.,
•    dans le cadre d’un hébergement “public” de sites internet par exemple, l’identification des internautes n’est pas connue à l’avance,  ce qui crée une dépendance vis-à-vis des opérateurs réseaux. Dans ce  dernier cas, le prestataire peut procéder à la bascule en : modifiant les enregistrements des zones DNS, ou de manière plus transparente et réactive grâce aux technologies CDN (Content Delivery Network).

3.    Mettre de la distance entre les sites
La distance intersites est l’un des éléments fondamentaux d’un PCA/PRA. Plus la distance entre les sites est importante et plus la sécurité d’un PCA/PRA est garantie. Les raisons pour lesquelles il est nécessaire d’inclure la distance dans sa réflexion sont strictement liées à l’emplacement géographique où seront répliquées leurs données. L’infrastructure du Datacenter (problème électrique, ravitaillement en fuel, maintenance…), les risques sociaux (grèves, émeutes dans certains pays…), et environnementaux (innondation, incendie, tremblement de terre, proximité d’une centrale – voir les zones SEVESO) sont autant d’imprévus qui varient en fonction de l’implantation géographique du Datacenter.

4.    Avoir un cahier des charges cohérent
Pour bien réussir un projet de mise en place d’un PCA/PRA, il est important d’identifier et de choisir le bon prestataire : celui qui saura poser les bonnes questions et appréhender correctement les enjeux de l’entreprise.
Les indicateurs de sécurité en cas de sinistre font ainsi partie des informations à bien définir dans le cahier des charges :
•    le RTO (Recovery Time Objective) qui indique la durée maximale d’interruption d’une ressource informatique (serveur, réseau, ordinateur, application) et se détermine en fonction de la criticité des applications,
•    le RPO (Recovery Point Objective) qui précise le volume maximum de données ou transactions qu’il est acceptable de perdre lors d’une panne.

5.    Prendre en compte les enjeux inhérents à l’activité de l’entreprise
Chaque entreprise est différente. Elle possède ses propres défis liés à ses applicatifs et à son activité. En effet, un site institutionnel et un extranet (faible criticité) ou une banque et un e-commerçant (forte criticité) n’ont pas les mêmes préoccupations ni le même niveau de dépendance vis-à-vis de leur SI. Ainsi, leur tolérance à la perte de données ou à une interruption de service est très différente. Par conséquent, le prestataire devra faire preuve de discernement en la matière.

6.    S’intéresser à la réplication des applications 
Dans la mise en place d’un PCA/PRA de qualité, il est primordial pour le prestataire de bien appréhender l’environnement applicatif de l’entreprise. En effet, la complexité du SI de l’entreprise varie en fonction des applications à répliquer. Sur certains applicatifs la réplication est native, ce qui facilite la mise en place d’un PRA/PCA. Dans d’autres cas, le prestataire doit apporter des solutions alternatives permettant la réplication des applications.

7.    Adapter la réplication aux contraintes de l’architecture
Dans le cadre d’une architecture physique, le professionnel s’orientera naturellement vers la réplication des données, tandis que pour une infrastructure virtuelle ou en mode cloud il priviligiera la réplication de l’environnement (OS et applications).

8.    Réaliser des tests réguliers
Un prestataire qualifié réalisera un test de mise en situation régulièrement (tous les mois par exemple), portant uniquement sur la disponibilité de la plateforme distante. Par ailleurs, au moins une fois par an, le professionnel prévoira une bascule en situation réelle. Ce dispositif de test permet ainsi de vérifier que le PCA/PRA fonctionne bien et d’effectuer quelques ajustements au besoin.


Un PCA/PRA « virtualisé ou en mode cloud »

Il est plus simple pour une entreprise de mettre en place un PCA/PRA « virtualisé ou en mode cloud » car il n’y a plus à se préoccuper du réseau, du stockage et de la puissance, mais uniquement des applications. En résumé, ce type de PCA/PRA est plus rapide à implémenter car moins complexe. Il est important de noter toutefois que le principal enjeu d’un PCA ou PRA réside dans la localisation des données.  Cette problématique est plus que jamais d’actualité avec l’arrivée des PRA/PCA en mode Cloud. L’entreprise doit, d’une part, s’assurer que ses données répliquées ne sont pas sur les mêmes surfaces d’hébergement, et d’autre part que la distance entre les sites correspond à celle définie dans le cahier des charges.

L’externalisation d’un PCA/PRA reste une solution intéressante pour une entreprise dès lors que celle-ci est parfaitement informée pour choisir un prestataire en mesure de lui fournir un service adapté et de qualité. L’entreprise doit donc s’assurer que les règles sont bien posées en matière de localisation des données et obtenir un maximum de garanties d’engagements de service. Ces derniers devant être fixés contractuellement.

www.ecritel.fr

Ecritel est un prestataire d’hébergement Internet et d’infogérance Informatique pour PME et Grands comptes. Acteur majeur du cloud computing infogéré en Europe et spécialiste de l’hébergement infogéré de sites e-commerce (14 années d’expérience et près de 1/3 de clients dans le e-commerce), Ecritel sert ses clients à partir de 6 centres de données : 2 à Paris,
2 à Montréal et 2 à Shanghai.