8.3. Récupération suite à un sinistre

À titre d'expérience, la prochaine fois que vous vous trouvez dans votre centre de données, regardez autour de vous et imaginez qu'il n'existe plus. Pas seulement parce que tous les ordinateurs ont été détruits. Imaginez que tout le bâtiment hébergeant votre centre de données a été détruit. Ensuite, imaginez que votre travail consiste à effectuer la plupart du travail qui était effectué auparavant dans le centre de données, installé d'une manière ou d'une autre, dans un autre endroit, et ce, aussi rapidement que possible. Que feriez-vous ?

En pensant à ce scénario, vous avez aborder la première étape du processus de récupération suite à un sinistre. La récupération suite à un sinistre représente la capacité de reprise suite à un évènement affectant le centre de données de votre entreprise, et ce, aussi rapidement et complètement que possible. La nature du sinistre sera peut-être différente, mais le but final demeure toujours le même.

Les étapes faisant partie du processus de récupération après un sinistre sont nombreuses et vastes. Ci-après figure un aperçu de ce processus et les points essentiels à garder à l'esprit.

8.3.1. Élaboration, test et mise en oeuvre d'un plan de récupération post-sinistre

Un centre de secours est certes essentiel, mais il est inutile sans un plan de récupération post-sinistre. Ce dernier stipule chaque phase du plan de récupération post-sinistre qui inclut entre autres :

Les plans de récupération post-sinistre remplissent souvent de nombreux classeurs. Ce degré de détail est essentiel car, en cas d'urgence, il se peut que le plan soit le seul élément sauvé de votre ancien centre de données (mis à part les dernières sauvegardes stockées en dehors de l'entreprise, cela va de soi) vous aidant à reconstruite et restaurer votre activité.

TuyauAstuce
 

Bien que des plans de récupération post-sinistre soient supposés être facilement disponibles dans votre entreprise, des copies de ces documents devraient également se trouver en dehors de l'entreprise. De cette manière, un sinistre ravageant votre entreprise ne détruirait pas toutes les copies du plan de récupération post-sinistre. L'emplacement du centre où les sauvegardes sont stockée est un bon endroit où conserver une copie du plan de récupération post-sinistre. Dans la mesure où les politiques de votre entreprise ne sont pas enfreintes, il est également possible de conserver des copies du document chez les membres du personnel clé, afin qu'elles soient prêtes à l'emploi à tout moment.

Un tel document se doit d'être examiné avec sérieux (et même avec l'aide de professionnels pour sa rédaction).

Une fois que ce document très important est rédigé, son contenu doit être testé périodiquement. Le test d'un plan de récupération post-sinistre consiste à mettre en oeuvre les différentes étapes du plan : il convient donc de se rendre au centre de secours et mettre en place le centre de données temporaire, exécuter les opérations à distance et reprendre une activité normale une fois le "sinistre" surmonté, la plupart des tests n'essaient pas d'effectuer les totalités des tâches du plan ; à la place, un système et une application représentatifs de la situation sont transportés au centre de secours où ils sont mis en production pour une certaine durée, avant d'être restitués au centre de donné pour des opérations normales à la fin de la phase de test.

NoteRemarque
 

Bien que cette expression soit galvaudée, un plan de récupération post-sinistre doit être un document vivant ; au fur et à mesure que le centre de donnée évolue,le plan doit être mis à jour afin de refléter ces changements. De bien des manières, un plan de récupération post-sinistre qui ne correspond pas à la situation actuelle de l'entreprise peut aggraver la situation encore plus que s'il n'y avait pas de plan du tout ; dans de telles conditions, assurez-vous de bien passer votre plan en revue à intervalles réguliers (tous les trimestres par exemple) et de bien l'actualiser.

8.3.2. Centres de secours : froids, doux et chauds

Un des aspects les plus importants de la récupération post-sinistre est la disponibilité d'un endroit à partir duquel la reprise d'activité peut avoir lieu. On fait référence à cet endroit sous le terme de centre de secours. En cas de sinistre, un centre de secours représente l'endroit même où votre centre de données peut être recréé et à partir duquel vous pourrez fonctionner pour la durée du sinistre.

Il existe trois types différents de centres de secours, à savoir :

Évidemment, ces termes ne font pas référence à la température du centre de secours. Ils font en fait référence aux efforts nécessaires pour commencer les opérations au centre de secours en cas de sinistre.

Un centre de secours froid (aussi appelé Cold) n'est guère qu'un endroit dans un bâtiment configuré à cet effet. Tout ce qui est nécessaire pour restaurer le service offert à vos utilisateurs doit être fourni et transporté à cet endroit avant que le processus de récupération ne puisse commencer. Comme vous pouvez vous en douter, le délai requis pour que le centre de secours froid devienne effectivement opérationnel peut être relativement long.

Les sites de secours froids sont les sites les moins onéreux.

Un centre de secours doux contient déjà le matériel représentant une copie assez proche du matériel qui se trouve dans votre centre de données. Afin de pourvoir restaurer le service, les dernières sauvegardes stockées dans votre centre de secours se trouvant à l'extérieur à l'entreprise doit être acheminées vers l'entreprise et une restauration bare metal doit être effectuée avant que le travail même de récupération ne puisse commencer.

Les centres de secours chauds représentent une image virtuelle parfaitement identique à votre centre de données, incluant tous les systèmes configurés  les seuls éléments manquants sont les dernières sauvegardes de vos données utilisateur stockées dans votre centre de secours se trouvant à l'extérieur de l'entreprise. Comme vous le comprendrez aisément, un centre de secours chaud peut devenir pleinement opérationnel en moins de quelques heures.

Un centre de secours chaud constitue l'approche la plus coûteuse en matière de récupération post-sinistre.

Les centres de secours peuvent avoir trois origines différentes, à savoir :

Chaque approche a bien sûr ses avantages et ses inconvénients. Par exemple, un contrat avec une entreprise de récupération post-sinistre vous donne souvent accès à des experts spécialisés dans l'assistance des entreprises lors du processus de création, test et mise en oeuvre d'un plan de récupération post-sinistre. Comme vous pouvez l'imaginer, ces services sont assez onéreux.

L'utilisation d'espace dans un autre bâtiment que votre entreprise possède ou utilise peut certes apparaître comme une option quasiment gratuite, mais les coûts associés au stockage du centre de secours et à on maintien en vue d'une utilisation imminente font de cette option un choix toujours onéreux.

L'élaboration d'un accord permettant de partager des centres de données avec une autre entreprise peut être une option très bon marché, mais un fonctionnement à long terme dans de telles conditions n'est généralement pas possible dans la mesure où le centre de données hôte doit toujours maintenir son activité normale ; de plus,dans le meilleur des cas, la situation est quelque peu tendue.

En fin de compte, le choix d'un centre de secours particulier est le résultat d'un compromis entre les coûts occasionnés et les besoins de votre entreprise quant à l'importance de la continuation de sa production.

8.3.3. Disponibilité matérielle et logicielle

Votre plan de récupération post-sinistre doit inclure des méthode permettant de se procurer le matériel et les logiciels nécessaires pour que l'activité puisse reprendre au centre de secours. Un centre de secours géré par une entreprise spécialisée en la matière disposera peut-être déjà de tout ce dont vous avez besoin (ou vous devrez peut-être vous arranger pour obtenir et livrer des éléments matériels spécialisés dont le centre ne dispose pas) ; un centre de secours froid, en revanche, implique l'identification d'une source fiable pour chacun des composants. Souvent, les entreprises essaient d'obtenir un accord avec les fabricants afin de garantir la livraison rapide de matériel et/ou de logiciels en cas de sinistre.

8.3.4. Disponibilité des sauvegardes

Lorsqu'un sinistre est déclaré, il est nécessaire de notifier votre centre de stockage se trouvant à l'extérieur de l'entreprise, pour les deux raisons suivantes :

TuyauAstuce
 

En cas de sinistre, les toutes dernières sauvegardes de votre ancien centre de données sont d'une importance vitale. Songez à faire des copies avant même que tout élément ne soit ajouté et stockez les originaux à l'extérieur de l'entreprise aussi rapidement que possible.

8.3.5. Connectivité réseau au centre de secours

Un centre de données ne sert pas à grand chose s'il est entièrement déconnecté du reste de l'entreprise qu'il alimente en données. Selon le plan de récupération post-sinistre et selon la nature de ce sinistre, la communauté de vos utilisateurs se trouvera peut-être à des kilomètres du centre de secours. Dans ces cas-là, une bonne connectivité est essentielle à la restauration de la productivité.

Un autre type de connectivité à garder à l'esprit est celui de la connectivité téléphonique. Vous devez vous assurer qu'il existe nombre suffisant de lignes téléphoniques disponibles pour assurer la communication verbale avec vos utilisateurs. Cette communication qui auparavant, pouvait s'effectuer tout simplement en parlant à voix haute au-dessus de la cloison d'un box devra peut-être maintenant prendre la forme d'une conversation téléphonique longue distance ; dans de telles circonstances, il est fortement recommandé de prévoir une connectivité téléphonique supérieure à celle jugée nécessaire pour des opérations normales.

8.3.6. Personnel du centre de secours

Le problème de l'affectation de personnel au centre de secours est multidimensionnel. Un aspect du problème est la détermination du personnel nécessaire pour faire fonctionner le centre de secours pendant toute la durée nécessaire. Alors qu'une équipe réduite au strict minimum puisse être à même de faire fonctionner ce centre pendant une courte durée, si le sinistre se prolonge, plus de personnel devra être déployé afin de maintenir les efforts nécessaires au déroulement de l'activité dans les circonstances exceptionnelles liées au sinistre.

Il est important de s'assurer que les membres du personnel se voient accorder suffisamment de temps libre pour se reposer et peut-être, se rendre à leur domicile. Dans le cas où l'envergure du sinistre serait telle que les maisons et familles des employés ont été touchées, du temps supplémentaire doit leur être accordé afin qu'ils puissent traiter le sinistre à un niveau personnel. Un hébergement temporaire à proximité du centre de secours est nécessaire, ainsi qu'un système de transport pour acheminer les membres du personnel entre le centre de secours et leur hébergement.

Souvent, un plan de récupération post-sinistre inclut un représentant du personnel venant de toutes les couches de la communautés des utilisateurs de l'entreprise. Cet aspect dépend de la capacité de votre entreprise à fonctionner avec un centre de données distant. Si des représentants des utilisateurs doivent travailler au centre de secours, un hébergement doit être disponible pour eux aussi.

8.3.7. Retour à la normale

À un moment ou à un autre, cette situation catastrophique se terminera. Tout plan de récupération post-sinistre doit aussi inclure cette phase. Le nouveau centre de données doit être équipé avec tous le matériel et les logiciels nécessaires ; bien que cette phase n'ait souvent pas la même importance critique au niveau du temps, que lors des préparatifs nécessairesune fois le sinistre déclarée, les dépenses engendrées peuvent être considérables. Les coûts liés aux centres de secours étant proportionnels aux nombre de jours pendant lesquels ils sont utilisés, il est logique que des préoccupations d'ordre économique exigent un transfert aussi rapide que possible.

Les dernières sauvegardes du centre de secours doivent être créées et transportées au nouveau centre de données. Après leur restauration sur le nouveau matériel, la production peut alors reprendre dans le nouveau centre de données.

À ce stade, le centre de données de secours peut être dé-commissionné et il est important que la dernière partie du plan mentionne ce qu'il doit advenir du matériel temporaire. Finalement, l'efficacité du plan est passée en revue et toute modification recommandée par le comité de révision est intégrée dans une version mise à jour du plan.