RPO et RTO - Définition et explication de leur différence

Recovery Point Objective (RPO) fait généralement référence à la quantité de données qui peuvent être perdues au cours de la période la plus opportune pour une entreprise, avant qu'un préjudice important ne se produise, à partir d'un événement critique jusqu'à la sauvegarde la plus précédente.

Recovery Time Objective (RTO) fait souvent référence au temps pendant lequel une application, un système et/ou un processus peut être en panne sans causer de dommages importants à l'entreprise, ainsi qu'au temps passé à restaurer l'application et ses données.

Bien que les deux objectifs soient similaires en termes de mesures, leurs objectifs diffèrent en fonction de l'application et de la priorité des données :

But : Le RPO, qui s'occupe du problème de perte de données, contribue à l'élaboration d'une stratégie de sauvegarde. Le RTO, quant à lui, s'occupe des délais de restauration et contribue à l'élaboration d'une stratégie de reprise d'activité consécutive à un sinistre.

Priorité : Lorsque les RTO se concentrent sur la restauration des applications et des systèmes, les RPO se préoccupent uniquement de la quantité de données perdues à la suite de défaillances - en calculant le risque et l'impact sur l'ensemble des transactions des clients plutôt que les temps d'arrêt de productivité.

Coût : Les coûts fluctuent également entre les deux objectifs. Les coûts associés au maintien d'un RTO exigeant peuvent être plus élevés que ceux d'un RPO granulaire, car le RTO concerne l'ensemble de l'infrastructure de votre entreprise, et pas seulement les données.

Automatisation : Comme les RPO exigent simplement que vous effectuiez des sauvegardes de données aux intervalles appropriés, les sauvegardes de données peuvent être facilement automatisées et mises en œuvre. Cependant, cela est pratiquement impossible pour les RTO car cela implique de restaurer toutes les opérations informatiques.

Variables de calcul : Basés sur le plus petit nombre de variables, les RPO peuvent être plus faciles à calculer en raison de la cohérence de l'utilisation des données. Les RTO sont légèrement plus compliqués car les délais de restauration dépendent de plusieurs facteurs, notamment des délais analogiques et du jour où l'événement se produit. Un RPO plus court signifie la perte de moins de données, mais il nécessite plus de sauvegardes, plus de capacité de stockage et plus de ressources informatiques et réseau pour fonctionner. Une durée plus longue est plus abordable, mais elle implique la perte de plus de données.

Les variables de calcul peuvent également différer selon la classification des données. La bonne pratique pour toute entreprise consiste à classer ses données en niveaux critiques et non critiques, qui détermineront ensuite vos RPO et RTO par ordre de priorité.

Pour expliquer tout simplement la différence entre les RTO et les RPO, prenons l'exemple d'une banque mais à travers deux scénarios différents :

À 9 heures du matin, une application a été défaillante sur le serveur principal de la banque, interrompant les services en local et en ligne pendant 5 minutes. Le RPO de la banque avait calculé 15 minutes de perte de données et son RTO prévoyait 10 minutes de temps de récupération pour restaurer les systèmes et les applications. La banque a donc respecté les paramètres de ces deux objectifs.

À 3 heures du matin, la même banque a été confrontée à un arrêt des systèmes pendant une période de 3 heures. Comme le RPO n'a comptabilisé que 15 minutes de perte de données et le RTO que 10 minutes de temps d'arrêt, cela signifie que 2 heures et 50 minutes de temps d'arrêt n'ont pas été comptabilisées. Cependant, en raison de la durée de l'arrêt, la perte de données n'a pas été exponentielle, car il s'agissait d'une période de faible trafic pour la banque.

Il convient de dresser la liste de vos RPO et RTO en tenant compte à la fois du temps, de l'argent et de la réputation de l'entreprise. La collaboration de tous les services, en particulier les informations concernant leur mode de fonctionnement, les données qu'ils traitent et l'impact sur tous les utilisateurs, peut déterminer l'ordre de priorité de leurs RPO et RTO les plus critiques.

À partir de ces seules informations, vous pouvez ensuite comparer les coûts des temps d'arrêt avec l'impact sur l'entreprise - en examinant les variables de la perte de revenus, des salaires, du cours des actions et des dépenses liées à la reprise - puis prévoir le pire incident auquel votre entreprise pourrait être confrontée.

Au fur et à mesure que l'entreprise se développe, ces variables vont sans aucun doute évoluer. C'est pourquoi l'évaluation, les tests et les mesures constants de vos RTO et RPO vous aideront à vous préparer à toute défaillance qui pourrait survenir de manière inattendue. Les trois principaux domaines permettant de réduire l'impact global sur l'entreprise (et sur votre portefeuille) sont les suivants (mais pas uniquement)

Fréquence des sauvegardes : Un plus grand nombre de sauvegardes vous permet d'accéder à un plus grand nombre de données en cas de problème, ce qui réduit à la fois les pertes de données et le temps nécessaire pour restaurer ces données.

Récupération en bloc : Gagnez du temps et de l'argent en isolant les blocs de données clés qui ont changé depuis votre dernière sauvegarde, ce qui permet de ne sauvegarder que les blocs de données qui ont changé pendant cette période.

Réplication : En répliquant vos données, vous disposez instantanément d'une copie de vos données sur laquelle vous pouvez vous appuyer en cas de catastrophe, ce qui diminue vos RTO. Votre RTO sera déterminé par la fréquence de réplication de vos données. En règle générale, une réplication à une fréquence plus élevée signifie un RPO plus faible.

Comme pour tout élément de l'activité commerciale, du marketing aux processus, du matériel aux logiciels, les RPO et les RTO ne remplacent pas les tests et les évaluations. Vous trouverez ci-dessous trois façons de préserver et de faire évoluer vos objectifs en fonction des menaces et des risques potentiels pour l'entreprise.

Évaluez régulièrement vos paramètres de sauvegarde, en examinant les plans de rétention, les points de restauration granulaire, l'automatisation et les variables de protection ; en augmentant le nombre d'instantanés que vous avez des données critiques. L'objectif est de prendre en compte toutes les mesures d'un incident sur les données critiques avant qu'il ne se produise.

Revoyez périodiquement votre plan de reprise d'activité, en évaluant les rôles clés des employés, les processus de sauvegarde et les modifications apportées au matériel. Vos plus récents RPO et RTO auront une influence sur ce plan - les deux vont de pair, donc gardez tous les éléments à jour à intervalles réguliers tout au long de l'année.

Le fait de conserver au moins trois copies des données dans deux lieux de stockage indépendants et une copie des données stockées hors site permet de sauvegarder vos données si l'un des lieux de stockage devenait inaccessible ou endommagé.

Pour déterminer ce qu'un tel incident pourrait coûter à votre entreprise, prenez en compte le coût de l'arrêt du système - l'impact sur la productivité des employés, la perte d'heures facturables, les ventes manquées liées à l'activité en ligne, les obligations de conformité réglementaire, etc.

Un autre aspect qui peut influencer la priorité et même la fixation de vos RPO et RTO est le développement de l'entreprise en interne et en externe. Les changements influents tels que les prestations de services supplémentaires, les changements de structure et de personnel, la croissance des données, l'emplacement, etc. peuvent modifier entièrement les objectifs, c'est pourquoi des tests et des examens réguliers sont une nécessité absolue pour une reprise d'activité réussie.

Vos RPO et RTO évaluent les variables les plus critiques par rapport au scénario le plus pessimiste et fournissent une mesure de sauvegarde contre une éventuelle catastrophe pour votre entreprise. Gardez-les à jour et en phase avec tous les aspects de votre entreprise. Vous serez ainsi protégé contre la plupart des menaces et des catastrophes graves.

Dans toute situation de reprise d'activité en cas de catastrophe, chaque seconde compte. Même avec des sauvegardes complètes d'un serveur entier, les entreprises doivent encore restaurer le système en déplaçant les données du stockage de sauvegarde vers leur matériel de production, ce qui peut prendre des heures, sans parler de l'impact sur l'entreprise elle-même.

Avec plus de 15 ans d'expérience dans le secteur, 200 000 attaques évitées et plus de 5 000 pétaoctets gérés à travers le monde, dire qu'Acronis est passionné par la cybersécurité serait un euphémisme.

Grâce à Acronis Cyber Protection, la seule solution sur le marché anti ransomwares active basée sur l'IA, elle permet de proposer un plan de reprise d'activité qui intègre les RPO et RTO, aidant à sauvegarder toutes les données pour tout environnement, déploiement, charge de travail et stockage, et ce, quelle que soit la méthode de restauration.

Anticipez vos catastrophes avec Acronis dès aujourd'hui.