RTO et RPO : Quelle est la différence et comment sont-elles utilisées ?

Dans le domaine de la continuité des activités et de la reprise après sinistre, les termes RTO et RPO sont souvent utilisés dans les conversations sur les exigences en matière de reprise.

Bien que ces termes soient étroitement liés, ils ont des significations et des utilisations distinctes.

Ce blog définit les RTO et les RPO en examinant de plus près la manière dont ces termes sont utilisés dans les programmes de continuité des activités et de reprise après sinistre.

Qu’est-ce que l’objectif de temps de récupération (RTO) ?

Conformément à la norme ISO 22300:2021un objectif de délai de rétablissement (RTO) est la « période de temps suivant un incident au cours de laquelle un produit ou un service ou une activité est repris, ou des ressources sont récupérées ».

Dans les conversations sur la continuité des activités et la résilience opérationnelle, le RTO définit une période de temps spécifique et est généralement exprimé en nombre d’heures, de jours, de semaines, etc.

En termes simples, un RTO fait démarrer le tic-tac de l’horloge pour marquer le temps pendant lequel votre organisation peut survivre à un temps d’arrêt et revenir à des opérations normales tout en maintenant la continuité. Vous pouvez utiliser le terme RTO à la fois pour les fonctions et les ressources de l’entreprise. Il est important de noter que ce n’est pas la même chose pour le RPO.

Les RTO varient d’une organisation à l’autre, mais voici quelques-uns des facteurs qui peuvent influencer votre RTO :

Combien de revenus votre organisation perdra-t-elle pour chaque heure d’indisponibilité ?

Le niveau de perte que votre organisation peut absorber/supporter

Ressources nécessaires au retour à la normale

Tolérance du client à l’égard des temps d’arrêt

Lorsque l’on parle de continuité des activités, vos ressources peuvent couvrir un large éventail de catégories, notamment les applications, les fournisseurs, les installations, le personnel et l’équipement. Chaque ressource peut avoir un RTO unique indiquant la période de temps pendant laquelle une ressource spécifique doit reprendre ses activités après une interruption.

Selon l’ Agence fédérale de gestion des urgences (FEMA), environ 25 % des entreprises ne rouvrent pas leurs portes après une catastrophe. Et, selon un autre rapport, environ 16 % des dirigeants de petites et moyennes entreprises (PME) ne connaissent pas les délais de récupération de leur organisation. Un quart d’entre eux déclarent qu’en cas de sinistre, ils pensent pouvoir récupérer leurs données en 10 minutes ou moins, et près de 30 % d’entre eux affirment que cela pourrait se faire en moins d’une heure.

Malheureusement, il est difficile de conceptualiser et d’identifier les RTO. C’est pourquoi il est important d’examiner de plus près la portée des OTR afin de s’assurer que vous fixez toujours des délais d’OTR appropriés pour vos ressources, en particulier celles qui sont les plus critiques pour vos opérations de base.

En réalité, le RTO dépend de nombreux facteurs et, pour certains, il peut aller de quelques heures à plusieurs semaines/mois. Pour déterminer les RTO appropriés à vos fonctions, tenez compte de l’impact des temps d’arrêt, y compris des différents types d’impact, tels que financier, juridique, opérationnel et de réputation.

Comment identifier un RTO ?

Pour identifier un RTO, posez-vous les deux questions suivantes :

À quel moment, après une perturbation, mon organisation subirait-elle des effets négatifs importants ?

Quels seraient ces impacts ?

Les réponses à ces questions peuvent aider à aligner les « impacts négatifs significatifs » sur l’appétence au risque de votre organisation.

Il est important de noter que si votre équipe de direction accepte un certain niveau de tolérance au risque, vos OTR doivent s’aligner sur ces niveaux de tolérance.

Pour vous aider à mieux identifier les RTO des ressources, alignez vos ressources sur les fonctions de l’entreprise qu’elles soutiennent.

Pensez-y comme suit : Si une fonction de l’entreprise peut être interrompue pendant un certain temps, les ressources nécessaires à l’exécution de cette fonction peuvent également être interrompues pendant ce laps de temps. (Bien sûr, il y a toujours des exceptions, comme les outils de sécurité de l’information qui doivent toujours fonctionner).

Vous devez également prendre en compte les solutions manuelles que votre équipe peut utiliser. S’il existe des solutions manuelles viables, la ressource elle-même peut avoir un RTO plus long parce que les temps d’arrêt n’ont pas un impact aussi important sur la résilience opérationnelle.

Quels sont les exemples de RTO ?

Les RTO varient d’une organisation à l’autre. Voici toutefois quelques exemples de RTO. À quoi ressembleraient ces mêmes RTO pour votre organisation ?

Demande par courrier électronique : 4 heures

Systèmes et services financiers : 1-2 jours

Système de gestion de la relation client (CRM) : 1 jour

Qu’est-ce que le Recovery Point Objective (RPO) ?

Selon la norme ISO 22300:2021un objectif de point de reprise (RPO) est le « point auquel les informations utilisées par une activité sont restaurées pour permettre à l’activité de fonctionner lors de la reprise ; on peut également parler de « perte maximale de données » ».

Le terme RPO s’applique généralement à un système ou à une application qui stocke des données. Les RPO sont des paramètres permettant de déterminer la quantité de données que vous êtes prêt à perdre (ou la quantité de données que vous êtes prêt à réintroduire) entre la sauvegarde et la reprise après sinistre.

Il existe différentes façons d’envisager la perte de données. Par exemple, vous pouvez envisager la perte de données d’un point de vue global (perte d’une base de données complète) ou d’un point de vue transactionnel (perte des mises à jour, fichiers, transactions, etc. de l’adresse [period of time] ).

Lorsque vous parlez de RPO, vous devez faire référence à des données transactionnelles plutôt qu’à des données archivées. Par exemple, un référentiel de contrats juridiques. Votre OPR s’appliquerait aux fichiers nouveaux ou mis à jour, et non aux données historiques.

En d’autres termes, un RPO d’un jour ou une tolérance à la perte de données signifie que vous pourriez perdre un jour de mises à jour ou de téléchargements dans le système.

Lorsque vous déterminez le RPO, envisagez d’autres sources de données, y compris la recréation de données ou de travaux perdus. Si vous disposez d’une source de sauvegarde pour les données – ou si vous pouvez facilement recréer les données – la tolérance à la perte de données peut être plus élevée.

Voici quelques facteurs susceptibles d’influencer votre RPO :

Nombre d’applications et de systèmes critiques

Complexité de ces applications et systèmes

Volume de données

Méthodes de sauvegarde des données

Fréquence de modification des données

Fréquence de sauvegarde des données

Stockage et accessibilité des données

Ressources internes

Il est intéressant de noter que la fréquence des sauvegardes de votre organisation peut avoir le plus grand impact sur votre RPO, mais la fréquence est parfois négligée dans la planification de la résilience.

Bien que de nombreuses organisations (la plupart, espérons-le) effectuent des sauvegardes régulières de leurs données et de leurs systèmes, ces sauvegardes peuvent ne pas être effectuées à la fréquence dont l’organisation a réellement besoin, ce qui n’est souvent découvert qu’après un sinistre ou une perturbation importante.

Si ces sauvegardes sont si importantes, pourquoi les organisations ne les effectuent-elles pas plus fréquemment ?

Dans de nombreux cas, les sauvegardes fréquentes sont prohibitives. Plus votre organisation possède de données et plus celles-ci sont répliquées et stockées fréquemment, plus vous avez besoin d’espace de stockage, ce qui se traduit rapidement par une augmentation des coûts.

Pourquoi est-ce important ?

En effet, en cas de sinistre ou d’interruption, vous pouvez anticiper la possibilité de perdre des données. Votre RPO vous aide à déterminer la quantité de données que vous pouvez risquer de perdre, en fonction du temps qui s’écoule entre votre sauvegarde la plus fréquente et le retour à la normale.

Différences entre RTO et RPO

Bien que les RTO et les RPO soient liés, il existe des différences. Alors que les RTO se réfèrent à l’avenir (le temps dont vous disposez pour récupérer), les RPO se réfèrent au passé (quand a eu lieu votre dernière meilleure sauvegarde de données et combien de temps vous faut-il pour la restaurer).

Les délais de récupération des données (RPO) varient de 0 heure à quelques jours, en fonction de divers facteurs.

Les RTO et RPO sont des facteurs importants dans la planification de la reprise après sinistre et de la continuité des activités. Si vous ne connaissez pas vos RTO et RPO, l’essentiel de votre planification de la résilience risque d’être inutile, en particulier si vous sous-estimez la durée pendant laquelle votre organisation peut survivre à un temps d’arrêt ou le volume de données qu’elle peut perdre tout en restant en vie.

Et si certaines organisations connaissent leurs propres paramètres liés au temps, les commentaires du secteur suggèrent que, dans l’ensemble, nous ne faisons pas un bon travail d’exploration des RTO de nos vendeurs et fournisseurs. Les RTO des fournisseurs et des prestataires peuvent avoir un impact direct sur vos propres mesures de récupération et les fausser.

Comment les termes RTO et RPO sont-ils utilisés dans les programmes de continuité d’activité et de reprise après sinistre ?

Les RTO et RPO sont couramment utilisés :

Prioriser les fonctions de l’entreprise en cas de perturbation, en indiquant à la direction quelles fonctions doivent être mises en place à quel moment.

Effectuer une analyse des écarts par rapport aux délais de récupération possibles afin d’identifier les risques liés à la continuité des activités et à la reprise après sinistre.

Choisir les stratégies de récupération et de sauvegarde appropriées pour les ressources/données, y compris le montant que votre organisation dépensera pour des solutions de contournement/alternatives.

RTO et RPO : Comment Castellan peut aider votre organisation à assurer la continuité de ses activités

Les délais d’exécution et les délais d’intervention définissent les exigences fondamentales de vos programmes de continuité des activités et de reprise après sinistre. Il est important de comprendre et de définir ces termes dès le début de votre programme et de réévaluer régulièrement vos RTO et RPO au fur et à mesure de l’évolution de votre organisation.

Avez-vous besoin d’aide pour mieux comprendre les RTO et RPO et le rôle qu’ils jouent dans la résilience de votre organisation ? Contactez dès aujourd’hui un conseiller Castellan dès aujourd’hui et nous serons heureux de vous aider à répondre à toutes vos questions.

Qu’est-ce que l’objectif de temps de récupération (RTO) ?

Comment identifier un RTO ?

Quels sont les exemples de RTO ?

Qu’est-ce que le Recovery Point Objective (RPO) ?

Différences entre RTO et RPO

Comment les termes RTO et RPO sont-ils utilisés dans les programmes de continuité d’activité et de reprise après sinistre ?

RTO et RPO : Comment Castellan peut aider votre organisation à assurer la continuité de ses activités

Ready to Talk?

Work with us.

Connect with us.

RTO et RPO : Quelle est la différence et comment sont-elles utilisées ?

Qu’est-ce que l’objectif de temps de récupération (RTO) ?

Comment identifier un RTO ?

Quels sont les exemples de RTO ?

Qu’est-ce que le Recovery Point Objective (RPO) ?

Différences entre RTO et RPO

Comment les termes RTO et RPO sont-ils utilisés dans les programmes de continuité d’activité et de reprise après sinistre ?

RTO et RPO : Comment Castellan peut aider votre organisation à assurer la continuité de ses activités

Share This, Choose Your Platform!

Related Posts

7 étapes pour créer une culture de sensibilisation aux risques

5 étapes pour protéger votre résilience contre les intempéries

Comment atténuer la douleur causée par les attaques de ransomware ?

Ready to Talk?

Work with us.

Connect with us.