Les termes RTO (Recovery Time Objective) et RPO (Recovery Point Objective) sont étroitement liés au Plan de Reprise d’Activité (PRA), partie intégrante de la stratégie de Cyber-résilience d’une entreprise.
Au préalable de la construction d’un PRA il faut réaliser un Bilan d’Impact sur l’Activité et définir les RTO et RPO. Ce sont les bases pour identifier et analyser les stratégies à inclure dans votre plan de continuité d’activité.
A première vue les termes RPO et RTO semblent très similaires, en réalité ils définissent deux notions bien spécifiques. Une bonne façon de se souvenir de leur différence est de prendre les 2 premières lettre RT : « Temps de Reprise » et RP : « Paramètres de Reprise »
Le RPO : Recovery Point Objective
Le RPO est l’intervalle de temps correspondant à la quantité maximale de données perdue acceptable par l’entreprise. En d’autres termes, le RPO est la fraîcheur des données à restaurer en cas d’interruption. Cette notion détermine les objectifs et la stratégie de sauvegarde.
Par exemple : L’entreprise a défini un RPO de 24h maximum. Un de ses serveur est en panne à 10h. L’entreprise va restaurer la dernière sauvegarde, qui date de 18h la veille. La fraîcheur des données sera donc de 16h, l’objectif est validé.
Le RPO se définit en fonction de l’analyse des risques et du bilan d’impact sur l’activité. Cela doit être réalisé avant la construction du projet PRA.
Un RPO de 24h peut être suffisant pour des serveurs dont la volumétrie est faible. Dans ce cas une seule sauvegarde sera effectuée en fin de journée. Pour des machines où la volumétrie de données modifiées est importante, type base de données (SQL), un RPO plus court peut-être nécessaire. Dans ce cas, des sauvegardes plus fréquentes sont réalisées (généralement en mode bloc).
Dans un PCA (Plan de Continuité d’Activité) le RPO est de quelques secondes. La réplication est dite synchrone et garantit une correspondance parfaite entre les données de la source et de la cible. La réplication synchrone est au premier abord la meilleure solution, en réalité, elle est très coûteuse et exige un débit internet très important.
Le RTO : Recovery Time Objective
Le RTO est la durée maximale d’interruption acceptable. Plus précisément, cela correspond à l’intervalle de temps maximum entre le moment de la notification de l’incident et la reprise normale du service.
Le RTO est défini en fonction des besoins métier et du temps d’arrêt que peut accepter l’entreprise. Il est possible de définir un RTO différent en fonction des machines dans le périmètre du PRA. En effet, une application nécessaire à la production de l’entreprise devra avoir un RTO plus court, alors qu’un autre serveur moins critique pourra avoir un RTO plus long.
Par exemple : un ERP nécessaire à la production devrait avoir un RTO plus court qu’un serveur de documentation, moins critique à l’activité de l’entreprise.
Autre facteur à analyser pour définir le RTO : la taille des machines à restaurer, car les temps de restauration peuvent être plus longs.
Le RTO et le RPO dans le cadre d’un Plan de Reprise d’Activité Informatique
Les entreprises qui ont conscience des risques qui planent sur leurs systèmes d’information (incident, sinistre, panne, cyberattaque) mettent en place un Plan de Reprise d’Activité Informatique. Celui-ci permet d’organiser les processus qui pourront assurer la reprise des activités de l’entreprise.
Pour cela, la définition du RTO et RPO est un étape obligatoire. A savoir quand même, le RTO et le RPO sont fortement corrélés au prix des solutions de PRA. En effet, plus le temps de RTO et RPO seront faibles plus les coûts seront élevés. Là aussi il faudra évaluer le budget acceptable avant la mise en place de votre PRA !
