Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>
Comment acheterDemander une démonstration

RTO et RPO : Quelle est la différence ?

Hubert BrychczynskiHB

L'objectif de temps de récupération (RTO) et l'objectif de point de récupération (RPO) sont deux paramètres clés dans les plans de reprise après sinistre et de protection des données. Ils aident à déterminer la bonne stratégie pour protéger la continuité des affaires (RTO) et maintenir l'intégrité des données (RPO). 

Continuez à lire ce guide pour en savoir plus sur RTO, RPO et comment les utiliser pour renforcer la résilience des données de votre organisation. 

Qu'est-ce que le RTO ?  

Un objectif de temps de récupération (RTO) est le temps maximum acceptable entre un sinistre et la récupération après lequel une entreprise subit des dommages critiques. 

Définir le RTO revient à poser cette question : Combien de temps pouvons-nous rester à l'arrêt après une interruption sans impact considérable sur notre entreprise ? 

Qu'est-ce que le RPO ? 

Un objectif de point de récupération (RPO) est le temps maximum acceptable entre la dernière copie de sauvegarde et maintenant. Dans ce contexte, « maintenant » fait référence à toutes les données actuellement stockées en production. 

Définir le RPO soulève la question : Combien de données pouvons-nous perdre confortablement lors d'un incident de sécurité avant que cela n'affecte notre entreprise ? 


Remarque : Bien que le RPO décrive la quantité de données, il est exprimé en unités de temps, et non en unités de stockage. Cela est dû au fait que les données s'accumulent à un rythme variable, donc nous ne pouvons pas prédire la quantité exacte qui sera générée. Pour cette raison, le temps est le moyen le plus fiable de mesurer le RPO. 

RTO vs. RPO 

La principale différence entre RPO et RTO réside dans leur objectif. Le RTO soutient la continuité des affaires, tandis que le RPO se concentre sur les données. En d'autres termes, le RTO protège l'avenir. Le RPO protège le passé. 

 

Objectif de temps de récupération (RTO) 

Le RTO protège les données les plus récentes, vous permettant de récupérer les changements les plus récents, ce qui est important pour maintenir les entreprises opérationnelles.  

Améliorer le RTO nécessite d'investir dans du matériel performant optimisé pour le cas d'utilisation de récupération, y compris le support pour l'équilibrage de charge et la récupération instantanée, qui peut exécuter des charges de travail échouées directement à partir des sauvegardes. 

Le RTO est appelé objectif de temps de récupération car il s'agit de minimiser le temps de récupération. 

 

Objectif de point de récupération (RPO) 

Le RPO protège toutes les données que votre entreprise a collectées jusqu'à présent. Le RPO repose sur les sauvegardes, et la relation est simple : plus les sauvegardes sont fréquentes, meilleur est le RPO, et moins de données sont à risque d'être perdues.   

Nous appelons le RPO un objectif de point de récupération car il définit le dernier point de sauvegarde des données. Par exemple, un RPO de 0 nécessiterait que chaque changement de données soit dupliqué en temps réel, éliminant les écarts entre la sauvegarde et la production. Cette approche est appelée protection continue des données (CDP). 

Dans sa forme stricte, la protection continue des données peut réduire le RPO à zéro, mais elle est si gourmande en ressources que peu d'entreprises l'appliquent à la lettre. 

L'importance du RTO et du RPO 

La vérité est que les entreprises ne veulent subir aucun temps d'arrêt ni perte de données. Les considérer comme « acceptables » ou « confortables » peut vous rendre… eh bien, mal à l'aise. 

Cependant, consacrer du temps à calculer le RTO et le RPO vous donnera, paradoxalement, le confort de savoir que votre organisation peut résister à un sinistre. 

D'autres avantages du RTO et du RPO pour votre entreprise incluent : 

  • Meilleure préparation aux sinistres. Le RTO et le RPO informeront votre stratégie de récupération globale et la rendront plus réaliste. Ils vous indiqueront les bonnes ressources, étapes et protocoles pour atténuer la perte de données et la perturbation des affaires. 
  • SLA réalistes et fiables. Une fois que vous connaissez le RTO et le RPO réalisables pour votre entreprise, vous pouvez les inclure dans votre accord de niveau de service et les fournir en toute confiance. 
  • Division du travail optimisée. Le RTO et le RPO aideront également à concevoir et à rationaliser les flux de travail des employés en cas d'incident. Encore une fois - lorsque vous avez un objectif clair ancré dans la réalité, vous pouvez facilement planifier et déléguer des tâches autour de cela. 

Comment calculer le RTO et le RPO ? 

Suivez les étapes ci-dessous pour rassembler les bonnes informations et les utiliser pour calculer le RTO et le RPO dans votre organisation. 

 

Étape 1 : Interviewer 

Demandez à votre direction et à votre management de classer les systèmes et applications de l'organisation du plus critique au moins critique pour la continuité des affaires et les revenus. 

 

Étape 2 : Catégoriser 

Armé de ces informations, classez les systèmes en niveaux. Par exemple, attribuez les applications les plus critiques au niveau 1, les moins critiques au niveau 2, et les moins critiques au niveau 3. 

 

Étape 3 : Examiner 

Maintenant, imaginez qu'il y a une interruption de service due à un incident de sécurité. Passez en revue chaque système un par un, en supposant qu'il a été compromis, et déterminez ce qui suit : 

RTORPO
La fréquence de l'interruption. 

Perte de données estimée en fonction des horaires de sauvegarde existants. 

Sa durée moyenne. Le coût de la perte de données projetée. 
Le coût d'un temps d'arrêt par minute. Le coût de la reproduction des données perdues – en termes de travail humain, par exemple.
L'accord de niveau de service (SLA) si applicable.  
Le potentiel de perte de clients ou d'insatisfaction.  
Impact potentiel sur d'autres systèmes.  

Tableau 1. Liste de vérification pré-évaluation pour RTO et RPO. 

 

Étape 4 : Calculer 

Avec les données de l'étape 3, utilisez les questions ci-dessous pour déterminer les bons indicateurs pour votre entreprise. 

Détermination du RTO Détermination du RPO 
Quel est le temps d'arrêt maximum acceptable ? 

Quelle est la fréquence des sauvegardes dans les différents départements de votre organisation ? 

Quelles sont les ressources nécessaires pour rester dans cette limite ? Que dit votre plan de continuité des affaires sur le RPO et les horaires de sauvegarde ? 
Combien de temps faudra-t-il pour déployer les procédures nécessaires ? Quelles sont les normes de l'industrie pour la fréquence des sauvegardes en fonction de la criticité des systèmes (niveaux) ? 
Votre RTO est le temps d'arrêt maximum acceptable plus le temps nécessaire pour rassembler les ressources. Le RPO de votre organisation doit s'aligner sur le système le plus fréquemment sauvegardé, votre plan de continuité des affaires et les normes de l'industrie.

Tableau 2. Liste de contrôle pour le calcul de RTO et RPO 

Meilleures pratiques pour RTO et RPO 

Dans un monde parfait, RTO et RPO devraient toujours être égaux à zéro. Mais la vie étant ce qu'elle est, les métriques ne correspondront probablement pas à cet idéal. Néanmoins, voici quelques meilleures pratiques que vous pouvez encourager au sein de votre organisation pour réduire RTO et RPO : 

  • Planifiez des sauvegardes fréquemment. La règle est simple : plus vos sauvegardes sont fréquentes, meilleur est votre RPO. De plus, assurez-vous de conserver les données les plus sensibles sur des sauvegardes immuables pour une sécurité supplémentaire.   
  • Exploitez la redondance. Suivez un schéma de réplication des données. La réplication n'est pas un substitut aux sauvegardes, mais elle ajoute une couche de sécurité supplémentaire pour votre entreprise. 
  • Tests et validation. Même les meilleurs RTO et RPO ne sont qu'un produit de votre imagination tant que vous ne les testez pas et ne les validez pas dans des circonstances réelles. 
  • Récupération basée sur les priorités. Rendez votre récupération après sinistre efficace en ressources : priorisez vos systèmes et restaurez d'abord les plus critiques. 
  • Automatisation. Profitez de l'automatisation pour gérer vos plannings de sauvegarde, mais n'oubliez pas de vérifier si cela continue de s'aligner avec votre stratégie commerciale. 
  • Stockage hors site. Suivez la règle de sauvegarde 3-2-1 pour rendre vos sauvegardes encore plus sécurisées : trois copies de sauvegarde identiques sur deux supports différents, et l'une d'elles hors site, afin qu'elle ne soit pas affectée par des catastrophes locales telles que des inondations. 

Comment Ootbi peut-il aider dans la récupération après sinistre ? 

En fin de compte, RTO et RPO dépendent de la sécurité, de la simplicité et de la puissance de votre système de sauvegarde et de récupération. 

Ootbi (Immutabilité prête à l'emploi) par Object First est un appareil de sauvegarde conçu spécifiquement pour les clients Veeam qui répond à tous ces critères. 

  • Ootbi est sécurisé. Résistant aux ransomwares et immuable dès sa sortie de l'emballage, Ootbi est conçu selon les derniers Résilience des données Zero Trust principes, avec un accès root nul, une segmentation intégrée et plusieurs zones de résilience. 
  • Ootbi est simple. Installé, empilé et alimenté en moins de 15 minutes sans expertise technique requise, Ootbi est maintenu et optimisé automatiquement par le fournisseur. 
  • Ootbi est puissant. Conçu avec la performance à l'esprit, Ootbi évolue de manière linéaire en quelques minutes et prend en charge des vitesses de sauvegarde allant jusqu'à 4 Go/s et une récupération instantanée testée à grande échelle avec jusqu'à 80 VM fonctionnant sur un cluster à quatre nœuds. 

D'autres ont amélioré leurs métriques avec Ootbi. Par exemple, Centerbase, une solution de gestion de pratique juridique, a réduit son RPO de 50 %. Voici ce qu'ils ont dit : 

Utilisez Ootbi pour améliorer vos métriques également. Réservez une démo gratuite aujourd'hui, et laissez nos ingénieurs vous montrer la magie derrière la boîte. Réservez une démo 

FAQ 

Quels sont des exemples de RTO et RPO ? 

Dans le cas de RTO, supposons qu'une attaque par ransomware désactive votre serveur web, rendant votre site web inaccessible aux clients. Sur la base de calculs antérieurs, le temps d'arrêt maximal acceptable pour ce système est de 1 heure. Après cela, vous commencerez à perdre du trafic, des clients et de la réputation. Par conséquent, le serveur web doit être restauré à pleine capacité dans cette fenêtre de temps. 

Dans le cas de RPO, disons que votre analyse montre que la copie de sauvegarde la plus récente des données du serveur web ne doit pas être plus ancienne qu'une heure. Vous ne voulez pas perdre les enregistrements et transactions des clients au-delà de ce point dans le temps. Par conséquent, tant que la dernière sauvegarde du serveur web a été effectuée dans les 60 minutes suivant l'incident, vos exigences en matière de RPO seront satisfaites. 

 

Qu'est-ce que la récupération après sinistre ? 

La récupération après sinistre est un plan d'action détaillé qui vise à prévenir les incidents de sécurité et à atténuer leurs conséquences s'ils se produisent. RTO et RPO sont essentiels, mais ne sont pas les seuls éléments d'une stratégie de récupération après sinistre. 

Actualités produit

En soumettant ce formulaire, je confirme avoir lu et approuvé la Politique de confidentialité.