Une stratégie de reprise après sinistre se concentre sur la restauration des systèmes et infrastructures critiques après une perturbation. Dans cet article, nous explorerons comment mesurer la préparation de systèmes ou actifs spécifiques pour la reprise après sinistre et calculer l’état de préparation global en agrégeant les données des actifs individuels.
Au-delà de la reprise après sinistre pour l’informatique
Avec une moyenne de 4,2 perturbations annuelles liées aux données1, nous observons une tendance croissante à élargir la reprise après sinistre informatique et à l’aligner avec la fonction GRC globale.
Dans le même temps, un nombre croissant d’événements perturbateurs, notamment des conditions météorologiques extrêmes, incite les organisations à aller au-delà de la simple continuité des activités pour envisager un champ d’application plus large2 de la reprise après sinistre, y compris la récupération des infrastructures, la récupération des installations, la récupération opérationnelle, et plus encore.
L’approche de mise en œuvre de la stratégie, basée sur une stratégie alignée et des tableaux de bord fonctionnels, permet aux organisations d’adapter les principes d’un tableau de bord de reprise après sinistre informatique à ce champ d’application plus large et de l’intégrer dans la stratégie globale de l’entreprise.
Étape 1. Analyse de l’impact et des risques pour l’entreprise
Commencez la conception d’une fiche de récupération après sinistre avec certaines étapes d’analyse et de planification3 :
- Analyse de l’impact sur l’entreprise pour identifier les actifs critiques
- Analyse des risques pour identifier les effets potentiels de l’incertitude sur l’entreprise
- Planification de scénarios pour explorer comment les risques identifiés pourraient impacter les actifs critiques
Selon la complexité des systèmes et des parties prenantes impliquées, le processus d’analyse peut être formalisé à l’aide de fiches fonctionnelles. Par exemple :
- Fiche de continuité des activités avec cartographie des actifs et suivi des incidents.
- Registre central des risques avec identification et analyse des risques.
- Fiche de scénarios pour analyser les indicateurs d’alerte précoce et planifier les stratégies de réponse.
Étape 2. Établir les objectifs de point de récupération et de temps de récupération
Dans cette étape, nous établissons :
- Objectif de point de récupération (perte acceptable, telle qu’une perte de données acceptable), et
- Objectif de temps de récupération (temps d’arrêt opérationnel acceptable).
Pour les calculs de tableau de bord, nous définirons d’abord des indicateurs pour un système ou un actif spécifique, puis nous les combinerons en un score de conformité global.
Indicateurs clés de performance de reprise après sinistre pour un système spécifique
Lorsqu’elles se concentrent sur la reprise après sinistre en informatique, les organisations peuvent suivre des indicateurs tels que la fiabilité, le temps de récupération et le point de récupération pour évaluer et améliorer leurs stratégies.
Métriques de fiabilité
- Temps moyen entre les pannes (MTBF) : Temps entre les pannes réparables du système.
- Temps moyen avant la panne (MTTF) : Temps entre les pannes non réparables du système, tel que la durée de vie totale d’un système.
Métriques de temps de récupération
- Temps moyen de récupération (MTTR)
- Objectif de temps de récupération (RTO) : Temps d’arrêt maximal autorisé après une perturbation ou le MTTR cible.
Modèle de tableau de bord de reprise après sinistre. Métriques de point de récupération
- Fréquence réelle de sauvegarde
- Objectif de point de récupération (RPO) : Durée maximale acceptable de perte de données ou l’objectif pour la fréquence de sauvegarde.
Calcul des performances : Linéaire vs. Binaire
Il existe deux approches populaires pour calculer la performance des indicateurs de reprise après sinistre :
- Fonction d’optimisation linéaire
- Fonction d’optimisation binaire
Par exemple, les indicateurs de fiabilité dans notre modèle sont configurés comme des fonctions d’optimisation linéaire. Cela signifie que la performance s’améliore progressivement à mesure que la valeur de l’indicateur augmente, passant de la référence à l’objectif.
Exemple
Le MTBF pour un système de gestion de la relation client (CRM) a un objectif de 10 000 heures, avec une valeur réelle de 8 000 heures.
Disaster Recovery Scorecard Template. - En utilisant une fonction linéaire, la performance est calculée à 80 % (= 8 000 / 10 000).
- En utilisant une fonction binaire, la performance est de 0 % car l’objectif de 10 000 heures n’a pas été atteint.
Disaster Recovery Scorecard Template. Les fonctions de performance binaires sont souvent utilisées pour le MTTR :
- Si le MTTR est inférieur ou égal au RTO, la performance est de 100 %.
- Si le MTTR dépasse le RTO, la performance est de 0 %.
Objectif de temps de récupération en tant qu’indicateur distinct
MTTR a une valeur actuelle et une valeur cible. La valeur cible correspond à l’indicateur actuel « Objectif de temps de récupération (RTO) ».
Bien qu’il soit possible de supprimer l’indicateur RTO et de définir directement la cible pour le MTTR, les exigences de conformité et de rapport nécessitent souvent de les suivre séparément. Par conséquent, le RTO est maintenu comme un indicateur distinct.
Définitions des risques
La formulation d’une stratégie de reprise après sinistre commence par une analyse d’impact sur l’entreprise et une analyse des risques. Certains risques sont enregistrés dans un registre central des risques, tandis que des risques plus spécifiques peuvent être liés au tableau de bord de reprise après sinistre pour des actifs individuels.
Modèle de tableau de bord de reprise après sinistre. L’essentiel est d’assurer une connexion claire entre les résultats de l’analyse d’impact ou de risque et les métriques de reprise pour des systèmes d’entreprise spécifiques. Par exemple, pour les actifs Serveurs Web, les risques de « Vulnérabilités exploitées » et « Attaques DDoS » ont été définis localement.
Surveillance continue de la stratégie de reprise après sinistre
Les indicateurs de reprise après sinistre évoluent au fil du temps :
- Les objectifs peuvent être ajustés en fonction des modèles de risque mis à jour.
- Les données réelles sont mises à jour avec des performances historiques.
Les considérations clés incluent :
- La fréquence des mises à jour ou des révisions des indicateurs.
- La gestion des périodes sans données, par exemple, s’il faut hériter des données ou afficher uniquement les données saisies explicitement.
Mise en œuvre via synchronisation à partir d’un modèle
Pour faciliter la mise en œuvre des métriques et contrôles de reprise après sinistre, envisagez d’utiliser la fonction de synchronisation à partir d’un modèle :
- Créer un ensemble de métriques pour évaluer un actif.
- Créer des répliques qui seront synchronisées à partir du modèle.
En savoir plus sur la fonction de synchronisation.
Calcul global de conformité
Pour évaluer la préparation globale, nous combinons la performance des actifs individuels. Si nécessaire, des pondérations peuvent être appliquées pour refléter l’importance relative de chaque actif.
Alternativement, la conformité globale peut être calculée en utilisant l’approche du chemin critique, en se concentrant sur la performance des systèmes critiques.
Par exemple, dans notre modèle :
- Conformité RPO (Chemin critique) inclut des actifs avec des objectifs de point de récupération (RPO) de 24 et 12 heures. Le RPO global est le minimum de ces valeurs, c’est-à-dire 12 heures.
- Si même un actif ne parvient pas à atteindre son RPO (par exemple, « RPO pour la gestion des stocks »), le RPO global n’est pas atteint.
Les tableaux de bord totaux pour les métriques de temps de récupération et de point de récupération peuvent être utilisés comme source de données pour le tableau de bord de conformité et d’autres tableaux de bord fonctionnels liés à la GRC.
Tableau de bord de préparation à la reprise après sinistre
Les indicateurs clés de la fiche de notation de la reprise après sinistre peuvent être visualisés sur un tableau de bord aux côtés des diagrammes de risque et des initiatives d’amélioration.
Modèle de fiche de notation de reprise après sinistre. Une carte stratégique offre une vue claire des systèmes spécifiques et de leur performance agrégée, offrant une vue d’ensemble complète.
Modèle de fiche de notation de reprise après sinistre. Étape 3. Établir des contrôles internes pour la reprise après sinistre
La définition des indicateurs de reprise après sinistre (Étape 2) permet à l’organisation d’établir des niveaux acceptables de perte et de récupération, ainsi que de quantifier sa préparation aux événements perturbateurs. Cependant, ces indicateurs n’incluent pas de plans d’urgence spécifiques, de cartographies des responsabilités4, ni de procédures de validation et de test. Pour y remédier, des contrôles internes appropriés doivent être conçus.
Dans des articles précédents, nous avons discuté de l’approche générale de mise en place de contrôles internes, ainsi que de leur application pratique dans le domaine de la continuité des activités.
Dans le contexte de la reprise après sinistre, la plupart des
Parties prenantes et propriétaires
Impliquer les parties prenantes clés est crucial pour le succès d’une stratégie de reprise après sinistre 5. Sur le plan pratique, la responsabilisation peut être renforcée en attribuant des propriétaires aux indicateurs et initiatives de reprise après sinistre.
Session : 'BSC Designer for Disaster Recovery Scorecard' est disponible dans le cadre du programme d'apprentissage continu de BSC Designer, proposé à la fois en atelier en ligne et sur site. En savoir plus....
Conclusions
Le tableau de bord de reprise après sinistre informatique combine diverses approches de mesure de performance.
Lors de la quantification des actifs ou systèmes spécifiques, nous nous appuyons sur :
- Temps moyen entre les pannes (MTBF) et Temps moyen avant la panne (MTTF) pour estimer la fiabilité.
- Objectif de temps de récupération (RTO), qui établit la cible pour le Temps moyen de récupération (MTTR).
- Objectif de point de récupération (RPO), qui établit la cible pour la Fréquence de sauvegarde.
La performance de ces métriques est généralement calculée comme une fonction binaire, où la performance est de 0 % jusqu’à ce que la valeur réelle atteigne l’objectif de récupération.
Les métriques de récupération pour des actifs ou systèmes individuels peuvent être combinées (par exemple, en utilisant l’approche du chemin critique) pour calculer le score global de préparation ou de conformité.
Utiliser le modèle Disaster Recovery
BSC Designer aide les organisations à mettre en œuvre leurs stratégies complexes :
- Inscrivez-vous pour un plan gratuit sur la plateforme.
- Utilisez le modèle
Disaster Recovery comme point de départ. Vous le trouverez dans Nouveau > Nouveau tableau de bord > Plus de modèles. - Suivez notre Système de mise en œuvre stratégique pour aligner les parties prenantes et les ambitions stratégiques dans une stratégie globale.
Commencez dès aujourd'hui et voyez comment BSC Designer peut simplifier la mise en œuvre de votre stratégie !
- IDC, L’état de la reprise après sinistre et de la cyber-récupération, 2024–2025 : Prendre en compte l’IA, 2024, IDC ↩
- Guide du cadre de reprise après sinistre, 2020, Groupe de la Banque mondiale ↩
- Concevez votre organisation pour résister aux catastrophes futures, M. Reeves, K. Whitaker, Harvard Business Review, 2022. ↩
- Scorecard de résilience aux catastrophes pour les villes, UNDRR, 2024. ↩
- Disaster Resilience Scorecard for Cities, UNDRR, 2024. ↩
Alexis est un consultant en stratégie senior et PDG de BSC Designer, avec plus de 20 ans d’expérience en planification stratégique. Avec une formation en mathématiques appliquées et en technologies de l’information, il apporte une perspective analytique et orientée systèmes à la gestion de la stratégie et de la performance. Alexis a développé le « Système de mise en œuvre de la stratégie en 5 étapes » qui aide les entreprises à mettre en œuvre leurs stratégies de manière pratique. Il est un conférencier régulier lors de conférences industrielles et a écrit plus de 100 articles sur la stratégie et la gestion de la performance, ainsi que le livre « Système KPI en 10 étapes ». Son travail est fréquemment cité dans la recherche académique.