L’usage d’une solution Cloud comme support de PRA s’est aujourd’hui démocratisé en raison de la souplesse et des économies financières réalisées au regard d’une solution d’hébergement dédiée. On parle alors de « PRA dans le Cloud » (ou « Cloud DRP »), voire de « PRA as a Service ».
Mais, dans le cas d’un usage du Cloud en tant que solution primaire d’hébergement (type IaaS public), le PRA est un sujet parfois négligé ou simplement oublié. Avec une solution d’hébergement Cloud, la problématique de disponibilité est très focalisée sur le réseau (Internet) et concernant l’hébergement des machines/services, le haut niveau de disponibilité apporté par la virtualisation sous‑jacente occulte la nécessité de s’intéresser à des cas de sinistre plus importants qu’une simple panne matérielle.
Le sinistre intervenu chez Amazon en 2011 sur son offre EC2 est là pour le rappeler. L’interruption de service avait duré plusieurs jours pour certains clients et des données avaient également été perdues. Le sinistre avait une origine humaine ; un sinistre matériel de plus grande ampleur aurait probablement eu des conséquences encore plus catastrophiques.
Pourquoi faut-il se poser la question du PRA ? Parce qu’un PRA coûte cher. A ce titre, dans un contexte où les offres Cloud ont pour principal argument de faire baisser les coûts de production, le service PRA n’est souvent pas inclus nativement dans le contrat passé entre le client et le fournisseur de services Cloud.
les difficultés à appréhender
Par rapport à un hébergement classique (cf. moyens dédiés), le Cloud engendre des difficultés spécifiques dans un contexte PRA, notamment :
- Le client ne maitrise pas la localisation des données et des ressources utilisées (computing, moyens réseau). Il est donc difficile d’appréhender les risques associés (notamment ceux d’origine naturelle).
- Le client a très peu de visibilité sur les architectures et infrastructures sous-jacentes. Il est donc difficile de juger le niveau d’engagement du fournisseur de services Cloud, notamment dans sa capacité à respecter les SLA ainsi que les DMIA/PDMA du PRA.
- Les infrastructures Cloud sont mutualisées avec d’autres clients. Cela complexifie le test d’un PRA pour un client en particulier, notamment d’un point de vue représentativité (le test PRA peut même être impossible). D’autre part, l’impact d’un sinistre est souvent étendu à un ensemble de client assez important (Quid de la capacité du fournisseur à gérer plusieurs PRA en parallèle ?).
les questions essentielles à se poser
Au-delà de la démarche inhérente à la mise en place d’un PRA (BIA, analyse de risques, etc.), un hébergement externalisé dans cloud impose donc de se poser quelques questions spécifiques lors de la phase de contractualisation.
Toutes ces questions ont pour objectif d’appréhender les risques auxquels peut être exposée l’infrastructure du fournisseur de services cloud et de s’assurer que celui-ci sera en mesure de respecter les exigences de continuité d’activité du client.
Les principales questions à se poser sont les suivantes :
- Le fournisseur de services Cloud est-il en mesure de préciser la localisation des données et des machines virtuelles (computing) ? Ou de préciser les sinistres auxquels ses services sont potentiellement exposés ?
- Le fournisseur de services Cloud propose-t-il un PRA intégré (de manière native ou optionnelle) ?
- En cas de PRA, quelles sont les différentes valeurs possibles pour les DMIA (RTO) et PDMA (RPO) ?
- Où sont localisés le(s) site(s) de secours pour le PRA ? Comment ces sites de secours sont-ils desservis d’un point de vue réseau ?
- La convention de service passée avec le fournisseur de services comporte-t-elle des clauses contractuelles détaillées sur le PRA ? (En cas de PRA, il est important de préciser les rôles et responsabilités de chacune des parties prenantes)
- Quel est le niveau d’intégrité assuré par le PRA (OS / file system, middleware / applicatifs, données)
- Comment sont réalisés les tests PRA ?
la stratégie à adopter
Deux approches sont possibles :
Soit le fournisseur de services Cloud est en mesure de proposer un PRA intégré au contrat d’hébergement nominal (nativement ou sous la forme d’une option).
Soit le fournisseur de services Cloud ne propose pas de PRA intégré, auquel cas, il est possible d’opter pour une solution de PRA as a Service, éventuellement chez un tiers. A noter qu’il est primordial de s’assurer de l’indépendance du fournisseur de services PRA par rapport au fournisseur de services Cloud nominal, notamment d’un point de vue localisation géographique.
En conclusion, opter pour un hébergement dans le Cloud permet à priori de faire abstraction de certaines problématiques techniques en se reposant principalement sur les SLA, mais il est tout de même nécessaire de conserver une visibilité technique sur la solution proposée par le fournisseur ; la problématique PRA en est l’illustration. Le client a ainsi la responsabilité de vérifier que le fournisseur de services Cloud est apte à respecter son engagement contractuel par une justification technique de sa solution.
pour en savoir plus sur le PRA et le PCA : PRA/PCA
Christophe Guillou
crédit photo : © vectomart - Fotolia.com
Consultant au sein d'Orange Consulting, l'entité conseil d'Orange Business, j’accompagne nos clients pour intégrer la sécurité au cœur de ses projets, sur les aspects techniques et organisationnels. Mes domaines d’intervention concernent plus particulièrement les architectures réseau et sécurité, notamment dans le contexte Cloud, ainsi que les problématiques de continuité d’activité.