mardi 11 février 2014

Le Disaster Recovery as a Service (DRaaS) révolutionne-t-il le plan de reprise IT ?

A lire sur: http://www.it-expertise.com/le-disaster-recovery-as-a-service-draas-revolutionne-t-il-le-plan-de-reprise-it/

17 déc 2013, by Aurelie Magniez


La continuité d’activité, avec la mise en place de plans assurant la reprise après un sinistre, est devenue un sujet central pour les entreprises.

Intéressant à l’origine plus particulièrement le monde de la finance, soumis à de fortes réglementations (Bâle III, SOX), la nécessité d’assurer la continuité de l’activité en cas de crise s’est étendue aux autres secteurs, également soumis à de nouvelles réglementations (1), notamment les entreprises appartement aux Opérateurs d’Importance Vitale (OIV) : hôpitaux, entreprises de transports, opérateurs d’eau et d’électricité…

L’importance croissante du système d’information en tant que support aux processus opérationnels impose aux entreprises de se doter, dans le cadre de leur Plan de Continuité d’Activité (PCA), d’un plan de reprise IT ou plan de secours informatique que nous désignerons par son appellation anglo-saxonneDisaster Recovery Plan (DRP).

Le principe général du DRP est de « répliquer » les données et services IT utilisés par l’entreprise sur un site (de secours), qui ne serait pas soumis aux mêmes risques de sinistre que les infrastructures principales.

Le principal frein pour la mise en place d’un tel dispositif, outre sa relative complexité logistique et technique, est en général son coût. Le DRP représente en effet un investissement et une charge de maintien en condition opérationnelle importants, pour une rentabilité d’utilisation relative, n’étant potentiellement activé qu’en cas de crise liée à un sinistre.

C’est pourquoi les dispositifs mis en place se limitent en général à ne rétablir que les services IT supportant les activités critiques et vitales de l’entreprise, la mettant potentiellement en danger en cas de crise prolongée.

La volonté de réduction des coûts d’investissement pour le DRP amène aujourd’hui les entreprises à se tourner vers des opérateurs du « cloud » offrant des catalogues de services IT adaptés aux besoins du DRP, qui s’appuient sur les points clés suivants :
  • Mise à disposition de ressources SaaS et IaaS, par opposition à un investissement matériel
  • Allocation dynamique des ressources en fonction du besoin
  • Facturation à l’usage
  • Niveau de service – résilience du cloud

Le DRP « traditionnel » basé sur des infrastructures « propriétaires » migre donc vers le DRaaS ou Disaster-Recovery-as-a-Service (aussi appelé simplement RaaS : Recovery-as-a-Service).


Le DRaaS, un DRP à moindre coût

Le marché du DRaaS est en pleine expansion. En février, Gartner estimait ce marché à 564 millions de dollars en 2013 avec un taux de croissance annuelle d’au moins 21% pour les trois prochaines années (2).

A la différence du DRP traditionnel, il s’agit pour l’entreprise de répliquer ses données et services IT non plus sur une infrastructure dont il est propriétaire mais en utilisant des ressources chez un fournisseur de cloud publique via l’allocation des ressources nécessaires (serveurs virtuels, stockage, réseau…). Il bénéficie ainsi de coûts très compétitifs : le prix d’un serveur dans le cloud ne coûte en effet qu’une centaine d’euros par mois.

Hors crise, le DRP n’utilise que les ressources nécessaires au maintien des services minimum (sauvegarde des données et services associés…) réduisant ainsi le nombre de serveurs virtuels alloués. En cas de crise, des ressources supplémentaires seront provisionnées en quelques minutes grâce à l’allocation dynamique du cloud.


En résumé, le DRaaS permet de s’affranchir des coûts d’investissements et d’exploitation d’un second datacenter pour passer à des coûts d’OPEX modérés ; la DSI pouvant ainsi se recentrer sur des services offrant plus de valeurs aux métiers.


Les acteurs du DRaaS

Sur ce marché très actif de la continuité dans le cloud, on trouve des spécialistes de la sauvegarde, de l’hébergement et de nombreux opérateurs et fournisseurs cloud comme Amazon, Symantec avec Microsoft Azure, NTT ou encore Colt, qui adressent ce marché via leurs offres IaaS (Infrastructure-as-a-Service).

Bien sûr, les grands acteurs de la continuité d’activité ont également enrichi leurs catalogues d’offres packagées basées sur le cloud. Ainsi, SunGard assure via son service DRaaS, le DRP de Rémy Cointreau USA, la branche américaine du groupe français de spiritueux (3).

Ces acteurs ciblent avant tout les PME et ETI (Entreprises de Taille Intermédiaire) qui n’ont souvent pas de DRP, mais cela devrait intéresser à terme les grands comptes attirés par les coûts attractifs et l’allègement des charges pour leur DSI.


Des limites à ce modèle

Evidemment, ce modèle impose des prérequis et des contraintes. Tout d’abord, ces acteurs n’offrent pas tous les mêmes prestations. Si certains ne proposent ni plus ni moins qu’un service IaaS avec à charge de l’entreprise de manager son DRP, d’autres accompagnent les entreprises sur sa mise en place et en assurent la gestion et le déclenchement en cas de sinistre.

D’autre part, au-delà des SLA classiques des offres cloud, tous les fournisseurs ne proposent pas les mêmes solutions d’administration et les mêmes engagements de délais d’allocation dynamique de ressources, capables de répondre aux besoins exprimés par les notions de RTO (Recovery Time Objective, durée maximale d’interruption admissible) et RPO (Recovery Point Objective, perte de données maximale admissible) traditionnellement utilisés dans le DRP.

De plus, le DRaaS ne peut s’appliquer qu’à des environnements virtualisés avec un certain niveau de standards, afin d’éviter des problèmes d’interopérabilité avec le fournisseur. Certains points doivent donc être étudiés lors de la sélection du fournisseur :
  • Ses outils de virtualisation sont-ils interopérables avec les miens ?
  • A-t-il les mêmes templates de machines virtuelles que mes serveurs ou permet-il d’importer mes propres templates ?

Par ailleurs, les capacités actuelles du réseau limitent les volumes de données pouvant transiter dans le cloud. Un besoin de réplication de données important lié au DRP peut augmenter de façon significative le coût du service. En effet, un lien réseau dédié entre l’entreprise et un datacenter du fournisseur peut vite alourdir la note. D’autre part, des applications gourmandes en bande passante et requérant des RTO et RPO très bas, comme les applications transactionnelles financières par exemple, ne seront pas éligibles au DRaaS.

Enfin, comme dans tout projet cloud, il y a également descontraintes légales et de sécurité sur l’hébergement de données à l’extérieur de l’entreprise. En particulier, tous les fournisseurs ne sont pas capables de garantir leur localisation en France.

En amont d’un projet DRaaS, il est donc nécessaire d’évaluerl’éligibilité des applications au cloud et de conduire uneanalyse de risques sur la continuité d’activité et sur les données pouvant être mises dans le cloud.


Vers un DRP hybride

Les entreprises pourraient donc se diriger vers une stratégie de DRP hybride, avec les services externalisables dans le cloud (après des transformations si nécessaires), les autres services restant sur un DRP classique.
Etude de DRP hybride


C’est aussi l’opportunité d’élargir le périmètre du DRP et sécuriser d’autres services de production, voire également des environnements de développement pour des projets applicatifs en cours.

Attention toutefois à ne pas trop alourdir les process du DRP avec des architectures multiples. A la DSI de s’adapter au modèle en ajoutant à ses compétences la casquette de gestionnaire de services cloud.

Le DRaaS, profitant de l’usage croissant du cloud par les entreprises, devrait donc se développer, mais il pourrait bien être rattrapé à son tour par l’augmentation du nombre de services d’entreprises en mode cloud, SaaS et IaaS en tête. De par sa résilience intrinsèque, le cloud pourrait bien résoudre de lui-même l’épineux problème du DRP…


 Références :
  1. http://www.sgdsn.gouv.fr/site_rubrique70.html
  2. Voir Market Trends: Assessment of the Rapidly Growing Market for Cloud-Based Recovery Services.https://www.gartner.com/doc/2324315
  3. http://blog.sungardas.com/insider/2013/09/remy-cointreau-tastes-the-future-of-fine-spirits/

Aucun commentaire:

Enregistrer un commentaire