DoiT acquires SELECT to optimize Snowflake and BigQuery
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

Résilience avec AWS et DoiT : guide d'introduction aux stratégies de reprise après sinistre

By Karim AmarsiJul 12, 202315 min read

Cette page est également disponible en English, Deutsch, Español, Italiano, 日本語 et Português.

Dans un monde toujours plus numérique, les organisations dépendent plus que jamais de leurs services en ligne. Lorsque ceux-ci sont interrompus, les conséquences pour l'entreprise peuvent être lourdes. C'est précisément là qu'intervient la reprise après sinistre (Disaster Recovery) sur AWS : se préparer aux sinistres susceptibles d'affecter votre infrastructure IT et vos données, et en assurer la reprise. AWS (Amazon Web Services) propose un cadre robuste et flexible pour planifier la reprise après sinistre, permettant aux entreprises de réduire les temps d'arrêt et de rebondir plus vite face à l'imprévu.

Définir la notion de sinistre en reprise après sinistre

Un sinistre, dans le contexte de la reprise après sinistre, désigne tout événement affectant gravement vos opérations métier. Cela va des catastrophes naturelles (inondations, tremblements de terre) aux cyberattaques, en passant par les coupures d'électricité ou même des erreurs humaines provoquant une perte de données ou un arrêt des systèmes. L'objectif de la planification de la reprise après sinistre est d'anticiper ces événements, aussi imprévisibles soient-ils, et de mettre en place des plans destinés à en minimiser l'impact sur vos opérations.

Le modèle de responsabilité partagée d'AWS

Bien comprendre le modèle de responsabilité partagée d'AWS est essentiel lors de la planification de la reprise après sinistre. AWS fonctionne selon ce modèle, ce qui signifie qu'AWS et le client se partagent les responsabilités pour garantir un environnement sécurisé et conforme.

AWS est responsable de la sécurité du cloud, ce qui inclut la sécurité physique des centres de données, l'infrastructure mondiale, le matériel et la mise en réseau. De leur côté, les clients sont responsables de la sécurité dans le cloud, c'est-à-dire la sécurité des données, des applications, des systèmes d'exploitation et de la gestion des identités et des accès. En résumé, AWS fournit une base sécurisée sur laquelle les clients peuvent construire et exécuter leurs workloads avec une couche de sécurité supplémentaire.

Haute disponibilité et reprise après sinistre : ce qui les distingue

La haute disponibilité et la reprise après sinistre sont deux aspects essentiels d'une stratégie IT complète. Bien qu'elles puissent paraître similaires, elles répondent à des objectifs différents.

La haute disponibilité vise à maintenir un niveau de service acceptable en fonctionnement normal. Elle consiste à concevoir vos systèmes de manière à ce qu'ils restent accessibles même en cas de défaillance de certains composants. Prenons l'exemple d'un site de e-commerce. Avec une configuration en haute disponibilité, le site continuera de fonctionner sans accroc même si une instance tombe en panne, car la charge est répartie entre les autres instances disponibles.

La reprise après sinistre, quant à elle, consiste à rétablir les services après un événement majeur ayant causé une rupture. Elle implique la mise en place d'un plan permettant de récupérer les données critiques, les applications et l'infrastructure à la suite d'un sinistre. Pour illustrer : si ce même site de e-commerce subissait une cyberattaque grave entraînant une perte massive de données et un arrêt prolongé, le plan de reprise après sinistre orienterait la récupération des données et la restauration des fonctionnalités du site.

Reprise après sinistre et continuité d'activité : approches comparées

La reprise après sinistre et la continuité d'activité sont étroitement liées, mais elles concernent des aspects différents de la gestion de crise.

La reprise après sinistre est un sous-ensemble de la continuité d'activité. Elle se concentre sur les processus techniques nécessaires pour rétablir les systèmes, les applications et les données après un sinistre. Comme dans l'exemple précédent, après la cyberattaque, le processus de reprise après sinistre comprendrait les étapes pour restaurer le site, corriger les vulnérabilités de sécurité et le remettre en service.

La continuité d'activité, elle, est une approche globale visant à garantir le fonctionnement ininterrompu des fonctions métier essentielles pendant et après un sinistre. Tandis que la reprise après sinistre se concentre principalement sur les systèmes IT et la récupération des données, la continuité d'activité va bien au-delà. Reprenons l'exemple du site marchand : assurer la continuité des opérations pourrait nécessiter de renforcer la capacité du centre d'appels pour absorber l'afflux de demandes clients, de mettre en place des procédures de vente temporaires et de tenir les clients informés de manière proactive sur la situation et les délais de résolution attendus. Elle englobe tous les aspects de l'entreprise susceptibles d'être touchés par un sinistre, et pas uniquement l'IT.

Stratégies de reprise après sinistre

Lors de la planification de la reprise après sinistre sur AWS, plusieurs options s'offrent à vous selon les besoins propres à vos workloads. Voici quatre stratégies clés :

  1. Backup and Restore (sauvegarde et restauration) : il s'agit de l'une des approches traditionnelles de la reprise après sinistre. Des sauvegardes régulières sont effectuées dans le cloud et, en cas de sinistre, elles sont utilisées pour restaurer les données et applications perdues. Cette stratégie est simple et économique, puisque vous ne payez que pour les ressources de stockage consommées par les sauvegardes. La contrepartie se situe au niveau du temps de reprise, qui peut être long selon la taille des données et applications à restaurer. Cette stratégie convient le mieux aux applications non critiques, pour lesquelles des temps de reprise plus longs sont acceptables.
  2. Pilot Light : cette approche consiste à maintenir en permanence dans le cloud une version minimale de l'environnement. Ce Pilot Light regroupe les éléments essentiels au fonctionnement du système, comme la base de données et le serveur applicatif. En cas de sinistre, des ressources sont rapidement provisionnées autour de ce noyau pour rétablir le système intégralement. Le temps de reprise est plus court qu'avec la méthode Backup and Restore, puisqu'il suffit de mettre à l'échelle des services déjà en cours d'exécution. Elle est toutefois plus coûteuse, car elle nécessite de maintenir une version minimale de l'environnement. La stratégie Pilot Light est bien adaptée aux applications critiques pour lesquelles un temps de reprise court est important.
  3. Warm Standby : il s'agit d'une approche où une version réduite d'un environnement entièrement fonctionnel tourne en permanence dans le cloud. Cet environnement, appelé standby, reflète votre environnement de production et est prêt à prendre le relais en cas de sinistre. Il est capable de monter rapidement en charge pour absorber la charge de production lorsque cela devient nécessaire. La stratégie Warm Standby offre un temps de reprise plus court que les stratégies Backup and Restore et Pilot Light, puisqu'il suffit de mettre le système à l'échelle pour gérer l'ensemble du workload. Elle entraîne toutefois des coûts plus élevés, car l'environnement de standby doit être maintenu en permanence.
  4. Multi-Site : consiste à exécuter vos applications et services simultanément sur plusieurs sites, généralement répartis dans différentes régions géographiques. Avec cette stratégie, tous les sites sont actifs et se partagent la charge en fonctionnement normal. Si un site tombe en panne, les autres continuent à fonctionner, garantissant ainsi un service ininterrompu. Le principal atout de la stratégie Multi-Site est qu'elle offre le temps de reprise le plus court parmi toutes les stratégies de DR, grâce à sa nature actif-actif. C'est cependant la plus coûteuse, car elle implique de maintenir plusieurs environnements pleinement fonctionnels. Elle est généralement utilisée pour les applications stratégiques où la haute disponibilité et l'absence de temps d'arrêt sont primordiales.

Chacune de ces stratégies a ses propres atouts, et le choix dépend des exigences propres à vos workloads. Deux facteurs clés interviennent dans cette décision : votre Recovery Point Objective (RPO) et votre Recovery Time Objective (RTO).

Le RPO correspond à la quantité maximale acceptable de pertes de données, mesurée en temps. Par exemple, si un système a un RPO de 60 minutes, cela signifie que ses configurations et données doivent être sauvegardées de telle manière qu'en cas de défaillance, vous ne perdriez pas plus de 60 minutes de données.

Le RTO, quant à lui, désigne la durée cible dans laquelle un processus métier doit être rétabli après un sinistre afin d'éviter des conséquences inacceptables liées à la rupture de continuité. Par exemple, si votre RTO est de 120 minutes, vos systèmes et applications doivent être opérationnels dans les 120 minutes suivant une interruption.

La distinction entre RPO et RTO est essentielle. Le RPO concerne les données et la quantité acceptable de pertes, tandis que le RTO porte sur le temps nécessaire pour remettre le système en service.

Voici un aperçu du RPO et du RTO appliqués aux quatre stratégies clés de reprise après sinistre présentées plus haut :

  1. Backup and Restore :
  • RTO : en cas de sinistre, le RTO de la stratégie Backup and Restore dépend du temps nécessaire pour restaurer les sauvegardes. Il peut varier selon la taille de la sauvegarde, la vitesse du stockage de sauvegarde et la complexité du processus de restauration. Généralement, le RTO de cette stratégie peut s'étaler de quelques heures à plusieurs jours.
  • RPO : le RPO du Backup and Restore est déterminé par l'intervalle entre les sauvegardes. Si celles-ci sont effectuées à intervalles réguliers, le RPO correspondra à la durée écoulée entre la dernière sauvegarde réussie et le moment du sinistre.

2. Pilot Light :

  • RTO : la stratégie Pilot Light vise à minimiser les temps d'arrêt en maintenant déjà dans le cloud une version minimale de l'environnement. Le RTO peut être relativement court, allant de quelques minutes à quelques heures, selon le temps nécessaire à la mise à l'échelle de l'environnement.
  • RPO : le RPO de la stratégie Pilot Light dépend de la fréquence de réplication des données entre l'environnement principal et la version minimale dans le cloud. Il peut varier, mais se situe généralement de l'ordre de quelques minutes à quelques heures.

3. Warm Standby :

  • RTO : avec une solution Warm Standby, le RTO est plus court qu'avec l'approche Pilot Light, puisque les systèmes sont déjà en cours d'exécution. Il varie généralement de quelques minutes à quelques heures, selon les processus de mise à l'échelle et de synchronisation requis.
  • RPO : le RPO du Warm Standby est déterminé par la fréquence de réplication ou de synchronisation des données entre l'environnement principal et l'environnement de standby dans le cloud. Comme pour le Pilot Light, le RPO se situe généralement de l'ordre de quelques minutes à quelques heures.

4. Multi-Site :

  • RTO : la stratégie Multi-Site vise à offrir une haute disponibilité et un basculement rapide en exécutant les workloads simultanément sur plusieurs sites ou régions AWS. Le RTO peut être très court, souvent mesuré en secondes ou minutes, le trafic étant rapidement redirigé vers le site alternatif en cas de sinistre.
  • RPO : le RPO du Multi-Site dépend du mécanisme de réplication des données utilisé entre les sites ou régions. Si une réplication synchrone est en place, le RPO peut être quasi nul, ce qui signifie une perte de données minimale. Une réplication asynchrone peut introduire un léger délai, donnant un RPO de l'ordre de quelques secondes à quelques minutes.

Le choix de la stratégie de reprise après sinistre doit idéalement correspondre à vos besoins en RPO et RTO. La stratégie retenue doit trouver le bon équilibre entre coût, complexité et exigences de reprise. Une stratégie minimisant la perte de données (RPO faible) et le temps de reprise (RTO faible) sera probablement plus complexe et plus coûteuse, mais elle peut être indispensable pour des workloads où une perte de données ou un temps d'arrêt aurait un impact métier significatif. À l'inverse, pour des workloads non critiques, une stratégie plus simple et plus économique avec un RPO et un RTO plus élevés peut suffire.

Services AWS clés pour la reprise après sinistre

AWS propose une gamme de services exploitables pour une reprise après sinistre efficace et performante. En voici les principaux :

AWS Elastic Disaster Recovery : une solution conçue pour garantir la résilience de votre infrastructure. Elle assure une reprise automatisée face à divers incidents, comme les défaillances d'infrastructure ou d'applications. Grâce à une réplication continue des données au niveau du bloc, elle permet d'atteindre des RPO de l'ordre de quelques secondes. De plus, elle s'appuie sur la réplication continue vers une zone intermédiaire économique au sein de l'environnement AWS, ce qui réduit efficacement votre consommation de ressources. Grâce à la conversion automatisée des machines et à l'orchestration, elle peut ramener votre RTO à seulement quelques minutes.

AWS Backup : AWS Backup est un service centralisé qui simplifie et automatise le processus de sauvegarde sur divers services AWS, dont EBS, RDS, DynamoDB, EFS et AWS Storage Gateway. Cette intégration réduit la complexité opérationnelle et garantit des sauvegardes cohérentes, contribuant grandement à une stratégie de reprise robuste. Le service permet également de créer des plans de sauvegarde avec des politiques précisant la fréquence et la durée de rétention des sauvegardes, automatisant ainsi davantage le processus et limitant le risque de perte de données. Il joue un rôle clé dans l'atteinte des objectifs RPO et RTO. En programmant des sauvegardes régulières, on minimise la perte de données acceptable (RPO) ; et grâce à la fonctionnalité de restauration d'AWS Backup, on réduit le temps de reprise après une perte de données (RTO).

Amazon S3 Cross-Region Replication : cette fonctionnalité copie automatiquement et de manière asynchrone des objets entre des buckets situés dans différentes régions AWS. Dans un scénario de reprise après sinistre, le rôle principal de la Cross-Region Replication (CRR) est de garantir que vos données restent disponibles et durables, même en cas de défaillance régionale. Cela passe par le maintien d'une sauvegarde entièrement répliquée dans un emplacement géographique distinct, à l'abri des sinistres survenant dans la zone d'origine.

Amazon RDS : ce service facilite la mise en place, l'exploitation et la mise à l'échelle d'une base de données relationnelle dans le cloud. RDS propose des sauvegardes automatisées, des snapshots de base de données, des read replicas inter-régions et, pour certains types de bases, des fonctionnalités de DR exploitables pour la reprise après sinistre, afin que votre base puisse être rapidement restaurée après un événement.

Amazon Route 53 : dans un contexte de reprise après sinistre, l'une des fonctionnalités clés de Route 53 est son SLA de disponibilité à 100 %. Cette garantie assure que le service sera toujours opérationnel et fournira un routage fiable vers l'infrastructure de votre application. Les health checks et les capacités de DNS failover de Route 53 contribuent fortement à son utilité en DR. Le service surveille en continu l'état de votre application et de ses composants à l'aide de health checks. Si une défaillance ou une anomalie est détectée dans une région AWS donnée, Route 53 redirige automatiquement le trafic vers des ressources saines dans une autre région. Cette capacité de basculement au niveau DNS signifie que, même en cas de panne d'une région entière, votre application reste accessible à vos utilisateurs. En permettant une détection et une réaction rapides face aux défaillances, les health checks et le DNS failover de Route 53 participent à une stratégie de reprise robuste, en aidant à minimiser les temps d'arrêt et à maintenir une haute disponibilité de l'application.

AWS Glacier : un service de stockage à faible coût destiné à l'archivage des données. Pour la reprise après sinistre, Glacier offre une solution économique pour stocker des sauvegardes de données rarement consultées. En cas de sinistre, vous pouvez récupérer ces données, mais avec des temps de récupération plus longs que sur Amazon S3.

AWS CloudFormation : permet le provisionnement et la gestion automatisés des ressources dans l'environnement cloud AWS. Les utilisateurs peuvent définir et déployer leur infrastructure en tant que code (IaC) à l'aide de templates CloudFormation. En cas de sinistre, ces templates peuvent être utilisés pour recréer rapidement votre infrastructure dans une autre région, accélérant ainsi les temps de reprise et garantissant la cohérence entre environnements. Il est important de noter que ces templates doivent également être disponibles dans la région de reprise grâce à la S3 Cross-Region Replication, afin de rester accessibles le moment venu.

En combinant ces services clés au sein d'une stratégie de reprise après sinistre, les entreprises peuvent s'assurer de disposer de mécanismes robustes, évolutifs et optimisés pour récupérer leurs données et applications critiques en cas de sinistre.

Tests proactifs de reprise après sinistre

Netflix a introduit Chaos Monkey, un outil de test de résilience, au début des années 2010 dans le cadre de sa migration vers le cloud. En arrêtant aléatoirement des instances et des services, Chaos Monkey simule des pannes potentielles et fournit des enseignements précieux sur la réaction des systèmes lors de perturbations critiques. Cette approche a donné naissance au Chaos Engineering, une discipline visant à identifier et corriger les défaillances de manière proactive afin d'éviter les interruptions de service. Chaos Monkey, associé au Chaos Engineering, joue un rôle déterminant dans la reprise après sinistre en permettant aux organisations d'évaluer la réaction des systèmes et les processus de reprise. Grâce à des tests contrôlés de scénarios de défaillance, il devient possible d'identifier les faiblesses ou lacunes des plans de reprise et d'apporter les ajustements nécessaires. Bien qu'elle introduise une certaine complexité initiale, cette approche renforce la préparation en aidant les organisations à comprendre les vulnérabilités et à concevoir des systèmes plus robustes.

Un autre outil, AWS Fault Injection Simulator (FIS), améliore la résilience des applications en permettant des expériences contrôlées d'injection de pannes sur des ressources AWS. En provoquant des perturbations telles que des arrêts de serveurs ou un throttling d'API, et en observant les réactions du système, FIS met en lumière les vulnérabilités potentielles. Dans le cadre de la reprise après sinistre, FIS aide à repérer les points faibles de la résilience du système, permettant aux développeurs de les traiter de manière proactive avant qu'ils ne provoquent des interruptions. Grâce à des expériences d'injection de pannes simulant de potentiels sinistres, les équipes peuvent évaluer et améliorer les procédures de reprise dans des conditions contrôlées. Il en résulte des plans de reprise plus solides et une meilleure résilience des systèmes, ce qui réduit in fine le risque de perturbation lors d'un sinistre réel.

Optimiser la reprise après sinistre avec l'expertise DoiT

En matière de reprise après sinistre, DoiT propose des services de planification et de conseil. Notre équipe d'architectes cloud expérimentés peut vous aider à élaborer un plan de reprise robuste, adapté aux besoins spécifiques de votre entreprise. Forts d'une connaissance approfondie des services et de l'infrastructure AWS, nous formulons des recommandations sur les bonnes pratiques, les procédures de reprise et les configurations optimales pour renforcer la résilience de vos workloads.

Planifier la reprise après sinistre ne se limite pas à mettre en place un système de sauvegarde. Cela implique une analyse approfondie de vos opérations, la compréhension des services critiques et la définition de points et de temps de reprise acceptables. Notre équipe peut vous accompagner tout au long de ce processus, pour bâtir une stratégie de reprise complète, alignée sur vos objectifs de continuité d'activité.

Des tests réguliers sont essentiels pour s'assurer que votre plan fonctionne comme prévu et que votre équipe est prête le jour J. Nous pouvons vous aider à les concevoir et à identifier d'éventuelles lacunes ou axes d'amélioration. En cas de difficulté lors de l'activation de la reprise, DoiT est prêt à intervenir. Nous savons que dans ces situations chaque minute compte. Notre équipe est en mesure de répondre rapidement et efficacement, pour vous aider à rétablir les services et à minimiser les temps d'arrêt. Qu'il s'agisse de résoudre un problème ou d'apporter un conseil technique, nous nous engageons à vous accompagner durant la crise. Notre engagement ne s'arrête pas à la reprise. Une fois celle-ci effectuée, nous pouvons vous aider à analyser l'événement, à évaluer l'efficacité du processus de reprise et à fournir des conseils techniques et bonnes pratiques.

Chez DoiT, nous nous considérons comme votre partenaire pour assurer continuité d'activité et résilience. De la planification aux tests, et de la reprise au retour d'expérience, nous sommes à vos côtés à chaque étape de votre parcours de reprise après sinistre.

Conclusion

La reprise après sinistre n'est pas une option dans la stratégie d'une entreprise : c'est un élément essentiel qui garantit la continuité face à l'imprévu. En tirant parti de la puissance et de la flexibilité d'AWS, les entreprises peuvent bâtir des plans de reprise robustes qui réduisent les temps d'arrêt et les pertes de données, leur permettant de reprendre rapidement leurs activités lorsqu'un sinistre survient. Une consultation professionnelle permet d'identifier les vulnérabilités potentielles de vos systèmes et de recommander les services AWS adaptés pour y remédier. Cette expertise vous fait gagner du temps et de l'énergie, tout en évitant les écueils courants pour aboutir à un plan de reprise plus solide et plus efficace. En somme, avec AWS comme plateforme de reprise et DoiT comme partenaire de confiance, vous avez la certitude que votre entreprise saura encaisser les perturbations et maintenir sa continuité. Nous nous engageons à vous offrir un environnement cloud résilient et sécurisé, et à transformer ce qui aurait pu être une épreuve en une démonstration de la résilience de votre entreprise.