Un plan de continuité des activités et de reprise après sinistre bien structuré – et bien révisé – est plus urgent que jamais. Voici comment maintenir votre entreprise opérationnelle à travers des interruptions de toutes sortes.
Les principes fondamentaux de la reprise après sinistre (DR) et de la continuité des activités sont restés relativement inchangés pendant des décennies: identifier les risques, effectuer une analyse d’impact commercial, définir des objectifs de temps de récupération (RTO), créer un plan de sauvegarde et de restauration, effectuer des tests périodiques.
En temps plus simple, les données ont vécu sur prétexte, les cyber-états étaient moins sophistiqués, les catastrophes naturelles étaient rares, les organisations pourraient probablement se débrouiller avec une panne qui a duré des heures, voire des jours, les sauvegardes hebdomadaires étaient suffisantes et les réglementations concernant les violations de données étaient pratiquement non existantes.
Aujourd’hui, le volume des données d’entreprise a explosé et ces données sont partout (Cloud public, SaaS, Edge, IoT, OT, LLMS); Les attaques de ransomwares générées par l’AI sont à l’horizon; Les catastrophes naturelles se produisent beaucoup plus souvent en raison du changement climatique; Les unités commerciales veulent être opérationnelles en quelques minutes; et les pénalités pour ne pas signaler une cyberattaque en temps opportun ou ne pas protéger les données des clients sont graves.
Si votre plan de reprise après sinistre et de continuité des activités a rassemblé de la poussière sur l’étagère, il est temps pour une reconstruction complète à partir de zéro.
Les composants clés comprennent des stratégies telles que les activités minimales viables (MVB); Des technologies émergentes telles que l’IA et l’IA génératrice; et les processus et les approches tactiques tels que la chasse aux menaces intégrés, la découverte et la classification des données automatisées, les sauvegardes continues, les données immuables et les exercices de test de table gamifiés.
La sauvegarde en tant que service (BAAS) et la reprise après le service (DRAAS) sont également de plus en plus populaires, car les entreprises cherchent à profiter de l’évolutivité, des options de stockage du cloud et de la facilité d’utilisation associée au modèle «As-A-Service». En fait, Gartner prédit qu’en 2029, 85% des grandes entreprises adopteront les BAAS, aux côtés des déploiements gérés par les clients, pour sauvegarder les charges de travail cloud et sur site, contre 25% en 2025.
Voici les étapes que les CISO doivent prendre pour développer un plan de continuité DR / Business réussi en 2025.
Étape 1: construire un support de niveau C, obtenir un financement, créer une équipe
La reprise efficace de la catastrophe / la continuité des activités nécessite un travail initial important et une attention constante. Il est également coûteux en termes de ressources de stockage supplémentaires, d’outils logiciels et de temps et d’efforts.
Ryan Whelan, responsable mondial de la cyber-intelligence chez Accenture, a déclaré avoir récemment interrogé les CISO dans les verticales de la vente au détail et de l’hôtellerie sur leurs priorités, et a constaté que la reprise après sinistre et la continuité des activités sont montées en flèche de «pas même dans le top 10» en 2024 à la n ° 3 en 2025.
Whelan affirme que ce changement est en cours de conduite au niveau de la suite C et du conseil d’administration, où les préoccupations concernant la conformité réglementaire, les ramifications juridiques et les dommages à la marque se profilent. Alors que la continuité du DR / Business était dans le passé principalement le domaine de la gestion des risques et des services juridiques, la sécurité jouant un rôle de fond, les CISO sont désormais à l’avant-garde de ces efforts, explique Whelan.
Cette hiérarchisation de la continuité DR / Business se traduit par une augmentation du financement. Selon le rapport de Forrester State of Resilience 2025, 37% des répondants s’attendent à ce que le financement augmente au cours des 12 prochains mois, tandis que seulement 4% s’attendent à ce qu’elle diminue. Le reste du financement de niveau prévu.
Comme Todd Renner, directeur général principal de la pratique de la cybersécurité chez FTI Consulting, le dit: «Avant que quelque chose de mal ne se produise, il est plus difficile d’obtenir l’argent; après que quelque chose de mauvais arrive, il est plus facile d’obtenir l’argent.»
Une fois le support de niveau C obtenu, la prochaine étape critique consiste à constituer une équipe permanente qui comprend la sécurité, le centre de données, le stockage, la conformité, le juridique, la gestion des risques, les processus métier et les communications internes et externes. Les organisations doivent décomposer des silos et créer un groupe interdisciplinaire qui continuera de fonctionner comme une entité en cours, évoluant continuellement pour répondre à de nouvelles menaces.
Les rôles spécifiques incluent un journaliste incident, la personne responsable de la communication avec les parties prenantes; un gestionnaire de plan, dont le rôle est de s’assurer que tout le monde accomplit les tâches qui leur sont assignées; et un gestionnaire d’actifs, qui est responsable de la sécurisation et de la protection des actifs critiques et de la déclaration de son statut tout au long de l’incident.
Étape 2: Identifier le risque – et localiser toutes vos données
L’identification du risque dans une grande entreprise distribuée est une tâche complexe. Les risques sont partout, en commençant par les cyberattaques (y compris les attaques d’initiés) et englobent des erreurs humaines, des défaillances du système (matériel, logiciel, réseau), des catastrophes naturelles et des vulnérabilités tierces associées aux chaînes d’approvisionnement, aux fournisseurs de services cloud et aux fournisseurs de SaaS.
Lorsque Forrester a demandé aux répondants au sondage d’identifier la cause profonde des invocations de leurs plans de continuité DR / activité, les principales causes étaient la défaillance informatique, la catastrophe naturelle, l’incident de sécurité informatique, la perturbation de la chaîne d’approvisionnement et la panne de courant. Chaque type de risque nécessite un plan de réponse différent.
Renner dit que les organisations ont souvent du mal à répondre aux questions de base telles que «où sont mes données?» et «à qui appartient les données?» Il ajoute: «Plus le système est complexe, plus il est difficile d’identifier les propriétaires de systèmes et d’identifier où résident les données, y compris des données structurées et non structurées.»
La bonne nouvelle est qu’il existe des outils logiciels dirigés par l’IA qui peuvent scanner des données d’entreprise structurées et non structurées pour identifier les vulnérabilités, effectuer une découverte de données et classer les données.
Gartner prévoit que d’ici 2029, 90% des produits de sauvegarde et de protection des données intégreront Genai pour améliorer les opérations de gestion et de soutien, contre moins de 25% en 2025.
Étape 3: effectuer une analyse d’impact commercial
Les données n’existent pas pour elle-même; Il est là pour soutenir l’entreprise, les entreprises doivent donc comprendre l’impact commercial d’une catastrophe et sauvegarder uniquement ce qui est nécessaire. Pourtant, lorsque les organisations passent par l’exercice de l’identification de tous les morceaux d’un processus métier complexe, il peut devenir écrasant, en particulier dans un environnement hybride ou multicloud rempli de microservices, de conteneurs, d’API, d’identité et de contrôles d’accès, d’applications SaaS, etc.
Le Whelan d’Accenture dit que plutôt que d’essayer de restaurer l’ensemble des activités en cas de catastrophe, une meilleure approche pourrait être de créer une réplique squelettique de l’entreprise, un MVB, qui peut être tourné immédiatement pour maintenir les processus critiques de mission pendant que les efforts traditionnels de sauvegarde et de récupération sont en cours.
Ce type de système de rupture «prêt à l’emploi» pourrait inclure une fonction de base telle que le courrier électronique, qui permettrait à l’organisation de communiquer en interne et en externe, tandis que d’autres fonctions moins sensibles au temps comme ERP sont récupérées.
Cette approche MVB nécessite une intégration étroite entre les unités commerciales et les équipes technologiques, dit Whelan. Ils doivent travailler ensemble pour effectuer une cartographie de dépendance visant à identifier les fonctions commerciales critiques et les composants technologiques associés à cette fonction.
Étape 4: Les stratégies de sauvegarde passent du 3-2-1 au 3-2-1-1-0
La stratégie de sauvegarde de base 3-2-1 qui est standard depuis de nombreuses années n’est plus suffisante. L’idée d’avoir trois copies de données sur deux formats de sauvegarde différents, avec une copie située hors site, est remplacé par 3-2-1-1-0.
Les deux éléments supplémentaires sont les suivants: une sauvegarde hors ligne, immuable ou à ponction aérienne qui permettra aux organisations de se remettre sur pied en cas d’attaque de ransomware et d’un objectif de zéro erreurs. Les données immuables sont «l’étalon-or», dit Whelan, mais il existe des complexités associées à une mise en œuvre appropriée. Par exemple, en cas de catastrophe, comment une entreprise sait-elle quand le dernier instantané s’est produit? Et comment une entreprise vérifie-t-elle que les données enregistrées dans un magasin de données immuables sont exactes et non corrompues?
«Nous constatons toujours que la propreté des données et la Providence est un problème majeur pour les organisations», ajoute-t-il.
Renner de FTI souligne que les plates-formes de sauvegarde et de restauration dirigés par AI peuvent numériser en permanence les données d’entreprise pour la précision et développer des recommandations pour la fréquence à prendre des instantanés, où les données doivent être stockées et les données doivent être sauvegardées.
Et Gartner estime que 35% des entreprises mettront en œuvre une IA d’agence pour effectuer des opérations de sauvegarde autonomes d’ici 2029, contre moins de 2% en 2025.
Étape 5: Créez le plan et testez-le
Il existe de nombreux modèles pour créer le document de plan réel, et les systèmes d’IA peuvent automatiser le processus. Le plan doit être clair et il doit documenter les procédures de détection et de rapports d’incidence, la communication avec les parties prenantes internes et externes, les interventions d’urgence en cas de catastrophe naturelle, de reprise informatique, de continuité des activités et de rôles et de responsabilités pour les parties pertinentes.
Mais le plan doit être testé. Selon le rapport de Forrester, « Malheureusement, la situation des tests est largement inchangée depuis 2008. Pour tous les types de tests, la plupart des organisations ne testent qu’une fois par an avec le plan de promenade et les exercices de table, et à mesure que les tests deviennent plus étendus, la fréquence des tests diminue – 41% des répondants ont déclaré qu’ils n’avaient jamais effectué de simulation complète. »
Les entreprises avant-gardistes tentent de rendre les exercices de table plus efficaces en passant d’une présentation statique PowerPoint aux expériences interactives et gamifiées qui sont plus réalistes et convaincantes, dit Renner. «Je n’ai jamais vu une table n’étant pas efficace pour enseigner à quelqu’un une partie de leur entreprise à laquelle ils ne pensaient pas à l’avance», ajoute-t-il.
Étape 6: Gérer les conséquences
La dernière pièce du puzzle est l’autopsie, faisant le bilan au lendemain d’une catastrophe. Les organisations doivent déterminer ce qui n’a pas fonctionné et déterminer comment il peut être empêché à l’avenir.
Et l’analyste de Gartner Michael Hoeck soutient que les copies de sauvegarde des données d’entreprise n’ont pas à rester là; Ils peuvent être utilisés à bon escient. Il prédit qu’en 2029, 30% des entreprises utiliseront des copies de sauvegarde des données pour l’analyse et l’inférence, contre moins de 5% en 2025.
