Même si les plateformes de cloud public s’avèrent très résilientes, des pannes peuvent tout de même survenir. En conséquence, les entreprises doivent établir un plan de reprise après sinistre si elles souhaitent utiliser ce type de plateforme pour des charges de travail critiques, compte tenu de la dépendance croissante à l’égard des services de cloud public.
Certains mythes autour des plans de reprise après sinistre dans un contexte multi-cloud existent, et empêchent souvent les entreprises de mettre en place des protections adéquates. De manière générale, un plan de reprise après sinistre comprend l’ensemble des mesures permettant à une entreprise de récupérer ses services IT en cas de panne majeure, quelle qu’en soit la cause. Avec l’augmentation du nombre d’attaques par ransomware, le risque d’une interruption des services IT a augmenté sur toutes les plateformes, y compris sur le cloud public.
Les entreprises disposent généralement de procédures clairement documentées pour faire face aux incidents majeurs qui se produisent dans leurs propres installations, comme un incendie ou une inondation au sein d’un datacenter. Cependant, il arrive souvent que les entreprises qui utilisent le cloud public pour des opérations d’importance similaire ne se soucient que peu de mettre en place les mêmes garanties. Il peut en résulter des risques opérationnels importants, car les services critiques pour l’entreprise sont déplacés de datacenters couverts par de solides plans de reprise d’activité vers des environnements de cloud public qui en sont dépourvus.
En effet, le cloud public n’offre pas une résilience intégrée. Et il existe trois idées reçues dans ce domaine.
Mythe n° 1 : il n’y a pas de panne sur le cloud
Selon les croyances, les plateformes de cloud public proposeraient une résilience intégrée, et permettraient aux charges de travail qui y sont exécutées de ne pas subir de pannes. Cependant, bien que les principaux fournisseurs de services cloud offrent des plateformes avec un très haut degré de résilience, le risque de panne existe. De plus, même si les fournisseurs offrent généralement un SLA de 99,9 % de temps de fonctionnement pour une seule machine virtuelle, l’un des plus grands prestataires a connu plus de 25 pannes documentées sur ses plateformes dans le monde en 2022. Bien que cet aspect SLA soit une bonne chose – et probablement mieux que ce que la plupart des entreprises peuvent offrir sur leur propres datacenters – cela représente tout de même un temps d’arrêt d’environ 9 heures par an. Et il ne s’agit pas là du seul facteur qui rentre en cause. En outre, dans un environnement complexe et multiserveur, le risque de panne est encore plus grand.
Mythe n° 2 : les applications cloud sont intrinsèquement résilientes
Un deuxième mythe concerne les applications : elles seraient basées sur des architectures modernes et évolutives qui les rendraient résilientes et leur éviteraient les pannes. Même s’il est vrai que les applications modernes à architecture évolutive peuvent être conçues afin de rester résilientes dans des contextes de panne, seule une partie relativement faible des charges de travail que les entreprises exécutent aujourd’hui dans le cloud public est conçue de cette manière. Nombre d’entre elles sont simplement des applications héritées qui ont été déplacées vers le cloud. Ces applications sont toutes aussi vulnérables aux temps d’arrêt dans le cloud, qu’elles le sont quand elles se trouvent dans les data centers. Et même si une application a été conçue pour résister à la perte de divers composants, peu d’entre elles peuvent assumer une panne majeure, telle que la perte d’une zone de disponibilité complète.
Mythe n° 3 : les données stockées sur le cloud sont à l’abri des ransomwares
Beaucoup d’entreprises pensent encore que les fournisseurs de services cloud dépensent des milliards chaque année pour la sécurité, et surtout que cela suffit pour les mettre à l’abri des incidents liés à des attaques par ransomwares. Toutefois, la dépendance accrue au cloud public (notamment pendant les périodes successives de confinement) a fait de ces plateformes une des cibles principales pour les hackers qui utilisent les ransomwares. Les attaques de ransomware ont augmenté de 105 % à l’échelle mondiale en 2021. Si le cloud public peut offrir des niveaux élevés de sécurité de l’information par rapport aux propres centres de données des entreprises, de nombreuses charges de travail exécutées dans le cloud sont, par nécessité, tournées vers Internet, et le risque d’être exploité par des pirates informatiques demeure donc. Par conséquent, les données peuvent être chiffrées, ce qui entraîne des interruptions de service informatique.
Éviter la complaisance à l’égard du cloud
Comme ces mythes le soulignent, il est tentant de reporter la responsabilité de la résilience IT sur le fournisseur de services cloud. En pratique, les entreprises peuvent constater que dans les moments de stress, ce filet de sécurité illusoire disparaît rapidement. C’est pourquoi les plans de reprise après sinistre dédiés aux données et aux charges de travail exécutées dans le cloud est un exercice crucial.
Cet article a été rédigé par Jean-Pierre Boushira, VP South, Benelux & Nordics, Veritas.