RPO et RTO sont tous deux des indicateurs de sécurité en cas de sinistre. En d’autres termes, le système d’information doit être protégé en amont par des indicateurs d’objectifs… qui définissent les pertes maximales. De quoi se donner des délais en cas de panne et de définir les solutions pour les respecter, voir les améliorer.
Le RTO c’est quoi ?
Le RTO ou Recovery Time Objective, peut se traduire par la durée maximale d’interruption admissible. Il s’agit du temps maximal acceptable pendant lequel une ressource informatique (serveur, réseau, ordinateur, application) peut ne pas être fonctionnelle suite à une interruption majeure de service. Cette durée est définie à l’avance, et ce en fonction des besoins de production d’une entreprise vis-à-vis de la ressource informatique.
Exemple : Dans une entreprise qui utilise un ERP pour sa production, si l’ERP vient à ne plus fonctionner, la production est bloquée, mettant en danger la pérennité de l’entreprise. Le RTO de cet ERP devra donc être extrêmement court. En revanche, le RTO d’une application de messagerie instantanée pourra lui être beaucoup plus long, puisque ce n’est pas une application critique.
Le RPO c’est quoi ?
Le RPO ou Recovery Point Objective, désigne la durée maximum d’enregistrement des données qu’il est acceptable de perdre lors d’une panne. Le fait de quantifier le RPO définit en fait les objectifs de sauvegarde, ce qui demande de connaître la volumétrie et les fenêtres de sauvegarde.
Le RTO et le RPO sont liés dans le cadre d’un Plan de Reprise d’Activité Informatique.
Le RTO est considéré en lien avec le RPO. Si on analyse les deux indicateurs ensemble, on peut déterminer le temps total d’interruption d’une ressource après un incident majeur. Ce délai va alors comprendre le temps de détection de l’incident, le temps de prise de décision du passage en mode secours, le temps de mise en œuvre des procédures de secours et enfin le délai de contrôle et de relance de l’application ou de l’infrastructure en panne. Tous ces temps cumulés doivent être inférieurs au RTO défini au préalable.
En cas d’accident, de sinistre ou de panne, les entreprises prévoyantes mettent en place un PRA (Plan de Reprise d’Activité) qui permet de formaliser des processus pour assurer la reprise des activités que ce soit d’un point de vue logistique, humain, ou encore informatique. C’est dans ce contexte informatique que la définition du RTO et du RPO permet de planifier les actions à mener en cas de sinistre, mais aussi et surtout d’adopter une stratégie d’investissement informatique en vue d’une situation catastrophique.