SystimaNX
Retour aux études de cas
Logiciel d'entrepriseInfrastructure cloudSécurité et conformité

Reprise après sinistre et modernisation des sauvegardes

Comment un éditeur logiciel d'entreprise confidentiel a remplacé des pratiques de sauvegarde disparates, choisies équipe par équipe, par des objectifs RPO/RTO validés, des exercices de restauration trimestriels et une résilience inter-régions pour ses applications tier-1. La mission a transformé la reprise après sinistre d'une case à cocher pour la conformité en une discipline opérationnelle mesurée et assumée.

Des chemins de reprise testés plutôt que des plans sur étagère
Client
Confidentiel — éditeur logiciel entreprise
Secteur
Logiciel d'entreprise
Calendrier
5 mois
Technologies
6+ outils

Le défi

!Au fil des années, chaque équipe produit avait choisi son propre outil de sauvegarde : les fenêtres de rétention allaient de sept jours à une durée illimitée, le chiffrement était appliqué de façon incohérente, et personne ne pouvait produire un inventaire unique de ce qui était réellement protégé. Les auditeurs relevaient sans cesse des écarts entre la documentation et ce que les jobs de sauvegarde faisaient réellement.
!Les exercices de restauration n'avaient tout simplement pas de cadence régulière ; le dernier test à grande échelle précédait l'arrivée de la majorité de l'équipe infrastructure actuelle, si bien que personne ne pouvait dire avec certitude combien de temps prendrait une vraie reprise. La direction disposait de RTO affichés sur des slides, jamais validés par une restauration réelle.
!Les bases de données et le stockage objet de plusieurs services critiques pour le chiffre d'affaires vivaient entièrement dans une seule région AWS, sans réplique, copie de snapshot ni chemin de bascule ailleurs. Une panne régionale ou un incident au niveau du compte aurait signifié une indisponibilité prolongée sans alternative testée.
!Les grands clients entreprise et l'équipe conformité réclamaient des preuves d'immutabilité des sauvegardes et de contrôles d'accès stricts, mais le mélange d'outils existants ne pouvait pas produire ces preuves de façon fiable ; certains jobs hérités permettaient encore aux mêmes identifiants d'écrire et de supprimer des sauvegardes.
!Il n'existait aucune liste validée des applications réellement tier-1, si bien que les équipes d'astreinte et la direction technique se disputaient en pleine crise sur ce qui méritait la priorité, perdant de précieuses minutes lors d'incidents passés.
!Les échecs de jobs de sauvegarde étaient découverts manuellement, parfois des semaines plus tard, faute de monitoring ou d'alerte sur les runs manqués ou corrompus ; un échec silencieux pouvait persister sur plusieurs cycles avant d'être remarqué.
!Les relations de dépendance entre applications, bases de données et services partagés n'étaient pas documentées, si bien que même lors d'une tentative de restauration, les ingénieurs devaient reconstituer l'ordre de reprise correct à partir de leur mémoire et de l'historique Slack plutôt que d'un runbook.
!Différentes équipes utilisaient différents éditeurs — certaines sur Veeam, d'autres avec des scripts maison appelant les API de snapshot natives du cloud — d'où l'absence de reporting cohérent, de tableau de bord partagé, et un doublon de dépenses d'outillage dans l'organisation.

Notre solution

Nous avons mené une phase de découverte structurée pour cataloguer chaque application tier-1, en associant à chacune un RPO et un RTO validés conjointement par l'ingénierie et les métiers, ainsi qu'un graphe de dépendances montrant les systèmes amont et aval pour un séquencement de reprise correct.
Les politiques de sauvegarde ont été standardisées sur l'ensemble du parc : fenêtres de rétention cohérentes par classification de données, chiffrement au repos et en transit devenu la norme plutôt que l'exception, et immutabilité activée partout où la conformité ou des obligations contractuelles l'exigeaient.
Nous avons consolidé l'outillage autour d'AWS Backup et Azure Site Recovery pour les charges cloud-natives, en ajoutant Veeam là où des systèmes hérités ou hybrides l'exigeaient, et retiré les scripts ponctuels redondants accumulés au fil des ans.
Des tests de restauration trimestriels automatisés ont été construits avec Terraform et Ansible afin de pouvoir déployer des environnements de reprise de façon répétable, les exercer sur des données réelles, puis les démanteler sans effort manuel, avec un résultat succès/échec capturé à chaque run.
Pour la poignée de flux de données qui ne pouvaient réellement pas tolérer un RTO mesuré en heures, nous avons introduit des répliques warm standby dans une région secondaire, maintenues en synchronisation continue afin que la bascule devienne un cutover maîtrisé plutôt qu'une reconstruction depuis zéro.
Les alertes PagerDuty ont été branchées directement sur le statut des jobs de sauvegarde, de sorte qu'un run manqué, un échec de checksum ou un job sortant de sa fenêtre de conformité déclenche un page immédiat plutôt qu'une mauvaise surprise trimestrielle.
Nous avons mis en place un reporting destiné aux parties prenantes qui transforme chaque exercice de restauration en artefact documenté : temps de reprise mesuré, écarts éventuels par rapport au RTO cible, et liste d'actions correctives, partagés avec la direction et disponibles pour les auditeurs conformité sur demande.
Les contrôles d'accès ont été renforcés pour séparer par rôle les permissions d'écriture et de suppression des sauvegardes, comblant la faille où un identifiant compromis pouvait à la fois créer et détruire des points de reprise.

Impact mesurable

Exercices de restauration
4 fois par an, selon le calendrier

Les tests de reprise sont passés d'un événement non documenté et ponctuel à quatre exercices trimestriels planifiés par an, avec résultats succès/échec suivis.

Confiance RTO
100 % des RTO tier-1 validés par un test réel

Le temps de reprise annoncé pour chaque application tier-1 repose désormais sur un résultat de test réel chronométré, plutôt que sur des estimations de slides datant de plusieurs années.

Points de défaillance uniques
Passage d'1 région à 2 régions ou plus pour toutes les données critiques

Le warm standby et la réplication inter-régions ont éliminé la dépendance mono-région pour chaque base de données et stockage objet critique au chiffre d'affaires auparavant exposé.

Preuves de conformité
Dossiers de preuve livrés en moins d'1 jour

Rétention, chiffrement, immutabilité et contrôles d'accès sont désormais directement liés aux exigences des référentiels, avec des dossiers de preuve exportables générés en quelques heures au lieu d'une semaine de course contre la montre pour les auditeurs.

Détection des échecs de sauvegarde
Moins de 15 minutes

Les alertes PagerDuty sur les jobs échoués ou non conformes se déclenchent en quelques minutes, remplaçant un processus de découverte manuelle qui prenait auparavant des semaines.

Empreinte outillage
Passage de 4 outils ou plus à 3 plateformes standardisées

La standardisation sur AWS Backup, Azure Site Recovery et Veeam a éliminé les scripts ponctuels redondants et les dépenses dupliquées d'éditeurs entre équipes.

Nous avons enfin traité la reprise comme une fonctionnalité produit. Les exercices étaient ennuyeux au bon sens du terme : prévisibles, mesurés, assumés. Quand un auditeur a demandé des preuves, nous les avions en quelques minutes plutôt qu'après une semaine de course contre la montre.

D
Directeur infrastructure
Directeur infrastructure, logiciel entreprise (NDA)

Stack technologique

AWS BackupAzure Site RecoveryVeeamTerraformAnsiblePagerDuty
Réserver une consultation
Reprise après sinistre et modernisation des sauvegardes | Case Study | SystimaNX