7 min de lecture
Le serveur de base de données est hors ligne depuis 40 minutes, la direction générale demande pour la troisième fois quand les activités reprendront, et la sauvegarde du vendredi soir constitue le seul espoir. Celui qui connaît ce scénario sait : la question n’est pas de savoir si une panne surviendra, mais à quelle vitesse l’entreprise retrouvera sa capacité opérationnelle.
L’essentiel
- 🔥 Les pannes imprévues coûtent en moyenne 5 600 dollars américains par minute aux PME – et la plupart ne réalisent qu’en situation critique que leur stratégie de sauvegarde ne suffit pas.
- ☁️ Le DRaaS (Récupération après sinistre en tant que service) déplace la récupération après sinistre dans le cloud et remplace les sites de secours internes par une infrastructure gérée de basculement (failover).
- ⚖️ Trois options s’offrent à vous : la récupération après sinistre gérée en interne (self-managed DR), le DRaaS entièrement géré (fully managed) et la récupération hybride (Hybrid-DR) – chacune impliquant des compromis clairs entre coûts, contrôle et délai de restauration.
- 🏭 Comment l’entreprise de construction mécanique Trumpf a réduit sa stratégie de récupération après sinistre à un RPO inférieur à 15 minutes à l’aide de Zerto – sans second centre de données.
- ✅ En fin d’article, une checklist en 7 points permettant aux équipes IT d’évaluer leur maturité en matière de récupération après sinistre en 30 minutes.
Selon une étude menée par ITIC (Information Technology Intelligence Consulting, 2024), 91 % des entreprises interrogées estiment le coût d’une heure d’indisponibilité à plus de 300 000 dollars américains. Pour les PME allemandes – souvent dépourvues de centres de données redondants et dotées d’équipes IT restreintes – il s’agit d’un risque existentiel.
La récupération après sinistre en tant que service (DRaaS) promet une solution : l’intégralité de l’infrastructure de restauration migre vers le cloud. Plutôt que d’exploiter leurs propres sites de secours, les entreprises répliquent leurs charges de travail critiques chez un prestataire qui prend en charge le basculement (failover) en cas d’urgence. Cela semble simple. En pratique, la décision est bien plus complexe que ne le laissent supposer les présentations commerciales des fournisseurs.
Pourquoi la sauvegarde classique ne suffit pas
La plupart des entreprises de taille moyenne confondent sauvegarde et récupération après sinistre. Bien que ces deux notions soient liées, elles répondent à des problèmes distincts. Une sauvegarde protège les données. La récupération après sinistre rétablit l’intégralité des systèmes, des réseaux et des applications dans un délai défini.
Cette différence devient concrète lorsqu’une attaque par rançongiciel chiffre non seulement des fichiers isolés, mais aussi l’intégralité de l’Active Directory et des serveurs virtualisés. Dans ce cas, même la meilleure sauvegarde est peu utile si l’infrastructure nécessaire à la restauration fait défaut.
Qui s’intéresse aux dimensions financières des coûts cloud trouvera dans notre vérification pratique FinOps des perspectives complémentaires sur la maîtrise des coûts cloud.
Trois voies vers la récupération après sinistre : gestion en interne, DRaaS et approche hybride
Les équipes IT sont confrontées à trois options fondamentales. Chacune est justifiée, mais comporte des compromis spécifiques.
Option 1 : Récupération après sinistre gérée en interne (self-managed DR – second centre de données physique)
Le modèle classique : un site physiquement séparé reflète l’environnement de production. Contrôle total, coûts totaux. Le matériel doit être acquis, exploité et régulièrement testé. Pour les entreprises soumises à des exigences de conformité imposant un hébergement physique des données dans certaines régions, cette voie reste parfois incontournable.
Avantages : Contrôle maximal, aucune dépendance vis-à-vis de tiers, pleine souveraineté des données.
Inconvénients : Coûts d’investissement élevés (CAPEX), frais d’exploitation permanents, effort de test souvent sous-estimé. Selon Veeam, 58 % des entreprises testent leur plan de récupération après sinistre moins d’une fois par an.
Option 2 : DRaaS entièrement géré (fully managed)
Un fournisseur tel que Zerto (HPE), Veeam, Commvault ou Datto prend en charge l’intégralité de l’infrastructure de récupération après sinistre. Les charges de travail sont répliquées en continu, et le basculement (failover) s’effectue de façon automatisée ou à la simple pression d’un bouton. L’équipe IT définit les objectifs de point de restauration (RPO – Recovery Point Objective) et de temps de restauration (RTO – Recovery Time Objective), tandis que le fournisseur garantit leur respect.
Avantages : Pas besoin de disposer d’un centre de données de secours en propre, coûts prévisibles (OPEX), tests réguliers assurés par le fournisseur, montée en puissance rapide.
Inconvénients : Dépendance au fournisseur (risque de verrouillage technologique – vendor lock-in), coûts récurrents augmentant avec le volume de données, contrôle limité sur l’orchestration du basculement. Tous les fournisseurs ne stockent pas les données dans des centres de données allemands.
Option 3 : Récupération après sinistre hybride (Hybrid-DR)
Les systèmes critiques de niveau Tier-1 (ERP, supervision de la production) fonctionnent sur une infrastructure dédiée, tandis que les charges de travail moins critiques sont protégées via le DRaaS. Cette approche allie contrôle et flexibilité, mais augmente la complexité de l’orchestration.
Avantages : Solution sur mesure, équilibre entre coûts et contrôle.
Inconvénients : Effort de planification accru, deux systèmes doivent fonctionner conjointement en cas d’urgence, les scénarios de test deviennent plus complexes.
« La solution de récupération après sinistre la plus coûteuse est celle qui ne fonctionne pas en situation réelle. Et la cause la plus fréquente de cet échec n’est pas l’absence de technologie, mais le manque de tests. »
Wolfgang Kurz, directeur général d’indevis IT-Consulting
Cas pratique : Trumpf choisit le DRaaS plutôt qu’un second centre de données
L’entreprise de construction mécanique Trumpf, basée à Ditzingen (18 000 collaborateurs, chiffre d’affaires supérieur à 5 milliards d’euros), a dû faire face en 2023 à une décision classique : construire un second centre de données pour la récupération après sinistre ou opter pour une solution DRaaS. Le département IT a choisi la plateforme DRaaS Zerto (aujourd’hui intégrée à HPE).
Résultat, six mois après la mise en œuvre : réplication continue avec un RPO inférieur à 15 minutes pour les systèmes critiques. Le basculement a été testé tous les trimestres, sans perturber la production. Trumpf a estimé, dans une référence publiée avec HPE, les économies réalisées sur les investissements évités pour un second centre de données à un montant à sept chiffres.
Ce qui est rarement mentionné : le principal défi n’était pas technologique, mais la classification des charges de travail. Quels systèmes nécessitent un RPO de quelques minutes ? Lesquels peuvent se contenter de plusieurs heures ? Cette question a contraint le département IT à engager un dialogue structuré avec les métiers – un échange qui n’avait jamais eu lieu de façon systématique auparavant.
La position contraire : pourquoi le DRaaS ne convient pas à tous
Tous les consultants IT ne considèrent pas le DRaaS comme la solution idéale. Thomas Uhlemann, spécialiste sécurité chez ESET, met régulièrement en garde contre une externalisation complète de la récupération après sinistre : « Celui qui ne comprend pas lui-même comment restaurer ses systèmes, ni ne peut les tester, ne dispose pas d’une solution de récupération après sinistre. Il ne détient qu’une promesse. » Ce constat touche particulièrement les entreprises traitant des données réglementées – secteur de la santé, infrastructures critiques, services financiers.
La question des coûts est également plus nuancée que ne le suggèrent les fournisseurs DRaaS. Avec l’augmentation du volume de données, les coûts mensuels croissent linéairement. Les entreprises disposant de plusieurs pétaoctets de données de production trouvent à long terme une solution plus économique avec une infrastructure propre – à condition, bien sûr, de disposer des ressources humaines nécessaires à son exploitation.
Pour ceux qui souhaitent saisir le contexte plus large des tendances cloud actuelles, notre synthèse des tendances cloud 2026 fournit des repères supplémentaires.
Ce à quoi les équipes IT doivent prêter attention lors du choix d’un fournisseur
Selon MarketsandMarkets, le marché européen du DRaaS connaît une croissance annuelle supérieure à 20 %. L’offre est donc particulièrement dense et difficile à appréhender. Cinq critères permettent de distinguer les offres sérieuses des simples promesses marketing :
1. Localisation des centres de données et souveraineté des données : Pour les charges de travail soumises au RGPD, les centres de données allemands ou européens sont obligatoires. Tous les fournisseurs basés aux États-Unis ne peuvent pas le garantir. Pour approfondir ce sujet, consultez notre article sur la cloud privé et souveraineté des données.
2. Garanties RTO/RPO testées : Un SLA sur papier est sans valeur sans tests réguliers et documentés de basculement. Les fournisseurs sérieux proposent des tests non perturbateurs (Non-Disruptive Testing) – des simulations de basculement n’affectant pas le fonctionnement en production.
3. Compatibilité réseau : Le DRaaS exige une bande passante suffisante pour la réplication continue. Sur des connexions DSL asymétriques ou des lignes MPLS partagées, cela peut rapidement devenir un goulot d’étranglement.
4. Granularité de la restauration : Le fournisseur est-il capable de restaurer des machines virtuelles individuelles, des piles applicatives complètes ou uniquement des environnements entiers ? Plus la granularité est élevée, plus la réaction en situation réelle est flexible.
5. Stratégie de sortie (exit strategy) : Que se passe-t-il si le fournisseur est racheté, augmente ses tarifs ou cesse son activité ? La possibilité d’exporter les données et l’utilisation de formats ouverts ne sont pas des détails secondaires.
Checklist en 7 points : évaluer sa maturité en matière de récupération après sinistre en 30 minutes
Cette checklist ne constitue pas un audit complet, mais un test rapide. Si quatre points ou plus sont répondus par « Non », une action immédiate s’impose.
1. RTO et RPO définis : Des objectifs mesurables de temps de restauration (RTO) et de point de restauration (RPO) ont-ils été fixés pour tous les systèmes critiques – non pas comme un souhait, mais comme une exigence documentée formulée par les métiers ?
2. Classification des charges de travail disponible : Existe-t-il une vue d’ensemble actualisée indiquant quels systèmes relèvent du niveau Tier 1 (minutes), Tier 2 (heures) ou Tier 3 (jours) ?
3. Dernier test de récupération après sinistre documenté : Un basculement complet a-t-il été testé au cours des six derniers mois (et non seulement la restauration de fichiers ou de bases de données isolés) ?
4. Scénario rançongiciel pris en compte : Le plan de récupération après sinistre intègre-t-il des scénarios où l’Active Directory et l’infrastructure de sauvegarde sont eux-mêmes compromis ?
5. Capacité réseau vérifiée : La bande passante disponible est-elle suffisante pour la réplication continue des charges de travail Tier-1, sans perturber le fonctionnement en production ?
6. Responsabilités clairement définies : Chaque membre de l’équipe sait-il qui déclenche le basculement en cas d’urgence, qui assure la communication et qui coordonne les métiers ?
7. Budget réaliste : Les budgets IT actuels couvrent-ils les coûts récurrents d’une solution de récupération après sinistre – y compris les tests, les mises à jour et l’augmentation du volume de données ?
Questions fréquentes
En quoi le DRaaS se distingue-t-il de la sauvegarde en tant que service (Backup-as-a-Service) ?
La sauvegarde en tant que service (BaaS) protège les données et permet de restaurer des fichiers ou des bases de données isolés. Le DRaaS va plus loin : il réplique des systèmes complets, des configurations réseau et des applications, et permet un basculement complet (failover) vers une infrastructure de secours. Son objectif n’est pas la restauration de fichiers isolés, mais la reprise intégrale de l’activité commerciale.
Quels sont les coûts typiques du DRaaS pour les PME ?
Ces coûts dépendent fortement du volume de données, des valeurs RPO/RTO souhaitées et de la portée des prestations. En guise d’ordre de grandeur, les analystes estiment qu’une stratégie solide de récupération après sinistre représente 2 à 8 % du budget IT global. Pour les petites PME, le DRaaS entièrement géré commence généralement à 1 500 à 3 000 euros par mois, puis évolue en fonction du nombre de charges de travail protégées.
Le DRaaS est-il conforme au RGPD ?
Oui, en principe, à condition que le fournisseur stocke les données dans des centres de données situés dans l’UE et respecte les exigences relatives au traitement de données pour le compte d’autrui (article 28 du RGPD). Les éléments décisifs sont la localisation des cibles de réplication, le chiffrement des données en transit et au repos, ainsi qu’un contrat de traitement de données (CTD) rigoureusement rédigé. Les entreprises doivent vérifier si le fournisseur utilise des sous-traitants dans des pays tiers.
À quelle fréquence faut-il tester un basculement (failover) ?
Au minimum tous les trimestres, idéalement chaque mois pour les systèmes Tier-1. Les tests non perturbateurs, qui n’affectent pas le fonctionnement en production, réduisent considérablement la barrière à l’adoption. Chaque test doit être documenté : qu’a-t-on testé ? Combien de temps la restauration a-t-elle duré ? Quelles écarts par rapport au plan ont été observés ? Sans cette documentation, un plan de récupération après sinistre est, en situation réelle, une affaire de hasard.
Le DRaaS peut-il également protéger des environnements hybrides ?
Oui. La plupart des fournisseurs établis de DRaaS (Zerto, Veeam, Commvault) prennent en charge des scénarios hybrides : les charges de travail sur site (on-premises) sont répliquées dans le cloud, tandis que les charges de travail natives du cloud sont répliquées entre régions. Le défi réside dans l’orchestration : lorsque des parties de l’infrastructure tournent localement et d’autres dans le cloud, le plan de basculement doit synchroniser la restauration dans les deux environnements.
Lectures complémentaires
- FinOps : comment les entreprises maîtrisent enfin les coûts cloud
- Tendances cloud 2026 : ce que les décideurs IT doivent surveiller aujourd’hui
- Cloud privé pour l’IA : pourquoi les secteurs réglementés misent sur l’infrastructure locale (on-premises)
Plus d’articles du réseau média MBF
- Vérification pratique SBOM : la liste des composants logiciels jusqu’en septembre 2026 (SecurityToday)
- Migration SAP 2026 : pourquoi les PME sont sous pression (MyBusinessFuture)
- Agenda des DSI 2026 : entre pression budgétaire et obligation d’innover (Digital Chiefs)
Source de l’image : Pexels / Christina Morillo
