RPO : comment améliorer vos objectifs de reprise après incident

En entreprise, la moindre interruption de service peut coûter des millions et menacer la confiance des clients. Le Recovery Point Objective (RPO), fixe la quantité de données qu’une entreprise peut se permettre de perdre entre deux sauvegardes. Étroitement lié au RTO (Recovery Time Objective), il guide la politique de résilience des données, la conformité réglementaire et les plans de reprise d’activité. Entre définitions et bonnes pratiques cyber, découvrez comment évaluer, calculer et améliorer votre RPO afin de renforcer votre stratégie de continuité et de reprise après incident.

Qu'est-ce que le RPO en informatique ?

RPO (Recovery Point Objective) : définition

Le Recovery Point Objective, ou RPO, correspond à la quantité maximale de données qu’une organisation accepte de perdre entre deux sauvegardes lors d’un incident.

Par exemple, une entreprise qui effectue une sauvegarde toutes les quatre heures a un RPO de 4 h, ce qui signifie qu’en cas d’incident elle pourra perdre jusqu’à quatre heures de données.

En France, l’ANSSI emploie l’expression Perte de Données Maximale Admissible (PDMA)¹. Cette notion complète le RTO (Recovery Time Objective), appelé Durée Maximale d’Interruption Admissible (DMIA), qui désigne le temps maximum d’interruption des services.

Lorsqu’on parle de cybersécurité en entreprise, ces deux indicateurs vont de pair pour assurer la continuité d’activité. Ils orientent les plans de reprise (PRA) et de continuité (PCA), en définissant les priorités de sauvegarde et de restauration.

Les objectifs du RPO

Limiter la parte de données et garantir la disponibilité des systèmes

Un RPO bien défini fixe, pour chaque service critique, la quantité maximale de données pouvant être perdue. Cette approche permet de maintenir un niveau de service acceptable même lors d’événements graves : panne d’un data center, corruption de bases de données ou attaque par ransomware.

Prenons l’exemple d’un site de commerce en ligne. S’il se contente d’une sauvegarde nocturne, il risque de perdre une journée complète de commandes. En revanche, un RPO de 15 minutes sur la base des transactions garantit que presque toutes les ventes seront conservées en cas d’incident.

Sécuriser les données critiques et prévenir les impacts financiers

La valeur d’un RPO court se mesure aussi en termes financiers et réputationnels. La perte de quelques milliers de dossiers médicaux ou de relevés bancaires peut entraîner des sanctions réglementaires, des indemnisations ou des ruptures de contrat.

Un RPO ambitieux contribue donc à protéger les informations les plus sensibles (paiements, données clients, propriété intellectuelle) et à éviter les frais liés aux interruptions de service.

Mais attention : pour être fiable, il doit s’appuyer sur des mécanismes solides de sauvegarde, de réplication et de chiffrement.

Répondre aux obligations réglementaires cyber et contractuelles

Le RPO constitue également une exigence de conformité face aux normes cyber :

• La directive NIS2² impose aux opérateurs de services essentiels de prouver leur capacité à rétablir les fonctions critiques dans des délais documentés.
  
  
• DORA, dans le secteur financier, exige une reprise contrôlée et mesurable après incident.
  
  
• La norme ISO 27001 et  le RGPD demandent la restauration rapide de l’accès aux données personnelles.
  
  

À ces contraintes légales s’ajoutent les engagements contractuels pris avec les clients ou partenaires. Ces accords de niveau de service, ou SLA (Service Level Agreements), traduisent les objectifs RPO en obligations précises : par exemple, un fournisseur cloud peut s’engager à garantir un RPO de quelques minutes pour une base de données transactionnelle. 

Le non-respect de ces engagements peut non seulement entraîner des pénalités financières, mais aussi la remise en cause de la relation commerciale.

Comment définir et calculer un RPO adapté à votre entreprise ?

La définition d’un RPO pertinent ne se résume pas à fixer une valeur chiffrée. Elle exige une analyse rigoureuse des données, des processus métiers, des interdépendances applicatives et du cadre réglementaire. L’objectif est de transformer un indicateur théorique en une capacité mesurable de reprise, alignée sur les enjeux réels de l’entreprise.

1. Cartographier et classer les données critiques

La première étape consiste à dresser l’inventaire précis de toutes les données et applications, qu’elles soient hébergées sur site, dans le cloud ou en environnement hybride.

• Identifiez les systèmes vitaux : ERP, CRM, plateformes e-commerce, bases de production, environnements de développement.
  
  
• Analysez les flux entre ces systèmes pour repérer les dépendances cachées. Une base de données support peut, par exemple, conditionner plusieurs applications métiers.
  
  
• Classez chaque élément en fonction de sa criticité pour l’activité, en tenant compte de l’impact opérationnel, financier et réglementaire.
  
  

À titre d’exemple, une entreprise industrielle distinguera ses données de contrôle de production, qui nécessitent une sauvegarde quasi temps réel, de ses archives comptables, pour lesquelles une sauvegarde quotidienne reste acceptable.

2. Évaluer la perte de données maximale admissible (PDMA)

Sur la base de cette cartographie, l’entreprise détermine la Perte de Données Maximale Admissible (PDMA) :

Cette évaluation repose sur plusieurs paramètres :

• Valeur économique : chiffre d’affaires potentiel perdu par heure ou par jour d’interruption.
• Impact métier : conséquences sur la production, la logistique, la relation client.
• Exigences réglementaires : risques de non-conformité ou d’amendes.

Chaque processus métier est noté selon deux critères : impact métier et coût d’une perte de données.

Pour rendre l’analyse plus opérationnelle, nous vous conseillons de formaliser l’évaluation sous forme de tableau de scoring.

3. Intégrer les contraintes métiers et réglementaires

Le RPO doit refléter les exigences propres au secteur, notamment :

• Banque et paiements : certaines transactions exigent un RPO quasi nul pour éviter la moindre perte de flux financiers.
  
  
• E-commerce : un RPO de 30 minutes peut être suffisant pour la logistique, mais pas pour les données de paiement.
  
  
• Santé : la réglementation impose une traçabilité quasi continue des dossiers patients.
  
  
• Les obligations issues du RGPD, de la directive NIS2, du règlement DORA pour le secteur financier ou encore d’accords contractuels (SLA) doivent être intégrées dès la conception.
  
  

Cette phase doit aussi tenir compte de la réalité opérationnelle : budgets, ressources humaines, maturité des infrastructures. Un RPO ambitieux mais irréaliste risque de ne jamais être atteint.

4. Convertir la PDMA en objectif RPO opérationnel

Une fois la PDMA fixée, il faut la traduire en fréquence de sauvegarde ou de réplication :

• Un RPO de 15 minutes implique une sauvegarde ou une réplication au minimum toutes les 15 minutes.
  
  
• Un RPO de 5 minutes peut nécessiter une réplication synchrone entre deux data centers.

Des solutions comme Veeam, Rubrik ou Zerto aident à surveiller le respect de ces objectifs en temps réel, avec alertes automatiques en cas de dérive.

À noter : il est recommandé de formaliser ce RPO dans les plans de reprise d’activité (PRA) et plans de continuité (PCA), en précisant les procédures, les ressources techniques et les responsabilités.

5. Définir plusieurs niveaux de RPO selon les services

Toutes les données n’ont pas la même importance ni les mêmes contraintes. Une stratégie à plusieurs niveaux optimise les coûts et la performance :

• RPO nul (zéro perte) pour les flux financiers et les transactions critiques.
  
  
• RPO de quelques minutes pour les bases de commandes ou la messagerie interne.
  
  
• RPO de quelques heures pour les applications bureautiques.
  
  
• RPO d’une journée ou plus pour les archives ou les environnements de test.

Cette hiérarchisation permet d’investir dans des solutions coûteuses (réplication synchrone, sauvegarde continue) uniquement pour les données stratégiques, tout en maintenant un niveau de protection approprié pour les autres.

L’ANSSI recommande d’ailleurs de documenter et auditer régulièrement ces différents niveaux pour garantir leur cohérence dans le temps.

Comment améliorer le RPO et réduire la perte de données ?

Une fois les objectifs RPO définis, l’enjeu consiste à réduire l’écart entre la théorie et la pratique. Pour ce faire, il s’agit de bâtir une infrastructure résiliente, automatisée et sécurisée, capable de résister aux aléas techniques et aux menaces cyber.

Mettre en place une stratégie de sauvegarde et de réplication efficace

Le choix de la technologie conditionne directement la capacité à réduire la perte de données.

• Les sauvegardes complètes assurent une image fiable mais restent coûteuses en temps et en stockage, adaptées à des RPO longs (plusieurs heures à une journée).
  
  
• Les sauvegardes incrémentielles ne capturent que les changements, ce qui les rend beaucoup plus rapides et adaptées à des RPO de quelques dizaines de minutes.
  
  
• Les sauvegardes continues enregistrent chaque transaction ou modification en temps réel, permettant d’atteindre un RPO quasi nul.

Dans les environnements critiques, la réplication synchrone est privilégiée : chaque opération validée dans la base de production est immédiatement dupliquée sur un site secondaire. Ainsi, en cas de sinistre, aucune donnée n’est perdue. 

La réplication asynchrone, moins onéreuse, introduit un léger décalage mais reste adaptée pour des RPO intermédiaires.

Cependant l’expérience montre que la fiabilité ne repose pas uniquement sur la technologie choisie, mais aussi sur sa capacité à être testée régulièrement. De nombreuses entreprises découvrent l’invalidité de leurs sauvegardes seulement après un incident. Des tests trimestriels, réalisés dans des environnements isolés, permettent de s’assurer que la restauration est rapide et cohérente avec les objectifs RPO.

Automatiser l'exécution et le contrôle des sauvegardes et restaurations

On ne vous apprend rien : le facteur humain est souvent le maillon faible de la chaine cyber, et les plans de reprise n’y font pas exception.

Par exemple, un opérateur qui oublie de lancer une sauvegarde critique ou qui exécute mal une procédure de restauration peut compromettre le RPO. C’est pourquoi l’automatisation est indispensable !

Les entreprises les plus matures sur le plan cyber mettent en place des playbooks PRA/PCA, capables de déclencher automatiquement des séquences de sauvegarde, de réplication ou de bascule d’infrastructure en cas d’incident. Ces playbooks orchestrent les interactions entre serveurs, bases de données et applications, sans attendre une intervention manuelle.

Les consoles centralisées de supervision permettent quant à elles de :

• Vérifier en temps réel l’état des sauvegardes et réplications
  
  
• Déclencher des alertes si un objectif RPO est dépassé
  
  
• Produire des rapports pour les audits internes et réglementaires

Enfin, des tests de sinistre en conditions réelles complètent cette approche. Simuler une attaque par ransomware ou l’arrêt brutal d’un data center permet de mesurer la réactivité de l’organisation et de corriger les points faibles avant qu’un incident ne survienne réellement.

Segmenter et sécuriser les environnements critiques pour réduire le RPO

Améliorer le RPO ne consiste pas seulement à multiplier les sauvegardes. Il s’agit aussi de sécuriser l’environnement de stockage pour qu’il reste exploitable lors d’un incident majeur. Une approche cohérente combine plusieurs mesures : 

• Adoption d’une architecture Zero Trust et d’une segmentation réseau (VLAN) pour cloisonner les environnements de sauvegarde et limiter la propagation d’un malware.
  
  
• Mise en place d’une sauvegarde externalisée, hébergée dans un environnement isolé et administré par un tiers de confiance pour éviter une compromission simultanée de la production et des sauvegardes
  
  
• Recours à l’immutabilité des copies afin de garantir que les données sauvegardées ne puissent être altérées ou supprimées.
  
  
  

Le saviez-vous ? 💡

L’usage d’un coffre-fort numérique comme LockFiles illustre cette logique : il permet de stocker des copies inaltérables, déconnectées des environnements de production, pour garantir que la reprise reste toujours possible. En cas d’attaque, même ciblant les sauvegardes, ces copies restent donc disponibles pour garantir une restauration rapide et conforme au RPO défini.