Skip to content

La direction dit : « Nous avons des sauvegardes, donc nous sommes couverts pour la reprise d'activité. » Que clarifiez-vous ?

Réponse courte

Les sauvegardes sont nécessaires mais non suffisantes : la reprise d'activité et la continuité d'activité sont la capacité testée à restaurer l'activité dans les objectifs convenus de temps et de point de reprise (RTO/RPO), ce qui exige un plan documenté, des dépendances cartographiées, des runbooks et des restaurations validées — pas seulement l'existence de fichiers de sauvegarde. Affirmer qu'elles sont identiques confond une copie de données avec une capacité opérationnelle. Le PRA ne se résume pas à souscrire une assurance, qui transfère la perte financière mais ne restaure pas les systèmes. Et les sauvegardes ne rendent pas un PRA inutile — des sauvegardes non testées échouent régulièrement le moment venu. La clarification : le PRA doit être exercé, pas présumé.

« Nous avons des sauvegardes, donc nous sommes couverts » est l'une des hypothèses les plus courantes et dangereuses en matière de résilience. Les sauvegardes sont un composant de la reprise d'activité, pas son intégralité — et prendre la copie pour la capacité, c'est exactement ainsi que les organisations découvrent, en pleine crise, qu'elles ne peuvent pas réellement se rétablir.

Sauvegardes vs PRA vs PCA

Une sauvegarde est une copie de données. La reprise d'activité (PRA) est la capacité testée à restaurer l'activité — applications, infrastructure et données — dans des RTO définis (la rapidité du retour exigé) et des RPO (la quantité de données que l'on peut se permettre de perdre). La continuité d'activité (PCA) est plus large encore : maintenir l'entreprise en fonctionnement à travers la perturbation, y compris les personnes, les processus et les locaux. Un vrai PRA exige un plan documenté, des dépendances cartographiées (une application est inutile sans sa base de données, son DNS et son fournisseur d'identité), des runbooks et, surtout, des restaurations validées prouvant que l'on peut atteindre ses RTO/RPO.

Pourquoi les mauvaises réponses échouent

« Sauvegardes et PRA, c'est la même chose » est l'amalgame central : il confond le fait de disposer de données avec la capacité à reprendre l'activité. « Le PRA, c'est juste souscrire une assurance » confond le transfert du risque financier avec la reprise opérationnelle — l'assurance peut couvrir les pertes, mais elle ne remet pas vos systèmes en ligne. « Les sauvegardes rendent un PRA inutile » ignore la réalité bien documentée selon laquelle les sauvegardes non testées échouent souvent le moment venu : supports corrompus, périmètre incomplet, ordre de restauration impraticable, ou identifiants qui n'existent plus. L'existence n'est pas la récupérabilité.

Le jugement évalué

L'intervieweur veut vous voir contester une croyance rassurante mais fausse et la reformuler de manière constructive : la question n'est pas « avons-nous des sauvegardes ? » mais « avons-nous prouvé que nous pouvons restaurer l'activité dans nos objectifs ? » Les bonnes réponses évoquent des tests de restauration et exercices de PRA réguliers, la distinction entre RTO et RPO, la cartographie des dépendances et les menaces modernes — par exemple, des sauvegardes immuables ou hors ligne pour qu'un rançongiciel ne puisse pas chiffrer aussi vos copies de récupération. La clarification phare est simple : le PRA est une capacité que l'on exerce, pas un état que l'on présume parce que les tâches de sauvegarde sont au vert.

Questions de suivi probables

  • Quelle est la différence entre RTO et RPO, et comment orientent-ils la conception des sauvegardes ?
  • Comment concevriez-vous un test de PRA réaliste sans perturber la production ?
  • Pourquoi les sauvegardes immuables ou hors ligne importent-elles spécifiquement face aux rançongiciels ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.