Aller au contenu principal
Sauvegarde Guide pratique PME

Définir le RPO et ajuster la fréquence de sauvegarde

La quantité maximale de données que vous acceptez de perdre (RPO) est-elle définie ?

En bref — ce que vous devez retenir

Le RPO (Recovery Point Objective) définit la quantité maximale de données que vous acceptez de perdre. Si votre RPO est de 24 heures, une sauvegarde quotidienne suffit. Si votre RPO est de 1 heure pour une base de données de commandes, vous avez besoin de réplication en temps réel.

Glossaire

RPO

Recovery Point Objective

Objectif de Point de Reprise

Quantité maximale de données qu'on accepte de perdre en cas d'incident. Exemple : « on peut perdre au maximum 1 heure de données » implique une sauvegarde toutes les heures.

? Nature du problème

Le RPO est la réponse à : si un incident se produit maintenant, jusqu'où dans le temps puis-je remonter ? Il dépend directement de la fréquence de vos sauvegardes. Sauvegarde quotidienne = RPO 24h. Sauvegarde toutes les heures = RPO 1h.

Le problème : la plupart des PME ont un RPO implicite sans le savoir. Elles sauvegardent tous les soirs mais accepteraient difficilement de perdre une journée de commandes, de devis ou d'échanges clients. Définir le RPO force à confronter les attentes à la réalité.

Il faut distinguer le RPO déclaré (ce que vous pensez pouvoir vous permettre de perdre) et le RPO réel (ce que votre infrastructure permet réellement). Une entreprise peut déclarer un RPO de 2 heures mais avoir une sauvegarde quotidienne — l'écart entre les deux est une dette de risque non couverte.

Pour les bases de données transactionnelles (commandes, paiements, stocks), un RPO de plusieurs heures est souvent inacceptable. Les solutions comme la réplication continue (WAL streaming pour PostgreSQL, binlog pour MySQL) permettent d'atteindre des RPO de quelques minutes sans coût prohibitif pour une PME.

Comment corriger — étape par étape

  1. Pour chaque système critique, demandez : "Combien d'heures de données puis-je me permettre de perdre ?"
  2. Documentez le RPO par système (ex : base commandes = 1h, comptabilité = 24h, emails = 4h)
  3. Ajustez la fréquence de sauvegarde en conséquence
  4. Pour un RPO < 4h, envisagez la réplication continue (journaux de transaction, streaming replication pour PostgreSQL/MySQL)
  5. Pour un RPO < 1h, envisagez une solution de haute disponibilité (active-passive, clustering)
  6. Documentez le RPO dans votre plan de continuité

! Incidents réels

Agence immobilière — Lyon, 2022

Crash base de données un jeudi à 16h. Dernière sauvegarde : mercredi à 2h. Perte : 14 heures de compromis de vente, de prises de RDV et de documents signés. Le RPO implicite de l'agence était 0 (aucune perte acceptable), mais la sauvegarde offrait 24 heures.

SaaS BtoB — Rennes, 2023

"On avait un RPO de 1 heure pour notre base clients. Notre sauvegarde était quotidienne. On ne s'en était jamais rendu compte jusqu'au jour où un bug a corrompu 6 heures de données."

Cabinet d'avocats — Paris, 2024

"Notre politique de sécurité déclarait un RPO de 1 heure. Notre sauvegarde réelle était quotidienne. Un incident nous a coûté 8 heures de documents clients — exactement ce que notre politique interdisait de perdre. Le RPO sur le papier ne sert à rien sans l'infrastructure pour le tenir."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →