En matière de continuité d’activité, le délai de rétablissement fixé (Recovery Time Objective ou RTO) et la durée maximale d’interruption acceptable (Maximum Tolerable Downtime ou MTD) sont souvent confondus mais jouent pourtant un rôle bien différent. Lequel des énoncés suivants décrit le mieux la différence entre le RTO et le MTD ?
[A] Le RTO indique la durée maximale d’interruption d’une activité métier que l’on tolère alors que le MTD indique la durée maximale d’arrêt d’une ressource IT (serveur, réseau, application,…)
[B] Le RTO est un indicateur technique sur des ressources IT alors que le MTD est un indicateur stratégique sur une fonction « business »
[C] Le RTO définit la durée maximale pendant laquelle un organisme peut se passer d’une fonction ou d’un processus métier alors que le MTD indique la durée maximale acceptable pour rétablir des ressources IT
[D] Le RTO est une mesure relative à la perte de données alors que le MTD est une mesure relative à l’indisponibilité d’une ressource IT ou à une incapacité de traitement
Le MTD (parfois appelé MTO pour Maximum Tolerable Outage) définit la durée maximale d’interruption d’une fonction « business ». C’est donc la durée maximale d’interruption d’une activité métier que l’entreprise peut tolérer.
Définition du MTD dans l’ISO 22300 : Temps nécessaire pour que les impacts défavorables pouvant résulter de la non-fourniture d’un produit/service ou de la non-réalisation d’une activité, deviennent inacceptables.
On peut donc dire que le MTD est un indicateur stratégique qui définit la durée maximale pendant laquelle un organisme peut se passer d’une fonction ou d’un processus métier tout en respectant sa mission et ses obligations contractuelles et règlementaires.
Le RTO quant à lui définit un objectif de délai de reprise ou un temps de récupération cible. C’est la par exemple la durée maximale d’arrêt d’une ressource IT (serveur, réseau, application, …).
Définition du RTO dans l’ISO 22300 : Durée après un incident pendant laquelle un produit ou service ou une activité est reprise, ou des ressources sont rétablies.
On peut donc dire que le RTO est un indicateur technique sur des ressources IT.
La bonne réponse est la proposition [B]
Les propositions [A] et [C] sont incorrectes car elles inversent les rôles respectifs des RTO et MTD.
La proposition [D] est incorrecte car elle confond RTO et RPO (Recovery Point Objective).
Pour en savoir plus sur la continuité/reprise d’activité nous vous recommandons de suivre le module n°18 de la formation CISSP en distanciel de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE