La redondance consiste à dupliquer les composants critiques de l'infrastructure pour garantir la continuité de service en cas de défaillance. L'ISO 27002 mesure 8.14 recommande cinq niveaux de redondance :

• Redondance matérielle : composants dupliqués (alimentations, disques, cartes réseau) au sein d'un même équipement pour absorber les pannes matérielles
• Redondance serveurs : plusieurs serveurs assurant le même service (clustering, load balancing) pour maintenir le service si un serveur tombe
• Redondance réseau : liens réseau multiples, opérateurs différents, chemins diversifiés pour garantir la connectivité même si un lien est coupé
• Redondance données : réplication synchrone ou asynchrone vers sites distants pour protéger contre la perte de données
• Redondance géographique : sites multiples distants pour survivre aux catastrophes localisées (incendie, inondation, catastrophe naturelle)

Ces niveaux se combinent pour créer une architecture résiliente adaptée à la criticité des services.

Qu'est-ce qu'un SPOF ?

Un SPOF (Single Point of Failure) est tout composant dont la défaillance entraîne l'arrêt complet d'un service. Identifier les SPOF est le prérequis à toute architecture résiliente.

SPOF courants dans les PME

Serveur unique : toutes les applications sur un seul serveur (si il tombe, tout s'arrête), connexion Internet unique : un seul lien opérateur (coupure = isolement total), contrôleur de domaine unique : authentification Active Directory sur un seul serveur (panne = personne ne peut se connecter), alimentation unique : pas d'onduleur ou onduleur unique non redondant, stockage non redondant : disques en JBOD sans RAID (panne disque = perte données), switch réseau unique : toute l'infrastructure connectée sur un switch (panne = réseau mort).

Cartographie des SPOF

Méthode d'identification : tracer le schéma d'architecture complet, pour chaque service critique (messagerie, ERP, CRM, serveur fichiers), identifier le chemin de dépendances (réseau → alimentation → serveur → stockage → application), repérer les composants uniques sur ce chemin, évaluer l'impact si ce composant tombe, prioriser selon criticité métier × probabilité de panne.

Alimentations redondantes

Serveurs professionnels avec double alimentation : deux blocs d'alimentation dans le serveur, chacun connecté sur un circuit électrique différent (UPS A et UPS B), si une alimentation ou un UPS tombe, l'autre continue, configuration N+1 minimum (si besoin d'une alimentation, en avoir deux).

Attention : vérifier que les deux alimentations sont sur des UPS différents (sinon SPOF au niveau UPS).

Disques en RAID

Protection contre panne disque : RAID 1 (miroir) : duplication complète sur 2 disques, perte de 50% capacité, supporte panne 1 disque, RAID 5 : répartition avec parité sur 3+ disques, perte 1 disque de capacité, supporte panne 1 disque, RAID 6 : double parité sur 4+ disques, perte 2 disques de capacité, supporte panne 2 disques simultanés, RAID 10 (1+0) : miroir + stripe, performances élevées, supporte panne multiple si pas sur même miroir.

Éviter RAID 0 (stripe) : aucune redondance, panne 1 disque = perte totale.

Hot spare : disque de rechange en attente dans le serveur, reconstruction automatique en cas de panne sans intervention.

Cartes réseau redondantes (NIC teaming)

Plusieurs cartes réseau agrégées : mode actif/passif : une carte active, autre en standby (bascule si panne), mode actif/actif : toutes les cartes actives, répartition de charge (load balancing), si une carte tombe, trafic redistribué sur les autres, connexion à des switches différents (éviter SPOF switch).

Ventilateurs et refroidissement

Serveurs avec ventilateurs redondants : plusieurs ventilateurs, si un tombe les autres compensent, alertes si défaillance ventilateur (intervention avant surchauffe).

Clustering haute disponibilité

Plusieurs serveurs fournissant le même service : cluster actif/passif : un serveur actif, autre(s) en standby, bascule automatique (failover) si serveur actif tombe, IP virtuelle bascule vers serveur passif, cluster actif/actif : tous les serveurs actifs simultanément, répartition de charge (load balancing), si un tombe, charge redistribuée sur survivants.

Technologies : Windows Failover Cluster, Linux Pacemaker/Corosync, VMware HA (vSphere High Availability).

Répartition de charge (load balancing)

Distribuer les requêtes sur plusieurs serveurs : load balancer matériel : F5 BIG-IP, Citrix ADC, load balancer logiciel : HAProxy, Nginx, cloud load balancer : AWS ELB, Azure Load Balancer

Algorithmes : round-robin (tour à tour), least connections (vers serveur le moins chargé), IP hash (même client vers même serveur pour sessions).

Health checks : load balancer vérifie santé des serveurs (ping, requête HTTP), retire automatiquement serveurs défaillants du pool, réintègre quand ils reviennent.

Virtualisation et haute disponibilité

VMware vSphere HA, Hyper-V Failover Clustering : VMs redémarrent automatiquement sur autre hôte si serveur physique tombe, vMotion/Live Migration : déplacer VMs à chaud sans interruption, DRS (Distributed Resource Scheduler) : équilibrage automatique charge entre hôtes.

Liens Internet multiples

Deux connexions Internet minimum : différents opérateurs : pas le même FAI (éviter SPOF opérateur), technologies différentes : fibre + 4G/5G backup, entrées physiques différentes : câbles arrivant par bâtiments différents si possible (éviter rupture physique commune).

BGP multi-homing : pour organisations avec IP publiques propres, annonce routes via plusieurs opérateurs, basculement automatique si un opérateur tombe.

SD-WAN : agrégation intelligente de liens multiples, bascule transparente entre liens, optimisation automatique selon qualité.

Switches redondants

Architecture réseau résiliente : cœur redondant : deux switches cœur (core switches) minimum, agrégation redondante : liens agrégés entre switches (LAG - Link Aggregation), chemins multiples : plusieurs chemins réseau possibles entre deux points.

Spanning Tree Protocol (STP) : évite boucles réseau, désactive liens redondants mais les active si lien principal tombe, RSTP (Rapid STP) : convergence rapide (quelques secondes vs 30-50s pour STP classique).

Routeurs et pare-feu redondants

VRRP (Virtual Router Redundancy Protocol) : deux routeurs partagent IP virtuelle, un actif, autre standby, bascule automatique si routeur actif tombe, HSRP (Cisco) : équivalent propriétaire Cisco.

Pare-feu en cluster actif/passif ou actif/actif : synchronisation des tables de sessions, bascule transparente sans coupure connexions.

SAN/NAS redondants

Stockage professionnel avec redondance intégrée : double contrôleur (dual controller), chemins multiples (multipathing) entre serveurs et stockage, RAID au niveau baie de stockage, réplication vers baie secondaire.

Réplication synchrone vs asynchrone

Réplication synchrone : écriture simultanée sur sites primaire et secondaire, garantie zéro perte de données (RPO = 0), latence accrue (distance limitée < 100 km), pour données ultra-critiques (bases de données transactionnelles).

Réplication asynchrone : écriture d'abord sur site primaire, réplication différée vers secondaire, perte potentielle de quelques minutes de données (RPO > 0), pas de limite de distance, pour données importantes mais non transactionnelles.

Snapshots et sauvegardes

Snapshots : photos instantanées du système de fichiers, récupération rapide (rollback en minutes), ne remplacent pas les sauvegardes (sur même stockage), utilité : erreur utilisateur, test/développement.

Sauvegardes : copies sur supports/sites différents, protection contre sinistre (incendie, ransomware), temps de restauration plus long, obligatoires en complément des snapshots.

N+1 (N plus un)

Configuration minimale pour redondance : si besoin de N ressources pour fonctionner, en avoir N+1, exemple : 4 serveurs nécessaires → déployer 5 (un de spare), panne d'un serveur → service continue sur les 4 restants.

Coût modéré, protection contre panne simple, vulnérable si maintenance simultanée + panne.

N+2 (N plus deux)

Configuration renforcée : deux ressources de spare au-delà du nécessaire, exemple : 4 serveurs nécessaires → déployer 6, supporte 2 pannes simultanées ou maintenance + panne.

Coût plus élevé, protection renforcée, recommandé pour services critiques.

2N (double N)

Configuration maximale : duplication complète de l'infrastructure, exemple : 4 serveurs nécessaires → déployer 8 (deux systèmes complets indépendants), chaque système peut fonctionner seul, généralement géographiquement séparés.

Coût double, résilience maximale (site disaster recovery complet), pour services ultra-critiques (finance, santé, sécurité).

RTO - Recovery Time Objective

Durée maximale d'interruption acceptable : combien de temps le service peut être indisponible sans impact critique, RTO = 0 : aucune interruption tolérée (clustering actif/actif), RTO = 4h : redémarrage sur site de secours en moins de 4h, RTO = 24h : restauration depuis sauvegardes en moins de 24h.

Plus le RTO est court, plus l'architecture doit être redondante (et coûteuse).

RPO - Recovery Point Objective

Perte de données maximale acceptable : quelle quantité de données peut être perdue sans impact critique, RPO = 0 : aucune perte tolérée (réplication synchrone), RPO = 15 min : pertes maximum 15 minutes (réplication asynchrone fréquente), RPO = 24h : sauvegardes quotidiennes (perte max une journée).

Plus le RPO est court, plus la réplication doit être fréquente.

Disponibilité cible (SLA)

Pourcentage de temps où le service doit être disponible : 99% : 3,65 jours d'indisponibilité par an (87,6h), acceptable pour services non critiques, 99,9% (three nines) : 8,76 heures d'indisponibilité par an, standard pour services importants, nécessite redondance basique, 99,99% (four nines) : 52,6 minutes d'indisponibilité par an, services critiques, nécessite redondance complète, 99,999% (five nines) : 5,26 minutes d'indisponibilité par an, ultra-critique (télécoms, finance), architecture 2N géographiquement distribuée.

Tests réguliers obligatoires

Une redondance non testée est une fausse sécurité : planifier tests de basculement trimestriels ou semestriels, simuler pannes de composants (arrêter serveur primaire, couper lien réseau), vérifier basculement automatique fonctionne, mesurer temps de bascule réel, identifier dysfonctionnements et corriger.

Scénarios de test

Test serveur : arrêter serveur primaire, vérifier bascule vers secondaire, vérifier continuité service (applications restent accessibles), vérifier temps de bascule < RTO, redémarrer primaire et vérifier retour normal.

Test réseau : débrancher lien Internet primaire, vérifier bascule vers lien backup, vérifier performances acceptables sur backup, reconnecter primaire et vérifier retour.

Test stockage : simuler panne contrôleur ou disque, vérifier pas d'interruption d'accès, vérifier reconstruction RAID.

Test complet (DR - Disaster Recovery) : basculer toute l'infrastructure vers site de secours, faire fonctionner production complète sur site DR, vérifier tous services opérationnels, mesurer temps de bascule complet, retour vers site primaire.

Documentation des tests

Enregistrer pour chaque test : date et participants, scénario testé, résultats (succès/échec), temps de bascule mesuré, problèmes identifiés, actions correctives, validation par responsable.

Calcul du coût de l'indisponibilité

Évaluer impact financier des pannes : perte chiffre d'affaires : combien par heure d'indisponibilité (e-commerce, production), productivité employés : salaires payés mais improductifs pendant panne, pénalités contractuelles : SLA clients non respectés, image de marque : clients perdus après incident majeur.

Exemple PME : 50 employés × 40€/h salaire chargé = 2000€/h, e-commerce 500€ CA/h, total : 2500€/h d'indisponibilité, panne 4h = 10 000€ de coût direct.

Arbitrage coût redondance vs coût indisponibilité

Comparer investissement redondance vs coût pannes : sans redondance : investissement minimal, mais pannes fréquentes et longues, coût cumulé pannes sur 3-5 ans, avec redondance : investissement initial élevé, mais pannes rares et courtes, ROI si indisponibilité coûte cher.

Point d'équilibre : si coût annuel pannes > coût annualisé redondance → investir dans redondance.

Redondance proportionnée

Adapter selon criticité : services non critiques : redondance minimale (RAID, UPS), acceptable si down quelques heures, services importants : redondance N+1 (clustering basique, double Internet), max 1-2h indisponibilité, services critiques : redondance N+2 ou 2N (multi-sites), max 15 min indisponibilité.

Ne pas sur-investir (2N pour service non critique = gaspillage), ne pas sous-investir (pas de redondance pour service critique = risque majeur).

Maintenance sans interruption

Redondance permet maintenance transparente : mise à jour serveurs : patcher serveur A, basculer charge sur B, patcher serveur B, basculer charge sur A, pas d'interruption pour utilisateurs, remplacement matériel : retirer composant défaillant, remplacer à chaud (hot-swap), système continue sur composants redondants.

Fenêtres de maintenance réduites

Avec redondance complète (2N géographique) : maintenance site A pendant que B assure production, puis inversement, fenêtres de maintenance très souples, impact utilisateurs minimal.

• Fausse redondance : deux alimentations sur le même UPS n'est pas de la vraie redondance. Vérifier que les composants redondants sont vraiment indépendants.
• Redondance jamais testée : clustering configuré mais jamais testé en situation réelle échoue souvent quand vraiment nécessaire. Tests semestriels obligatoires.
• RAID n'est pas une sauvegarde : RAID protège contre panne disque mais pas contre suppression accidentelle, ransomware, ou sinistre. Sauvegardes sur site distant obligatoires.
• Tous les liens sur même opérateur : avoir 2 liens Internet chez le même FAI n'est pas vraiment redondant si problème opérateur. Opérateurs différents obligatoires.

La redondance des moyens de traitement élimine les points de défaillance unique (SPOF) pour maintenir la disponibilité. La redondance matérielle duplique les composants critiques au sein des équipements (alimentations doubles, RAID, NIC teaming). La redondance serveurs utilise clustering actif/passif ou actif/actif avec load balancing pour maintenir le service si un serveur tombe. La redondance réseau déploie liens Internet multiples (opérateurs différents), switches redondants avec STP/RSTP, et routeurs/pare-feu avec VRRP/HSRP.

La redondance stockage réplique les données de façon synchrone (RPO=0) ou asynchrone vers sites distants. Les architectures N+1 (une ressource de spare), N+2 (deux de spare), ou 2N (infrastructure double) s'adaptent à la criticité. Les métriques RTO (durée interruption acceptable) et RPO (perte données acceptable) définissent le niveau de redondance nécessaire, avec des objectifs de disponibilité de 99.9% (8.76h/an), 99.99% (52min/an), ou 99.999% (5min/an) selon criticité.

Les tests de basculement trimestriels ou semestriels valident que la redondance fonctionne réellement. L'arbitrage coût redondance vs coût indisponibilité guide les investissements proportionnés à la criticité métier.