L’interruption soudaine de votre système d’information peut causer de réels dommages. A l’heure actuelle où les cyberattaques, les tentatives d’intrusion ou encore les attaques type ransomwares ne cessent d’augmenter, comment protéger son SI ? Sans compter, les éventuels problèmes réseaux ou dommages naturels type incendie ou inondation.
Encore peu connu, le PRA ou Plan de Reprise d’Activité peut vous permettre de préserver votre système d’information des piratages, catastrophes ou sinistre.
La reprise d’activités est en effet un processus critique qui peut aider une organisation à survivre
En fait, une étude de Gartner a révélé que 40 % des entreprises ne peuvent pas se rétablir après une catastrophe majeure, et parmi celles qui le font, un tiers finissent par fermer leurs portes dans les deux ans suivant la catastrophe.
Mettre en place un PRA, c’est une assurance vie ! Le plan de reprise d’activités ou PRA permet à cette dernière de se concentrer, de hiérarchiser ses risques et ses actifs, d’établir une stratégie de protection des données et de déterminer la meilleure façon de reprendre les opérations normales.
Qu’est-ce qu’un PRA ?
Désormais, les entreprises créent et gèrent de gros volumes d’informations ou de données électroniques. Bien que personne ne veuille penser à un incident inattendu, une catastrophe, qu’elle soit naturelle, provoquée par l’homme ou une cyberattaque, peut survenir à tout moment. Il est donc essentiel que votre entreprise dispose d’un plan de sauvegarde pour restaurer rapidement les services de données interrompus ou menacés. C’est l »intérêt de mettre en place un PRA.
Définition du PRA informatique
Un plan de reprise (PRA informatique), est un ensemble d’outils et de procédures qu’une entreprise utilise pour se remettre d’une interruption majeure des données.
Lors de la mise en place d’un PRA, il est essentiel de se concentrer sur la minimisation des temps d’arrêt des serveurs, des bases de données et des postes de travail des employés ainsi que la remise en ligne des systèmes critiques. Il s’agit d’une mesure d’atténuation des risques ,vitale pour surmonter le désastre des données et rétablir les opérations normales.
Les perturbations peuvent entraîner des défis organisationnels, notamment une perte de revenus, des dommages à la marque de l’entreprise ou un changement dans la structure opérationnelle. Plus il faut de temps pour qu’une entreprise se rétablisse, plus l’impact sera important sur tous les aspects de l’organisation. C’est pourquoi un PRA doit inclure des détails qui permettent à l’organisation de se rétablir rapidement et efficacement.
La différence entre PRA et PCA
Les termes « plan de reprise d’activités » et « plan de continuité des activités » peuvent sembler similaires, mais ils sont assez différents. Un PRA détaille comment une entreprise remettra ses opérations informatiques en pleine utilisation après un sinistre. Un plan de continuité des activités décrit comment l’entreprise continuera à fonctionner pendant la catastrophe. Il comprend souvent des mesures spécifiques de gestion des menaces pour empêcher la catastrophe potentielle de se produire.
En termes simples, le plan de continuité des activités vise à maintenir les opérations en cours malgré les interruptions. En tant que sous-ensemble du plan de continuité des activités, la reprise après sinistre se concentre sur la récupération après des interruptions. Pour les entreprises qui peuvent se le permettre, la mise en place pra et d’un PCA peut fournir une solution de reprise après sinistre plus complète.
Pourquoi mettre en place un PRA ?
Vous l’aurez compris la mise en place d’un PRA permet de préserver vos données et le fonctionnement de vos activités critiques en cas de problèmes majeurs. Voici 3 avantages clés.
La mise en place d'un PRA l'assurance vie de vos données
La mise en place d’un PRA informatique permet de redonder vos données. Cela signifie que vos données sont dupliquées sur un autre serveur ou un site tiers.
Ainsi, si votre système d’information subit une attaque ou n’est plus disponible, vous pourrez toujours retrouver vos données.
L’intérêt est d’avoir une sauvegarde régulière de vos données pour minimiser la perte de données.
La mise en place d'un PRA pour minimiser l'impact en cas d'interruption
L’interruption d’activité au sein d’une entreprise représente un risque premier et peut être à la base de plusieurs répercussions ; notamment sur le plan financier et dans le domaine de la prévoyance.
- En effet, suite à une interruption d’activité, l’entreprise concernée risque non seulement une lourde faillite, mais aussi la perte de plusieurs marchés. Il y a donc un risque de perte de chiffre d'affaires.
- On remarquerait aussi une baisse de la satisfaction client en cas d'interruption de services.
- D’autre part, notons aussi que l’interruption d’activité peut aussi engendrer une perte de productivité.
Le PRA doit ainsi être mise en place au sein de toutes organisations ou entreprises, afin de réduire l’impact de l’interruption d’activité, qui est de nos jours le principal risque d’une entreprise évoluant dans une économie globale et lier.
La mise en place d'un PRA pour assurer la pérennité de l'entreprise
La mise en place d’un plan de reprise d’activité est essentielle pour la pérennité de l’entreprise.
Le PRA a l’avantage s’il est externalisé de permettre à l’entreprise de ne pas dépendre de son propre réseau. De plus, votre DSI ou responsable informatique n’a pas à maintenir les équipements en conditions opérationnelles, ni à se charger de la supervision et de la sécurité informatique.
Votre PRA repose sur des infrastructures informatiques indépendantes.
La crise du COVID est un excellent exemple de l’importance de l’anticipation des risques et de la réaction face à cela. En effet, beaucoup d’entreprises ont dû interrompre leur activité. Pourtant, nombre d’entre elles auraient pu, en anticipant le risque, définir des solutions à mettre en œuvre. Le télétravail en est l’exemple typique. Les entreprises qui ont mieux vécu la période de confinement et qui ont limité les pertes sont celles qui avaient déjà anticipé la digitalisation massive de l’économie. Elles avaient déjà développé le télétravail ou, défini la manière de l’organiser en cas de problème majeur ou d’empêchement des employés de se déplacer dans leurs entreprises.
Comment mettre en place un PRA ?
Plusieurs bonnes pratiques doivent être adoptées afin de garantir une meilleure mise en place du Plan de Reprise d’Activité.
Vous devez effectuer des recherches approfondies pour comprendre les besoins de votre organisation et les risques auxquels elle est confrontée. Vous devez également coordonner soigneusement le plan avec toutes les parties prenantes, le tester pour vous assurer qu’il fonctionne et le mettre à jour en permanence pour vous assurer qu’il reste pertinent.
La mise en place PRA nécessite certaines étapes :
- Définissez le périmètre du PRA : La définition de périmètre résulte en un premier temps de l'analyse du contexte ainsi que des champs géographiques et organisationnels pris en compte. Retenez qu’elle permet d’avoir plus d’informations sur les activités et différentes applications utilisées par l’entreprise. Chaque activité devra être analysée selon sa tactique et sa probabilité de subir un arrêt temporaire. Sur d’autres thèmes, il faudra que l’entreprise concernée analyse aussi les pertes de données pour pouvoir bien définir les priorités lors de la remise en service des applications. Ainsi, un Recovery Time Objective (RTO) et un Recovery Point objective (RPO) restent indispensables. Le RTO se définit comme la durée maximale d’interruption (objectif de temps) tandis que le RPO expose la perte des données maximales (volume de données).
- Cartographiez vos actifs : Dans un premier temps, pour garantir le bon fonctionnement du PRA, il faudra avoir une connaissance des ‘’ressources critiques’’ que vous aimeriez sauvegarder (étude du contexte). Identifiez ce que vous devez protéger, y compris l'équipement réseau, le matériel, les logiciels, les services cloud et, plus important encore, vos données critiques. Pour chaque élément, notez son emplacement physique ou virtuel, sa relation avec d'autres actifs, le fournisseur et la version, les paramètres de mise en réseau, etc.
- Identifiez la criticité et le contexte : comprenez comment vos actifs sont utilisés et leur importance pour l'entreprise. Classez les actifs en impact élevé, impact moyen et impact faible, en identifiant leur probabilité de perturber les opérations commerciales. Lors de l'incident, il est nécessaire de savoir de quel type de panne, s'agit-il. La panne peut être due au réseau, aux différents matériels, à l’absence d’électricité ou aux logiciels et doit être résolue de façon rapide grâce au PRA informatique.
- Définir l’endroit où vous désirez mettre le PRA : cela peut être sur une page web de l’entreprise ou sur une page web data center.
- Évaluation des risques : identifiez les menaces susceptibles de faire face à l'entreprise dans son ensemble et à des actifs spécifiques. Interrogez le personnel qui travaille sur les systèmes critiques et demandez-leur quelles sont les causes les plus probables d'interruption de service.
- Définissez des objectifs de récupération : consultez la direction générale et le personnel des opérations pour comprendre quel serait l'impact d'une interruption de chaque système critique pendant une minute, une heure, un jour ou plus. Utilisez ces informations pour définir votre RTO et votre RPO. Ensuite, il faut mettre des systèmes pour instaurer les processus de redondance tout en envisageant les sauvegardes automatiques. D’autre part, il serait aussi très important de veiller sur la qualité relationnelle entre le système et le prestataire informatique (la mise en place d’un PRA efficient dépendra en grande partie de cette relation).
- Définissez les procédures d'intervention : À ce niveau, quelques points restent fondamentaux. En cas d’impact sinistre, il serait important que toutes les actions soient documentées. Aussi, toutes les personnes qui se chargeront de la reprise d’activité, c'est-à-dire de la mise en place du PRA, doivent suivre une formation rigoureuse afin d’être familier aux différentes procédures. La mise ne place de procédures pour que, en cas d'incident, la gestion de crise soit faite de façon rigoureuse et que la remise en route se fasse le plus efficacement possible.
- Sélectionnez la configuration et les outils de reprise après sinistre : en utilisant votre connaissance des actifs à protéger, des risques et du RTO/RPO requis, imaginez votre configuration finale de reprise après sinistre. Gérez-vous un site ? Où sera-t-il situé et sera-t-il basé sur le cloud ou auto-hébergé ? Quelles sauvegardes conserverez-vous ? Où seront-ils situés ? Sélectionnez le logiciel ou le matériel, les services cloud ou les partenaires qui peuvent vous aider à réaliser la configuration requise.
- Budgétisation : aussi importante que soit la reprise d’activités pour votre entreprise, vous disposerez d'un budget limité. Présentez plusieurs options à la direction, chacune avec un prix progressivement plus élevé mais un meilleur RTO/RPO et/ou un meilleur support pour des services plus critiques. Permettez-leur de décider du juste équilibre entre le risque et l'investissement dans la technologie.
- Approbation : préparez une ébauche convenue de votre PRA sur la base des commentaires de la direction et obtenez l'approbation finale du plan.
- Communiquez le plan : faites circuler votre document à l'équipe de reprise d’activités, à la haute direction et à toute autre personne qui sera impliquée ou affectée par les procédures.
- Testez et révisez : Pour finir, n'oubliez pas qu'après la mise en place du PRA, le test de vérification reste une chose capitale pour confirmer le bon ajustement des paramètres. Testez le plan en effectuant un exercice réaliste en cas de sinistres et en voyant si et comment le personnel agit conformément au plan. Apprenez du test et modifiez le plan et les procédures en conséquence. Vous devez revoir périodiquement le plan au moins tous les six mois pour vous assurer qu'il est toujours pertinent et reflète la structure organisationnelle et la configuration informatique actuelles.
Faut-il mettre en place un PCA lorsque l’on a mis en place un PRA ?
Comme précisé ci-dessus, avec l’aide d’un PCA et d’un PRA efficaces, les entreprises sont mieux préparées à gérer les catastrophes quand et après qu’elles se produisent. Un PCA englobe un PRA, prêt à prendre effet lorsqu’une catastrophe frappe l’organisation. Selon les circonstances, les organisations peuvent invoquer le PCA, le PRA ou les deux lors de catastrophes.
Le PCA et le PRA se complètent et bien que couteux, vous devez avoir les deux pour résister aux défis opérationnels provoqués par les catastrophes. En effet, les portées des deux plans sont différentes, mais le plan de reprise d’activités est considéré comme un sous-ensemble du plan de continuité des activités et le PCA serait voué à l’échec s’il n’était pas suivi d’un plan d’action tactique pour faire face immédiatement à la perturbation des systèmes d’information.
