Le plan de reprise d’activité (PRA) et le plan de continuité d’activité (PCA) sont des pratiques étroitement liées qui permettent à une entreprise de rester opérationnelle après un événement imprévu. L’objectif de ces deux plans est de limiter les risques et de permettre à une entreprise de fonctionner aussi normalement que possible après une interruption. À mesure que les cyberattaques augmentent et que la tolérance aux temps d’arrêt diminue, le PRA et le PCA prennent de l’importance. Ces plans permettent à une entreprise de se remettre sur pied suite à un sinistre, de réduire le risque de perte de données et de préjudice à la réputation de l’entreprise.
Les enjeux du PRA et PCA informatique
Le PRA et le PCA sont de plus en plus sollicités par les entreprises car la sauvegarde de données est l’une de leurs plus importantes préoccupations. L’enjeu est de taille puisque la perte de données d’une entreprise peut fortement impacter son activité. Une autre préoccupation croissante concerne la conformité. Les PME sont également concernées puisqu’elles sont liées par bon nombre des exigences réglementaires imposées aux entreprises. Elles doivent donc répondre aux mêmes exigences de conformité que les grandes entreprises.
L’objectif d’un plan reprise d’activité informatique après sinistre est de garantir que vous puissiez réagir à un sinistre ou à une autre situation d’urgence qui affecte les systèmes d’information et de minimiser les effets sur le fonctionnement de l’entreprise. Le principal objectif d’un plan de continuité des activités est d’identifier les opérations et les risques critiques, de fournir un plan pour maintenir ou rétablir les opérations critiques en cas de crise et de créer un plan de communication avec les personnes clés pendant la crise.
L’élaboration d’une stratégie est un processus complexe qui nécessite des recherches, notamment la réalisation d’une analyse de l’impact d’un sinistre sur l’entreprise, ainsi que l’élaboration de plans, de tests, d’exercices et de formations. Une société d’infogérance spécialisée dans le PRA et le PCA peut grandement aider votre entreprise à mettre ces plans en place.
Grâce aux PRA et PCA vous assurez la continuité du service et du système informatique et vous pérennisez le fonctionnement de l’entreprise via :
- L'anticipation : Vous créer des scénarios des potentiels incidents sur votre système d'information et analyser les risques.
- L'action : Mettre en place des sauvegardes, un plan de continuité et prévoir un plan de secours informatique
- La cellule de crise : Mettre en place le redémarrage pour favoriser la continuité de l'activité en automatisant le déclenchement du processus de reprise et de continuité
Quelle est la différence entre PRA et PCA ?
La plan de continuité d’activité est plus proactive et fait généralement référence aux processus et procédures qu’une organisation doit mettre en œuvre pour garantir la continuité des fonctions essentielles à la mission pendant et après un sinistre.
La reprise après sinistre est plus réactive et comprend des étapes spécifiques que l’organisation doit suivre pour reprendre ses activités à la suite d’un incident. Les actions de reprise après sinistre ont lieu après l’incident et les temps de réponse peuvent aller de quelques secondes à plusieurs jours.
La reprise après sinistre est un élément de la planification de la continuité des activités informatiques et consiste à accéder facilement aux données après un sinistre. Il existe des similitudes entre la continuité des activités et la reprise après sinistre. Ils prennent tous deux en considération divers événements imprévus, allant des cyberattaques à l’erreur humaine, en passant par une catastrophe naturelle comme une inondation. Ils ont également pour objectif de permettre à l’entreprise de fonctionner aussi normalement que possible, en particulier pour les applications critiques.
PRI et PCI, mais qu'est-ce c'est ?
Propre au domaine des systèmes d’information, le PCI (plan de continuité informatique) et le PRI (Plan de reprise informatique) est part important du PRA et PCA mais fortement orienté dans le domaine informatique. Afin de limiter le temps d’interruption des systèmes informatiques et autres, ces plans visent à anticiper et à prévoir un plan b en cas de sinistre, incluant une panne ou tout aussi bien une attaque virale. Cette stratégie de continuité informatique vise à mettre en place des serveurs, un réseau, des centres de données (datacenters), du stockage de secours dans une nécessité d’assurer la continuité des activités.
Le PRI vise lui à réduire les effets d’un incident favorisant la reprise des activités via le redémarrage des systèmes informatiques. Deux types de PRI existent :
- Le redémarrage "à chaud" : les serveurs de secours démarrent reprenant une version copiée des données provenant du site principal
- Le redémarrage "à froid" : Les serveurs haute-disponibilité redémarrent via la dernière sauvegarde.
Ce qu’on appelle le RTO (Recovery Time Objective) et le RPO (Recovery Point Objective) sont drastiquement réduit, il s’agit respectivement de la durée nécessaire pour relancer la production et la période ou les données vont être perdus.
Il s’agit en quelque sorte d’une gestion de crise mettant en place un plan de secours favorisant la continuité et le rétablissement de l’infrastructure informatique.
Quelques cas d'usages de PRA et de PCA
L’élaboration du plan de continuité des opérations et du plan de reprise d’activité informatique après sinistre commence généralement par des concertations entre les membres des équipes PRA et PCA et par la réalisation d’une analyse de risques et d’une analyse d’impact sur les risques. L’organisation identifie les aspects les plus critiques de l’entreprise, ainsi que la rapidité et la mesure dans laquelle elles doivent être exécutées après un incident. Une fois que l’entreprise a défini les procédures étape par étape, les documents doivent être testés, révisés et mis à jour de manière régulière.
Les plans PRA et PCA sont les armes des entreprises contre les sinistres informatiques des entreprises et fournissent des informations clés telles que des listes de contacts des employés, des contacts d’urgence, des listes de fournisseurs, des instructions pour effectuer des tests ainsi que des listes d’équipements et des schémas techniques de systèmes et de réseaux.
Un plan de reprise d’activité après sinistre est indispensable pour minimiser les interruptions des opérations habituelles et limiter l’étendue des dommages. Il s’agit ici d’établir des modes alternatifs de fonctionnement en amont et de former le personnel aux procédures d’urgence. Pour que vos systèmes d’informations redeviennent comme avant le sinistre, utilisez les procédures de votre liste de contrôle afin de récupérer l’ensemble du système après une perte totale. Une société d’infogérance va commencer par rechercher les supports de sauvegarde, l’équipement et les informations sauvées ainsi les données stockées hors site.
Unplan de continuité d’activité informatique indique clairement les divers niveaux de risques pour l’organisation. Il fournit des étapes bien définies et les actions à mettre en place pour résoudre l’incident, maintenir les activités de l’entreprise et revenir à la normale. Ce plan doit lister les priorités du business en citant les différentes opérations à suivre. Il est également primordial de lister les responsabilités de chacun, l’impact potentiel sur l’entreprise, les risques d’une interruption, le temps de récupération, les systèmes et données précises, les équipes et leurs connaissances, les locaux afin de relocaliser les employés. Le plan doit préciser les moyens de communications, l’équipement et les fournisseurs de l’entreprise.
Afin de réussir la mise en place de vos plans PRA et PCA, vous pouvez externaliser vos besoins à une société spécialisée telle qu’Axido capable de fournir des évaluations, d’élaborer et de maintenir des plans, et de former les équipes en interne. Axido vous propose d’analyser vos besoins afin d’établir un plan de reprise d’activité sur mesure et complet.
