Le plan de reprise d'activité, ou comment rebondir après un sinistre informatique

Avez-vous élaboré un plan de reprise d’activité, ou PRA, pour votre entreprise ?

Le PRA, également appelé en anglais DRP (Disaster Recovery Plan), est devenu au fil des ans une nécessité pour les sociétés à l’heure où les sinistres informatiques se multiplient, en particulier la cybercriminalité. Mais de nombreuses entreprises n’ont encore pas pris leurs dispositions, notamment à cause du poste de dépense que cela représente.

Pourtant, que vous soyez une TPE, une PME ou un grand groupe, les conséquences de l’indisponibilité de votre système informatique et de la perte de données peuvent être désastreuses pour votre business.

Convaincu·e par la nécessité d’anticiper la reprise après sinistre de votre activité ?

Grâce à cet article, vous saurez tout sur le PRA, sur ses avantages et sur la démarche à suivre pour le mettre en place.

Un plan de reprise d’activité se définit comme un ensemble de procédures, dont l’objectif est de prévoir comment redémarrer le plus rapidement possible l’activité professionnelle en cas d’incident informatique (catastrophes naturelles, accidents humains, panne matérielle ou logicielle, vol, cybercriminalité, etc.).

Par extension, le PRA désigne également le document recensant ces procédures. Il peut être élaboré et détenu soit par l’entreprise même, soit par un prestataire externe.

Chaque PRA est à adapter en fonction de votre entreprise et de ses spécificités, il n’existe pas de modèle idéal. Finalement, le plus important est de tout anticiper et d’avoir une vision d’ensemble la plus complète possible pour mieux maîtriser les imprévus.

💡 N’hésitez pas à être le plus exhaustif possible.

Dans les grandes lignes, le plan de reprise d’activité doit comprendre :

• l’identification des activités critiques qui doivent absolument être continuées,
• le recensement de tous les risques,
• les différentes solutions de maintien,
• les procédures à appliquer selon différents scénarii,
• les ressources nécessaires à la continuité des activités (humaines, matières premières, équipements, sous-traitants, etc.),
• les délais de reprise à respecter.

Nous verrons plus en détail dans la suite de l’article, les différentes étapes à suivre pour mettre en place son PRA.

Il est courant, lorsque l’on aborde ce sujet, d’évoquer en parallèle le plan de continuité d’activité (ou PCA), tant les deux activités se rapprochent.

Quelle est la différence entre un PCA et un PRA ?

• le PCA opère en préventif, puisqu’il s’agit d’un plan visant à éviter au maximum tout arrêt de l’activité. Il contient des procédures qu’il convient de suivre quand survient une situation critique, permettant d’y répondre à court terme.
  
  
• le PRA intervient une fois que le sinistre a eu lieu. En ce sens, un plan de reprise d’activité peut s’intégrer à une procédure de plan de continuité d’activité.

Certains entrepreneurs perçoivent la mise en place d’un PRA comme un manque à gagner en matière de trésorerie. Pourtant, élaborer un plan de secours est devenu indispensable au regard des enjeux actuels.

Le principal avantage du PRA ? Assurer le plus rapidement possible la reprise de l’activité, afin d’éviter des pertes importantes en termes d’opportunités business et de chiffres d’affaires, parfois fatales aux entreprises.

Voici les différentes conséquences négatives d’une interruption des systèmes ou des machines, que le PRA permet d’éviter :

• un ralentissement de l’activité opérationnelle, les équipes ne disposant plus de certaines ressources indispensables pour mener à bien leurs missions.
• un impact négatif sur le chiffre d’affaires dû à l’impossibilité de signer de nouveaux contrats,
• la perte des données qui s’avère dangereuse pour l’activité même de la société, qui ne dispose plus des informations nécessaires pour assurer normalement son activité,
• une baisse de la satisfaction client qui ne peut profiter du produit ou du service pour lequel il a payé,
• un renvoi d’une image négative auprès des partenaires et prospects potentiels,
• des risques de poursuites judiciaires pour manquement aux obligations.

Un plan de reprise d’activité est propre à chaque entreprise, puisqu’il se construit en fonction de sa structuration, de ses besoins, de sa taille, etc.

Toutefois, certains dispositifs et bonnes pratiques sont communément appliqués lorsqu’il s’agit d’instaurer un PRA.

Toutes les entreprises ne sont pas exposées aux mêmes incidents et sinistres.

Si nous prenons l’exemple des catastrophes naturelles, notons que certaines sociétés ont des infrastructures plus exposées (zones sismiques, zones inondables, etc.).

Procédez donc en amont à une analyse des risques à prévenir, envisagez tous les scénarios possibles.

Dans un contexte où les systèmes sont de plus en plus complexes et interconnectés, il est alors conseillé de définir précisément les priorités de l’entreprise par rapport à la criticité de certains composants.

Pour ce faire, évaluez les deux données suivantes :

• Le RTO, ou Recovery Time Objective. Il s’agit de la durée maximale d’interruption que votre entreprise peut supporter, avant que la situation ne devienne vraiment critique. Ce temps d’interruption se comptabilise entre le moment où la ressource informatique ne fonctionne plus et la reprise normale de l’activité.

💡Notez que le Recovery Time Objective peut différer d’une ressource informatique à une autre au sein d’une même structure. Par exemple, si toute la gestion d’une entreprise est orchestrée par un ERP, son RTO sera court. À l’inverse la durée s’allongera pour des outils moins indispensables, ou pour lesquels des solutions de substitution existent (tchat d’entreprise, plateforme de partage de documents, etc.).

• Le RPO, ou Recovery Point Objective. Il correspond à la durée de perte de données maximale admissible par l’entreprise. Par exemple, une activité contrainte à une sauvegarde complète de la base de données une fois par jour a un RPO de 24 h. Celui-ci peut fortement diminuer pour certaines entreprises qui procèdent à des sauvegardes beaucoup plus régulières. C’est le cas, par exemple, du domaine bancaire.

© Talentsoft

In fine, analyser ces deux indicateurs vous aide à déterminer avec précision le degré d’urgence par service ou par activité, et par conséquent les mesures à adopter pour chacun.

Une fois les risques potentiels identifiés et les impacts par activité définis, il est temps de vous pencher sur les mesures et les stratégies à adopter, ainsi que sur leur mise à exécution.

Les mesures doivent être prises en tenant compte des besoins de l’entreprise, ainsi que de l’ensemble de son système d’information (du matériel informatique aux logiciels et applications, en passant par sa data).

En règle générale, nous distinguons deux types de mesures :

• Les mesures préventives. Par exemple :
  • la sauvegarde régulière des données,
  • la redondance, ou réplication des données,
  • l’utilisation de sites de secours, etc.

• Les mesures curatives. Par exemple :
  • le déclenchement de systèmes de secours,
  • la restauration ou la reprise des données,
  • l’utilisation de sites de secours,
  • le redémarrage des applications, etc.

Il convient ensuite de sélectionner votre solution PRA (souvent un logiciel de backup) en fonction des objectifs et stratégies identifiées.

Citons par exemple :

🛠️ Beemo Data Safe Restore pour les TPE-PME. Beemo Data Safe Restore opère aussi bien en préventif, grâce à une triple sauvegarde (sur un NAS placé dans l’entreprise et dans deux datacenters) qu’en curatif au moyen d’une restauration à l’identique des données 24 h/24 et 7 j/7. Et pour ceux qui seraient frileux à l’idée de passer par le cloud, sachez que l’ensemble de vos données sont hébergées en France, de manière très sécurisée.

🛠️ Microsoft Azure Backup pour les plus grands groupes. Ce logiciel prend en charge la sauvegarde et la restauration des données, ou sur cloud privé, ou à l’aide d’un système hybride. De plus vos data sont cryptées (même pour Microsoft), atout appréciable en cas de données sensibles. Enfin, Microsoft Azure Backup est capable de gérer du gros volume, puisque l’historique des sauvegardes va jusqu’à 99 ans.

🛠️ UCover by Nuabee est une solution de PRA complète et 100 % automatisée pensée et développée pour les PME et ETI, à des tarifs accessibles. Vos données sont sécurisées et hébergées en lieu sûr dans le Cloud d’Orange Business Services, dans des datacenters français et hautement certifiés. UCover est une solution managée : les équipes assurent le MCO, surveillent vos sauvegardes et réplications, et réalisent régulièrement des tests de PRA. En cas de problème, vous pouvez compter sur un redémarrage automatique en quelques heures seulement, permettant de maintenir l’activité quelles que soient les circonstances.

Lorsque l’on pense solution de plan de reprise d’activité, on pense souvent solution de backup et autres dispositifs informatifs.

Or, ne négligez pas les facteurs humains dans la gestion de crise.

En effet, un PCA implique aussi l’adoption de bonnes pratiques au sein des organisations, discours de sensibilisation ou/et formations par exemple.

© archimag

Nous l’avons vu, le plan de reprise d’activité se rapporte également au document sur lequel toutes les forces de frappe de l’entreprise vont s’appuyer en cas de sinistre.

Mettre par écrit votre PRA facilite l’organisation générale, la gestion des ressources humaines (qui fait quoi ?) et la prise de connaissance des procédures par l’ensemble de votre société.

C’est bien connu, difficile de prendre les bonnes décisions face aux déconvenues dans l’urgence et le stress.

C’est pourquoi il est recommandé d’éprouver votre plan de reprise d’activité avant que la catastrophe ne survienne.

La solution ? Mettre en place des tests :

• au niveau organisationnel, afin de vous assurer que tout un chacun sache exactement comment réagir en cas d’interruption de l’activité informatique.
• au niveau technique, et ce de manière régulière. Ce procédé permet, par exemple, d’anticiper le comportement de votre système de secours.

Il existe usuellement 3 types de tests techniques :

• les tests de liste de contrôle, basés sur le rapprochement entre l’état réel de votre système d’information et l’état idéal ;
• les tests de simulation, à l’exemple des tests de montée en charge simulant une augmentation du nombre d’utilisateurs ;
• les tests parallèles et d’interruption complète.

Notez que les tests évoqués ci-dessus servent également à revoir votre plan de reprise d’activité le cas échéant, en fonction des défaillances détectées.

Par ailleurs, un PRA évolue et s’adapte aux mutations de votre entreprise, qu’elles soient d’ordre économique, organisationnel ou technologique.

💡 Changement de stratégie, résultats des tests et actions qui en résultent… tout doit être documenté pour favoriser le partage de connaissances dans une optique d’amélioration continue.

Vous vous demandez comment assurer la reprise d’activité de vos solutions cloud ?

Grâce à ce livre blanc, maîtrisez votre plan de reprise d’activité (mais aussi votre plan de continuité d’activité) de vos solutions cloud.

Regardons la vérité en face, les risques informatiques augmentent à mesure que la data revêt une importance business de plus en plus capitale pour les entreprises modernes.

Il serait dommage de réagir… trop tard.

Par conséquent, il devient primordial de limiter la casse au moyen d’un plan de reprise d’activité. Et si l’instauration d’un PRA dépend grandement de mises en place techniques et du choix de logiciels performants et adaptés, il vous faut absolument prendre conscience de la dimension humaine. Car la performance des mesures adoptées dépend grandement de l’approbation et de la compréhension de l’ensemble des acteurs, des sphères dirigeantes aux équipes opérationnelles.

Et vous, en cas de sinistre informatique, quel est votre plan ?

Article mis à jour, publié initialement en avril 2020.