Le plan de reprise d'activité, ou comment rebondir après un sinistre informatique !

Avez-vous élaboré un plan de reprise d’activité, ou PRA, pour votre entreprise ?

Le PRA, également appelé en anglais DRP (Disaster Recovery Plan), est devenu au fil des ans une nécessité pour les sociétés à l’heure où les sinistres informatiques se multiplient, en particulier la cybercriminalité. Mais de nombreuses entreprises n’ont encore pas pris leurs dispositions, notamment à cause du poste de dépense que cela représente.

Pourtant, que vous soyez une TPE, une PME ou un grand groupe, les conséquences de l’indisponibilité de votre système informatique et de la perte de données peuvent être désastreuses pour votre business.

Convaincu·e par la nécessité d’anticiper la reprise après sinistre de votre activité ?

Grâce à cet article, vous saurez tout sur le PRA, sur ses avantages et sur la démarche à suivre pour le mettre en place.

Sommaire

• Définition d’un plan de reprise d’activité
  • Qu’est-ce qu’un plan de reprise d’activité (PRA) ?
  • Différence entre PRA et PCA
• Avantages d’un plan de reprise d’activité
• Élaboration d’un plan de reprise d’activité en 6 étapes
  • Étape 1 : identifiez les risques possibles
  • Étape 2 : évaluez vos ressources et activités critiques
  • Étape 3 : définissez votre stratégie de reprise d’activité
  • Étape 4 : documentez par écrit
  • Étape 5 : mettez en place des tests
  • Étape 6 : faites évoluer votre PRA
  • [Bonus livre blanc] Comment assurer la reprise d'activité de vos solutions cloud ?
• Vous avez un plan ?

Définition d’un plan de reprise d’activité

Qu’est-ce qu’un plan de reprise d’activité (PRA) ?

Un plan de reprise d’activité se définit comme un ensemble de procédures, dont l’objectif est de prévoir comment redémarrer le plus rapidement possible l’activité professionnelle en cas d’incident informatique (catastrophes naturelles, accidents humains, panne matérielle ou logicielle, vol, cybercriminalité, etc.).

Par extension, le PRA désigne également le document recensant ces procédures. Il peut être élaboré et détenu soit par l’entreprise même, soit par un prestataire externe.

Différence entre PRA et PCA

Il est courant, lorsque l’on aborde ce sujet, d’évoquer en parallèle le plan de continuité d’activité (ou PCA), tant les deux activités se rapprochent.

Quelles sont alors les différences ?

Pour faire simple, le PCA opère plus en préventif, puisqu’il s’agit d’un plan visant à éviter au maximum tout arrêt de l’activité. Alors que le PRA intervient une fois que le sinistre a eu lieu.

En ce sens, un plan de reprise d’activité peut s’intégrer à une procédure de plan de continuité d’activité.

Avantages d’un plan de reprise d’activité

Certains entrepreneurs perçoivent la mise en place d’un PRA comme un manque à gagner en matière de trésorerie. En effet, elle implique nécessairement des investissements en infrastructure informatique et en logiciels.

Pourtant, élaborer un plan de secours est devenu indispensable au regard des enjeux actuels.

☑️ En effet, l'interruption des systèmes ou des machines de l’entreprise provoque un ralentissement de l’activité opérationnelle, les équipes ne disposant plus de certaines ressources indispensables pour mener à bien leurs missions. Le chiffre d’affaires de la société s’en trouve inéluctablement impacté.

☑️ Par ailleurs, la donnée informatique est devenue aujourd’hui une ressource extrêmement précieuse qu’il convient de protéger. La perte de data s’avère dangereuse :

• pour l’activité même de la société, qui ne dispose plus des informations nécessaires pour assurer normalement son activité ;
• car cela véhicule une image négative auprès des clients et partenaires.

La perte causée par les sinistres informatiques pour les entreprises françaises s’élevait en 2018 en moyenne à 2,25 millions d’euros.

Source : étude Global State of Information Security survey 2018 menée par PwC

Le principal avantage du PRA ? Assurer le plus rapidement possible la reprise de l’activité, afin d’éviter des pertes importantes en termes d’opportunités business et de chiffres d’affaires, parfois fatales aux entreprises.

Pourquoi un PRA :



© Microsoft

Élaboration d’un plan de reprise d’activité en 6 étapes

Un plan de reprise d’activité est propre à chaque entreprise, puisqu’il se construit en fonction de sa structuration, de ses besoins, de sa taille, etc.

Toutefois, certains dispositifs et bonnes pratiques sont communément appliqués lorsqu’il s’agit d'instaurer un PRA.

Étape 1 : identifiez les risques possibles

Toutes les entreprises ne sont pas exposées aux mêmes incidents et sinistres.

Si nous prenons l’exemple des catastrophes naturelles, notons que certaines sociétés ont des infrastructures plus exposées (zones sismiques, zones inondables, etc.).

Procédez donc en amont à une analyse des risques à prévenir, envisagez tous les scénarios possibles.

Étape 2 : évaluez vos ressources et activités critiques

Dans un contexte où les systèmes sont de plus en plus complexes et interconnectés, il est alors conseillé de définir précisément les priorités de l’entreprise par rapport à la criticité de certains composants.

Pour ce faire, évaluez les deux données suivantes :

☑️ Le RTO, ou Recovery Time Objective. Il s’agit de la durée maximale d’interruption que votre entreprise peut supporter, avant que la situation ne devienne vraiment critique. Ce temps d’interruption se comptabilise entre le moment où la ressource informatique ne fonctionne plus et la reprise normale de l’activité.

💡Notez que le Recovery Time Objective peut différer d’une ressource informatique à une autre au sein d’une même structure. Par exemple, si toute la gestion d’une entreprise est orchestrée par un ERP, son RTO sera court. À l’inverse la durée s’allongera pour des outils moins indispensables, où pour lesquels des solutions de substitution existent (tchat d’entreprise, plateforme de partage de documents, etc.).

☑️ Le RPO, ou Recovery Point Objective. Il correspond à la durée de perte de données maximale admissible par l'entreprise.

Par exemple, une activité contrainte à une sauvegarde complète de la base de données une fois par jour a un RPO de 24 h. Celui-ci peut fortement diminuer pour certaines entreprises qui procèdent à des sauvegardes beaucoup plus régulières. C’est le cas, par exemple, du domaine bancaire.



© Talentsoft

In fine, analyser ces deux indicateurs vous aide à déterminer avec précision le degré d’urgence par service ou par activité, et par conséquent les mesures à adopter pour chacun.

Étape 3 : définissez votre stratégie de reprise d’activité

Une fois les risques potentiels identifiés et les impacts par activité définis, il est temps de vous pencher sur les mesures et les stratégies à adopter, ainsi que sur leur mise à exécution.

Quelles mesures choisir ?

Les mesures doivent être prises en tenant compte des besoins de l’entreprise, ainsi que de l’ensemble de son système d’information (du matériel informatique aux logiciels et applications, en passant par sa data).

En règle générale, nous distinguons deux types de mesures :

• Les mesures préventives. Par exemple :
  • la sauvegarde régulière des données,
  • la redondance, ou réplication des données,
  • l’utilisation de sites de secours, etc.

• Les mesures curatives. Par exemple :
  • le déclenchement de systèmes de secours,
  • la restauration ou la reprise des données,
  • l’utilisation de sites de secours,
  • le redémarrage des applications, etc.

Comment les mettre en place ?

Il convient ensuite de sélectionner votre solution PRA (souvent un logiciel de backup) en fonction des objectifs et stratégies identifiées.

Citons par exemple :

🛠️ Beemo Data Safe Restore pour les TPE-PME. Beemo Data Safe Restore opère aussi bien en préventif, grâce à une triple sauvegarde (sur un NAS placé dans l’entreprise et dans deux datacenters) qu’en curatif au moyen d’une restauration à l’identique des données 24 h/24 et 7 j/7. Et pour ceux qui seraient frileux à l’idée de passer par le cloud, sachez que l’ensemble de vos données sont hébergées en France, de manière très sécurisée.

🛠️ Microsoft Azure Backup pour les plus grands groupes. Ce logiciel prend en charge la sauvegarde et la restauration des données, ou sur cloud privé, ou à l’aide d’un système hybride. De plus vos data sont cryptées (même pour Microsoft), atout appréciable en cas de données sensibles. Enfin, Microsoft Azure Backup est capable de gérer du gros volume, puisque l’historique des sauvegardes va jusqu’à 99 ans.

Et les facteurs humains et organisationnels ?

Lorsque l’on pense solution de plan de reprise d’activité, on pense souvent solution de backup et autres dispositifs informatifs.

Or, ne négligez pas les facteurs humains dans la gestion de crise.

En effet, un PCA implique aussi l’adoption de bonnes pratiques au sein des organisations, discours de sensibilisation ou/et formations par exemple.



© archimag

Étape 4 : documentez par écrit

Nous l’avons vu, le plan de reprise d’activité se rapporte également au document sur lequel toutes les forces de frappe de l’entreprise vont s’appuyer en cas de sinistre.

Mettre par écrit votre PRA facilite l’organisation générale, la gestion des ressources humaines (qui fait quoi ?) et la prise de connaissance des procédures par l’ensemble de votre société.

Étape 5 : mettez en place des tests

C’est bien connu, difficile de prendre les bonnes décisions face aux déconvenues dans l’urgence et le stress.

C’est pourquoi il est recommandé d’éprouver votre plan de reprise d’activité avant que la catastrophe ne survienne.

La solution ? Mettre en place des tests :

☑️ au niveau organisationnel, afin de vous assurer que tout un chacun sache exactement comment réagir en cas d’interruption de l’activité informatique.

☑️ au niveau technique, et ce de manière régulière. Ce procédé permet, par exemple, d’anticiper le comportement de votre système de secours.

Il existe usuellement 3 types de tests techniques :

• les tests de liste de contrôle, basés sur le rapprochement entre l’état réel de votre système d’information et l’état idéal ;
• les tests de simulation, à l’exemple des tests de montée en charge simulant une augmentation du nombre d’utilisateurs ;
• les tests parallèles et d’interruption complète.

Étape 6 : faites évoluer votre PRA

Notez que les tests évoqués ci-dessus servent également à revoir votre plan de reprise d’activité le cas échéant, en fonction des défaillances détectées.

Par ailleurs, un PRA évolue et s’adapte aux mutations de votre entreprise, qu’elles soient d’ordre économique, organisationnel ou technologique.

💡 Changement de stratégie, résultats des tests et actions qui en résultent… tout doit être documenté pour favoriser le partage de connaissances dans une optique d’amélioration continue.

[Bonus livre blanc] Comment assurer la reprise d'activité de vos solutions cloud ?

Votre entreprise utilise essentiellement des outils hébergés dans le cloud ? Grâce à ce livre blanc, maîtrisez votre plan de reprise d’activité (mais aussi votre plan de continuité d’activité) de vos solutions cloud.

Téléchargez le livre blanc

Vous avez un plan ?

Regardons la vérité en face, les risques informatiques augmentent à mesure que la data revêt une importance business de plus en plus capitale pour les entreprises modernes.

Il serait dommage de réagir… trop tard.

Par conséquent, il devient primordial de limiter la casse au moyen d’un plan de reprise d’activité. Et si l’instauration d’un PRA dépend grandement de mises en place techniques et du choix de logiciels performants et adaptés, il vous faut absolument prendre conscience de la dimension humaine. Car la performance des mesures adoptées dépend grandement de l’approbation et de la compréhension de l’ensemble des acteurs, des sphères dirigeantes aux équipes opérationnelles.

Et vous, en cas de sinistre informatique, quel est votre plan ?