Comment réaliser un plan de continuité informatique sans pépins ?

Les activités de l’entreprise d’aujourd’hui (production, ressources humaines, comptabilité…) reposent en grande partie sur son système informatique. Or, celui-ci peut à tout moment être perturbé par des événements extérieurs (séisme, hacking…) ou intérieurs (erreur humaine, incendie…).

Les conséquences d’un système d’information à l’arrêt peuvent vite être désastreuses, tant d’un point de vue financier qu’humain.

Mettre en place un plan de continuité informatique pour sécuriser l’infrastructure et assurer une reprise d’activité quasi normale devient alors évident !

Intégré au plan de continuité d’activité (PCA), le plan de continuité informatique (PCI) a pour vocation de relancer le système d’information d’une entreprise en cas de sinistre ou de dysfonctionnement. Et ce le plus rapidement possible pour limiter les impacts (perte de données, activité à l’arrêt, pollution…).

Le PCI, aussi appelé plan de secours informatique est pensé pour faire face aux situations suivantes :

• des incendies ou des catastrophes naturelles (inondation, séisme…) ;
• de mauvaises manipulations ;
• des pannes matérielles ;
• des accidents technologiques ou industriels ;
• des actes de malveillance (vol, hacking…).

La stratégie de protection informatique d’une entreprise est souvent mise au point par le responsable informatique ou par le responsable qualité, secondé par des spécialistes indépendants.

Le plan de continuité informatique a deux objectifs principaux :

1. Faire face à un événement qui entrave le système informatique et le fonctionnement normal de l’entreprise.
2. Assurer la reprise de l’activité dans les meilleures conditions possibles.

Il permet d’anticiper et de réagir efficacement en cas de sinistre, de panne ou de crise. Il permet aussi :

• de sensibiliser et de préparer les équipes en interne ;
• de maintenir sa place sur le marché ;
• de rassurer ses partenaires (ceux-ci comprennent que l’entreprise met tout en œuvre pour remplir ses objectifs).

Pour remplir pleinement ses objectifs, ce plan de continuité informatique doit s’adapter à l’activité de l’entreprise, à son fonctionnement et à son environnement. Voici les 3 étapes à suivre pour mettre en place un PCI personnalisé.

Il est important dans un premier temps d’identifier tous les facteurs de risques qui pèsent sur le système informatique de l’entreprise afin d’y opposer une stratégie. Ils sont multiples et varient selon l’activité, les ressources ou encore le territoire géographique.

L’entreprise doit aussi distinguer ses activités essentielles et les données à protéger 💾.

Les activités essentielles sont celles qui permettent à l’organisation de répondre à ses objectifs et à ses obligations. Pour chaque activité, le PCI définit une durée d’indisponibilité acceptable et un degré de service minimum.

Bon à savoir : les données informatiques à protéger peuvent être les suivantes :

• courriels de la messagerie électronique ;
• fichiers contacts clients, fournisseurs, prestataires… ;
• données de logiciels (plans, dessins, contrats…) ;
• factures clients et fournisseurs ;
• relevés bancaires ;
• données comptables ;
• documents internes (procédés de fabrication, contrats commerciaux, contrats de travail, grille tarifaire…).

Après avoir listé les données à protéger, il faut en évaluer la valeur : est-ce une information basique, sensible ou stratégique ? Ces dernières sont une priorité pour l’entreprise. Elles doivent être protégées et être restaurées le plus rapidement en cas de crise.

Important : pour déterminer la valeur d'une donnée, on retient généralement trois niveaux :

• l'information stratégique ;
• l'information sensible : elle est importante, mais elle n'impacte pas la continuité de l'activité de l'entreprise ;
• l'information basique : elle n'est pas prioritaire en cas de sinistre, même si elle a une utilité.

Durant cette étape, il est aussi crucial de cerner les conséquences d’un arrêt d’activité ou de pertes de données informatiques (impact financier, humain, matériel ou en termes d’image par exemple).

Le but de cette deuxième étape est de faire le point sur les moyens nécessaires à la poursuite d’une activité de survie de l’entreprise (minimale ou acceptable).

Matériels, réseaux, ressources humaines… de quoi la société a besoin pour limiter les risques et continuer à travailler ? Quels moyens déployer pour restaurer les données stratégiques ?

Cela permet ensuite de créer des scénarios précis ou des procédures de gestion de crise pour faire face aux facteurs de risques identifiés précédemment.

Ces plans d’action sont rédigés de la façon la plus détaillée possible en vue d’être présentés et diffusés. Les moyens et les intervenants sont par exemple clairement identifiés pour que la mise en place le moment venu soit fluide et fiable.

Le PCI peut comprendre :

• des mesures préventives qui servent à éviter une discontinuité de l’activité (renforcement des dispositifs de sécurité informatique, contrôles des accès via des mots de passe, protection du serveur de l’entreprise, sauvegarde locale ou cloud…) ;
• des mesures curatives qui sont mises en place lors du sinistre (restauration des sauvegardes, déploiement du double d’un site…).

Un logiciel de cloud privé comme celle de la CPEM vous accompagne dans la protection de vos données. La solution met tout en œuvre pour vous éviter une discontinuité de votre activité : un socle technique fiable et mis à jour, des données localisées en France (réparties sur 3 Datacenter), une très haute disponibilité, un socle d’administration dédié VMWare Cloud Director, etc.

Pour savoir si une stratégie fonctionne, il faut bien entendu la tester. 😉

Une fois élaboré, le PCI devra donc être vérifié. Ce contrôle permet de mesurer les résultats des actions prévues (bons, satisfaisants ou insuffisants) et d’identifier d’éventuels points faibles. Il permet aussi de s’assurer de la bonne compréhension du dispositif par tous les acteurs concernés.

Il est conseillé de contrôler de façon régulière le PCI pour le faire évoluer en même temps que l’entreprise, le contexte ou les risques externes.

Le plan de continuité informatique recense les procédures à mettre en place et les ressources à mobiliser en cas de sinistre pour poursuivre l’activité de l’entreprise. Il doit compléter un plan de continuité d’activité pour fournir une stratégie de sécurité globale et performante. L’entreprise sera ainsi mieux préparée pour faire face aux risques. Elle pourra réagir dans les plus brefs délais et ainsi répondre à ses diverses obligations, quel que soit le contexte. Ce qui constitue un vrai avantage dans un marché toujours en évolution.