14
Partagez notre article , Choisissez votre plateforme

Menaces informatiques, problèmes de réseau, d’infrastructure, pannes électriques, pannes matérielles ou encore catastrophes naturelles, les incidents qui peuvent affecter le système d’information sont nombreux.

Protéger son réseau, former ses employés reste indispensable, et permet d’éviter une grosse partie des menaces et des pannes, mais il est toujours possible d’être impacté. C’est pourquoi il est important d’envisager d’éventuelles situations de crise, et surtout, de mettre en place des moyens et des procédures, de type PCA ou PRA pour assurer la continuité ou la reprise de son activité, avec des données intactes.

Selon une enquête réalisée auprès de plus de 1500 décideurs en entreprise et dans l’IT, le rapport Veeam Data Protection 2020, 51% des répondants ont subi une perte de confiance de clients à la suite d’interruptions de leur système.

Comment traiter un risque d’indisponibilité

Il existe plusieurs démarches ou mécanismes possibles pour réduire les risques d’indisponibilité :

  • Accepter : Accepter la menace et ses impacts potentiels pour l’entreprise
  • Éviter : Ne pas lancer ou arrêter une activité à cause des risques encourus
  • Transférer : Déporter le risque sur un tiers (prise d’une assurance, transfert d’une activité à un prestataire, …)
  • Réduire la probabilité : Traiter le risque en amont, en réduisant sa probabilité d’occurrence
  • Limiter les impacts : en mettant en place un PCA (Plan de Continuité d’Activité) ou PRA (Plan de Retour à l’Activité).

Pourquoi mettre en place un PCA / PRA

Mettre en place un PCA (Plan de continuité d’activité) ou PRA (Plan de retour à l’activité) permet de limiter l’ensemble des impacts liés à une interruption d’activité. Et comme nous allons le voir ci-dessous, les conséquences d’une interruption d’activité sont à la fois variées et lourdes pour l’entreprise, du fait que les systèmes informatiques ont pris le pas sur la majorité des processus des entreprises.

Les conséquences d’une interruption d’activité peuvent ainsi être :

  • Conséquences financières : La suspension de certaines activités critiques de l’entreprise (production, support etc) peuvent rapidement se chiffrer en plusieurs milliers d’euros.
  • Conséquences concernant la satisfaction des clients : la réputation de l’entreprise, son image de marque.
  • Conséquences internes, avec des problèmes de fonctionnement de l’entreprise et de satisfaction des employés, ou des partenaires.
  • Conséquences juridiques, avec éventuellement des poursuites en cas de manquement à ses obligations.

Comment mettre en place un PCA / PRA

Mettre en place un PCA ou un PRA, c’est mettre en place une cellule de crise, des moyens et des procédures permettant de gérer l’incident et d’assurer la continuité ou la reprise de l’activité.

Typiquement, après avoir évalué tous les risques de panne possibles pour son système d’information, et défini le périmètre des processus, applications et ressources les plus critiques, il s’agira de mettre en place des mécanismes de redondance de façon alors ce que lorsqu’une ressource tombe en panne, une autre puisse prendre le relais.

Outre les aspects techniques de cette procédure, il est également important de mettre en place une organisation, de façon à connaître les différents acteurs concernés, la communication nécessaire, ainsi que toutes les étapes et démarches à suivre. Il est donc également important de mettre en forme une documentation qui permet de gérer la situation de crise de façon plus sereine.

Cette organisation doit ainsi comprendre l’ensemble des éléments suivants :

  • Les fournisseurs : il s’agit de vérifier l’engagement contractuel avec les fournisseurs clés, de mettre en place une stratégie d’achat multi-fournisseurs, et de contrôler sa capacité à ré-internaliser…
  • Les sites : bien souvent, une stratégie de continuité ou de reprise d’activité implique de pouvoir disposer de sites de substitution en cas de problème sur le site de l’entreprise. Cela implique notamment une sauvegarde des données sur un ou plusieurs hébergements distants et redondants.
  • Les ressources informatiques et telecom : Il s’agit de mettre en place des procédures, des stratégies de secours, et de manager efficacement les ressources humaines ou techniques en cas de nécessité.
  • L’organisation et le personnel : Il s’agit de disposer de procédures RH exceptionnelles permettant d’assurer l’acheminement, la suppléance du personnel, le travail à distance ou le travail via d’autres supports / matériels.
  • La documentation des procédures : Il est nécessaire de disposer d’un référentiel documentaire explicitant les mesures d’anticipation, de contournement, les formulaires métiers…

Comment organiser la reprise d’activité après un sinistre ?

Indispensable : disposer d’une sauvegarde répliquée

Classiquement, avant même d’envisager une quelconque continuité ou reprise d’activité, l’entreprise qui souhaite protéger ses données en cas de sinistre doit avant tout disposer d’une bonne sauvegarde.

En effet, la sauvegarde est le seul et le meilleur moyen de s’assurer de l’intégrité de ses données, quel que soit le type ou la virulence de l’attaque informatique subie.

L’idéal est de disposer d’une sauvegarde distante, c’est-à-dire, hébergée non localement, et cette sauvegarde doit être idéalement elle-même répliquée sur un autre site distant, de façon à éviter tout éventuel incident sur la sauvegarde elle-même.

Reprise de l’activité ou continuité de l’activité ?

En cas de sinistre informatique, vaut-il mieux prévoir une continuité de l’activité ou une reprise de l’activité ? Pour définir si l’entreprise doit mettre en place une continuité de l’activité ou une reprise de l’activité, il est nécessaire de définir le temps d’arrêt qu’elle peut supporter en cas de panne ou d’incident.

Si l’entreprise ne peut supporter aucune interruption, on mettra en place un plan de continuité d’activité (ou PCA). Cette procédure aura pour objectif d’assurer une disponibilité en continu des activités les plus vitales de l’entreprise.

Si l’entreprise peut supporter une panne, ainsi que quelques heures d’inactivité, on choisira de mettre en place un PRA ou un plan de retour à l’activité, moins gourmand sur le plan des infrastructures et des ressources, mais tout autant exigeant avec les procédures et l’organisation.

PCA / PRA : démarche et bonnes pratiques

Une démarche de PCA/PRA comporte généralement les étapes suivantes :

  • en matière de disponibilité des données et de processus critiques
  • Classification des informations et des actifs de l’entreprise
  • Analyse des risques du système d’information
  • Définition du PCA ou du PRA
  • Définition des processus de gouvernance et de gestion de la crise
  • Accompagnement lors des phases de tests

Voici quelques bonnes pratiques essentielles à respecter pour un PCA/PRA efficaces :

  • Votre plan de reprise ou de continuité d’activité doit être parfaitement à jour sur le plan matériel et infrastructure. En effet, sans connaître les dernières évolutions du système d’information de l’entreprise, le PRA ou le PCA sera voué à l’échec,
  • Vous devez limiter les risques d’erreurs humaines avec une bonne formation des utilisateurs dans leur capacité à gérer toutes les étapes nécessaires au PRA / PCA ainsi que les différentes dépendances applicatives en cas de sinistre,
  • Il est important de vous assurer de la disponibilité des équipes en charge du PRA / PCA en toutes circonstances,
  • Il est vital de réaliser des tests probants et réguliers pour vérifier que le PRA / PCA fonctionne bien.

PCA / PRA : en interne ou accompagné

La reprise ou la continuité d’activité étant des enjeux stratégiques importants, l’entreprise doit s’assurer que ces démarches sont traitées avec professionnalisme :

  • Il est possible d’élaborer son PRA ou son PCA en interne, si l’on dispose des compétences nécessaires au sein de son personnel.
  • Dans le cas contraire, il sera recommandé de confier cette démarque à une entreprise spécialisée, disposant d’une maîtrise technique et d’une expertise reconnue.

Ainsi, nous venons de mettre en évidence les différents enjeux liés à la continuité ou à la reprise d’activité. Lors d’une panne ou d’un incident, les conséquences pour l’entreprise peuvent être importantes. Mettre en place un PCA ou un PRA c’est établir une organisation et des procédures permettant de limiter ou de supprimer les impacts subis par le système d’information.

Cette démarche étant relativement technique et pointue, il est important de la confier à un ou plusieurs collaborateurs compétents, ou encore de l’externaliser en faisant appel à un prestataire spécialisé expert.

Déessi vous accompagne dans la mise en place de votre plan de continuité ou de retour à l’activité :

Pour découvrir nos offres PCA / PRA, cliquez ici,
– Pour en savoir plus ou exprimer votre besoin, contactez-nous !

Partagez notre article , Choisissez votre plateforme

Table des matières :

Inscrivez-vous à la newsletter Déessi !

« * » indique les champs nécessaires

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories :