Cet article a pour but de vous expliquer comment mettre en place un PRA efficace contre les sinistres informatiques.
Face à la hausse des risques de sinistres et à l’importance de leur impact sur votre business, il est primordial de se pencher sur le sujet des plans de continuité et de reprise d’activité.
Source : economie.gouv.fr
En cas de sinistre, disposez-vous de processus ou de plans (appelés PCA/PRA) vous permettant de reprendre efficacement l’activité normale ?
Votre usine continuerait-elle de fonctionner si votre informatique vous lâche ?
Combien seriez-vous prêt à dépenser pour éviter que votre activité et vos équipes ne s’arrêtent pendant une semaine ?
Face à toutes ces questions, nous vous présentons les 5 étapes pour une mise en place réussie d’un plan de reprise d’activité.
Il s’agit d’une méthode concrète qui vous permettrait d’éviter d’énormes pertes, en cas d’arrêt, de panne ou de sinistre IT.
PRA/PCA : de quoi parle-t-on ?
Avant de vous présenter les 5 étapes d’un PRA efficace en cas de sinistre informatique, nous tenons à vous expliquer ce que sont concrètement le PRA et le PCA. Mais également en quoi ces 2 solutions sont complémentaires, pour assurer la pérennité de votre entreprise.
Le PRA : un redémarrage rapide et ordonné de votre activité
PRA signifie Plan de Reprise de l’Activité.
C’est une procédure permettant d’assurer la reprise des activités de votre entreprise, en cas de sinistre. Il se matérialise par un document, répertoriant les différentes étapes à suivre pour :
- Reconstruire son système d’information en cas de crise importante
- Remettre en route les applications nécessaires à l’activité
Son but est donc d’anticiper et d’atténuer les effets d’un sinistre sur votre business.
Aucune entreprise n’est à l’abri d’une inondation, d’un incendie, ou d’une destruction de données.
? Selon Statista, en 2020, le coût horaire moyen des temps d’arrêt des serveurs s’élève :
- De 301 000$ à 400 000$, pour 25% des répondants
- De 401 000$ à 500 000$, pour 12% des répondants
- De 501 000$ à 1 000 000$, pour 11% des répondants
- A plus d’1 000 000$, pour 40% des répondants
Ces chiffres montrent l’impact que peut avoir une panne informatique sur la rentabilité d’une entreprise.
En tant que décideur, vous devez vous intéresser de près à ce sujet.
Le PCA : assurer la survie de votre business en temps de crise
PCA signifie Plan de Continuité de l’Activité.
C’est une procédure permettant d’assurer la continuité des activités de votre entreprise sans :
- Perte de données
- Rupture d’accès au SI
- Rupture d’exploitation
Le PCA sert à garantir la disponibilité des applications en cas de sinistre.
En général, sa mise en œuvre requiert l’utilisation d’une architecture informatique jumelle, disposée sur des sites différents.
En cas de sinistre sur l’architecture informatique de l’usine, le PCA vous permet de basculer de manière automatique et sans défaillance sur le système d’information maintenu sur le second site.
PRA/PCA : 2 solutions complémentaires pour assurer la pérennité de votre entreprise
Le PRA est un outil d’anticipation et de maîtrise de l’impact d’un sinistre sur votre activité.
Ce sera votre guide, présentant étape par étape la reprise rapide et efficace de votre activité.
Il agit en amont du PCA.
Ce dernier garantit la disponibilité des applications en cas de sinistre, en dupliquant tout ou partie de votre architecture informatique sur un second site.
Vous comprenez donc que ces deux solutions sont complémentaires :
- Un plan de reprise sans l’architecture permettant la disponibilité immédiate des applications-clés de l’entreprise est inutile.
- Tout comme le maintien d’une architecture informatique redondante n’a aucune utilité, si on ne sait pas y recourir de manière ordonnée et automatique le jour j.
C’est la synergie de l’usage d’un document d’anticipation et de maîtrise et d’une architecture de secours, qui protégera de manière efficace votre entreprise en cas de crise.
C’est pour cela que le PRA et le PCA sont deux solutions complémentaires, pour assurer la pérennité de votre activité.
PRA/PCA : Les 5 étapes clés pour une mise en place réussie
La mise en place de PRA/PCA nécessite plusieurs étapes clés.
Étape 1 : Prise en main par la Direction Générale
C’est un facteur clé de succès pour tout projet d’envergure !
La direction générale a pour rôle de prendre les décisions les plus importantes concernant la gestion et la pérennité d’une entreprise.
La mise en place du PRA et d’un PCA entre dans ce champ de responsabilité.
Comme nous l’avons vu plus haut, les retombées financières d’un sinistre informatique peuvent être faramineuses.
Par rapport à cet enjeu financier et aux risques et opportunités liés à la mise en place d’un PRA/PCA, la direction doit saisir ce sujet.
Aussi, son implication dans ce projet va montrer aux différents acteurs son importance par rapport à la pérennité du business et au développement de l’entreprise.
Étape 2 : Identifier les ressources critiques
Selon votre activité, certaines ressources doivent être identifiées comme critiques.
Pour un hôpital, les dossiers des patients doivent absolument être accessibles. Dans le cas contraire, les retombées pourraient être tragiques.
Et il en est de même pour votre entreprise !
Nous vous encourageons à construire un cahier des charges précis, répertoriant les ressources critiques liées à votre activité.
Vous saurez alors sur quels points vos PRA/PCA devront être focalisés.
Étape 3 : Choisir le lieu de stockage du PRA/PCA
Deux possibilités s’offrent à vous :
- Stocker ces plans en interne
- Choisir de les externaliser
Vous pouvez être tenté de les garder près de vous, pour être réactif en cas de panne ou de sinistre. Mais que se passerait-il en cas d’incendie, d’inondation ou de coupure totale de votre réseau ?
Leur finalité étant de répondre efficacement à une situation de crise, ils ne doivent pas faire partie des victimes.
C’est pour cela que nous vous conseillons de les externaliser.
Si vous êtes organisés sur plusieurs sites, vous avez la possibilité de stocker vos PRA/PCA en interne, mais à des endroits différents.
Cependant, pour parer aux risques de panne générale sur l’ensemble de votre réseau d’entreprise, nous vous conseillons fortement de stocker ces plans dans des datacenters externes, grâce à un prestataire qualifié.
Étape 4 : Effectuer des tests réguliers
C’est un point crucial, afin d’atteindre l’objectif de redémarrage de l’activité :
- Le plus rapidement possible
- Avec une perte de données minimale
Pour cela, il vous faudra tester régulièrement en conditions réelles (ou le plus proche possible de la réalité) votre plan de reprise.
Un PRA n’existe pas seulement pour valider une norme ou être en conformité. Il est tout simplement vital pour l’entreprise.
Ces tests permettent de s’assurer que les dispositifs de reprise sont connus, compris et qu’ils peuvent être mis en œuvre dans les meilleurs délais. Ils ont pour but :
- D’apprendre à redémarrer efficacement l’activité
- De corriger les éventuelles défaillances
- De réduire les risques
Étape 5 : Une mise à jour constante
L’entreprise et son environnement évoluent sans cesse.
De nouvelles technologies peuvent être implémentées, et de nouvelles parties prenantes intégrées ou sorties de l’entreprise.
Votre PRA doit s’adapter à ces changements.
Ce n’est pas un document figé, bien au contraire :
- Les dispositifs de secours doivent être entretenus
- Les retours d’expérience doivent être pris en compte
Un PRA à jour, testé régulièrement et maîtrisé par les acteurs concernés protégera votre entreprise en cas de sinistre.
Concernant le PCA, le Secrétariat général de la défense et de la sécurité nationale propose les solutions suivantes :
- Audit interne périodique
- Surveillance régulière et revues de performance
- Vérification de la conformité avec les normes (par exemple ISO 22301)
- Questionnaires d’auto-évaluation sur la connaissance et l’efficacité du PCA
- Retour d’expérience systématique suite à tout événement grave
- Vérification du fonctionnement du dispositif d’amélioration continue
En respectant ces différentes étapes qui partent de l’implication de la DG à la mise à jour permanente de vos PRA/PCA, vous protégez votre entreprise face à des risques de plus en plus menaçants.
Ces plans garantissent le maintien de l’activité, la conservation des données critiques et réduisent drastiquement les pertes de revenus en cas de sinistre.