Imaginez : il pleut énormément, ce weekend, bien plus que d’habitude. De chez vous, vous regardez cette multitude de gouttes d’eau s’abattre impitoyablement sur le sol… Et vous songez à votre entreprise. Que se passerait-il si une coulée de boue se déversait dans la zone où elle est implantée ? Votre salle informatique y résisterait-elle ? Et si ce n’était pas le cas, comment pourriez-vous poursuivre vos activités ?
Dans un contexte de réchauffement climatique, il est capital que vous soyez capable de répondre à cette question, surtout si votre entreprise est établie à La Réunion. C’est précisément l’objectif d’un plan de reprise d’activités (PRA) ou d’un plan de continuité d’activité (PCA).
Qu’est-ce qu’un plan de reprise d’activité informatique ?
Le plan de reprise d’activité informatique est un document détaillant les procédures à appliquer en cas de survenance d’une catastrophe susceptible d’affecter l’intégrité du système informatique de l’entreprise. Peu importe qu’il s’agisse d’une catastrophe météorologique, d’une perte de données accidentelle ou d’une cyberattaque malveillante.
Ce plan est personnalisé pour chaque entreprise. Il lui permet de déterminer les risques sur lesquels elle doit concentrer son attention et de délimiter les actifs qu’elle doit protéger en priorité.
Il lui fournit également une stratégie pour assurer le retour à une activité normale le plus rapidement possible avec une perte de données réduite au minimum.
Disposer d’un PRA est essentiel si un désastre de ce type se produit, car dans certains cas, c’est tout simplement la survie de votre entreprise qui est en jeu.
Quelle différence entre plan de reprise d’activité informatique (PRA) et plan de continuité d’activité (PCA) ?
Le plan de reprise d’activité informatique cherche à réduire au minimum l’impact d’un incident sur vos opérations commerciales.
Les entreprises les mieux préparées et dotées des plans les sophistiqués peuvent être à même de reprendre la (quasi-)totalité de leurs activités habituelles après un sinistre. Mais dans la plupart des cas, la reprise est effectuée en mode dégradé, et ce n’est que peu à peu que l’entreprise récupère sa faculté à assurer toutes ses fonctions.
Un plan de continuité d’activité (PCA) est un plan plus élaboré qu’un plan de reprise d’activité, dans la mesure où il vise à instaurer une continuité de service, quoi qu’il arrive. Il doit donc prévoir des moyens pour éviter toute interruption de service.
Il peut par exemple prévoir la création et la mise en place d’un site alternatif offrant une infrastructure comparable à celle du site à protéger. En cas de survenance d’une catastrophe, les employés pourront rapidement s’y rendre pour y poursuivre leurs activités. C’est ce que l’on nomme la redondance.
Cette redondance est plus ou moins complète, suivant les moyens que les entreprises peuvent y consacrer. Car elle suppose de disposer des budgets nécessaires pour dupliquer les équipements du site à protéger. Mais parfois, l’enjeu justifie ces dépenses, en particulier si la moindre interruption de service pourrait remettre en cause l’existence même de l’entreprise.
Mais c’est aussi au quotidien que l’entreprise assure la continuité de ses opérations, quoi qu’il arrive. Les sauvegardes doivent être faites régulièrement de manière exhaustive, et une copie doit être conservée sur un site distant.
Les employés doivent connaître les mesures d’urgence et la conduite à suivre en cas d’incident.
Les différentes composantes d’un PRA
Un bon PRA comprend les éléments suivants :
1/ Des objectifs et des cibles
- Des objectifs. Ces objectifs sont ceux que l’entreprise ambitionne de respecter en cas de survenance d’un sinistre : un temps maximal le temps de remise en fonction du service après un désastre (en anglais RTO pour Recovery Time Objective) et la quantité maximale de données perdues acceptable (en anglais, RPO pour Recovery Point Objective)
- Des actifs. Il faut dresser un inventaire des équipements et logiciels en indiquant la nature de leur détention (s’agit-il d’actifs acquis par l’entreprise en propre, ou loués ?).
2/ Des moyens
- Des moyens humains. Il s’agit de définir des responsabilités et de désigner des membres du personnel chargés de piloter son exécution en cas de catastrophe.
- Des détails sur les sauvegardes. Comment et à quelle fréquence réalisez-vous les sauvegardes ? Sur quels supports conservez-vous les données ? Dans quels lieux stockez-vous les copies de sauvegarde ? De même, il faut indiquer les modalités de restauration des données à partir de ces sauvegardes.
- Des sites de reprise de l’activité après sinistre. Certaines entreprises peuvent prévoir la création d’un site de secours. Il intégrera un système informatique opérationnel en position de prendre le relais du système informatique atteint par le désastre. Ce système sera basé sur un site éloigné doté de tous les éléments essentiels de l’entreprise (dont ses logiciels les plus importants) et une réplique de ses données. Idéalement, ce site distant offre également les infrastructures nécessaires au travail des employés. Il sera alors possible d’y transférer rapidement la totalité des activités de l’entreprise.
3/ Des procédures
- Des procédures de reprise après sinistre. Ce sont des actions ordonnées à entreprendre d’urgence après l’incident pour limiter les dégâts et sauver ce qui peut l’être. On peut notamment prévoir des sauvegardes de dernière minute et des mesures pour limiter l’impact d’une cyber-attaque. Par exemple, on peut tenter d’éviter la contamination d’un virus à tout le système informatique.
- Des procédures de restauration. Elles décrivent les étapes nécessaires pour redémarrer les machines et les logiciels, effectuer la restauration des dernières sauvegardes et reconfigurer les systèmes et les réseaux.
Pourriez-vous reprendre vos activités sans heurt rapidement si vos systèmes informatiques devenaient brutalement inopérants ? Mettez fin à l’angoisse de ne pas pouvoir répondre par l’affirmative à cette question et prenez contact avec nous. Nous vous accompagnerons dans la création de votre PRA en adéquation avec le budget que vous pouvez y consacrer, la criticité de vos applications et données et un délai optimal de remise en service.
