Plan de reprise d'activité (PRA) : 6 étapes pour le mettre en place

Télécharger le guide du marketing privacy-first
Tiphaine Cuisset
Tiphaine Cuisset

Mis à jour :

Publié :

La cybersécurité est un réel enjeu pour les entreprises qui doivent anticiper un arrêt potentiel de leur infrastructure informatique, suite à une cyberattaque, une panne ou un logiciel malveillant. Elles doivent s'assurer d'avoir un système informatique de secours à travers la mise en place d'un plan de reprise d'activité (PRA). Cet outil, qui permet la reprise des activités en cas de sinistre informatique, doit respecter certaines règles pour être performant. Voici ce qu'il faut savoir sur le PRA : définition, différence avec le PCA, son importance et les étapes pour sa mise en place.

Onglet sécurité d'un site en prévision d'un PRA
Téléchargement >> Le guide pour allier croissance de l'entreprise et respect de la vie privée

Qu'est-ce que le plan de reprise d'activité (PRA) ?

Le plan de reprise d'activité (PRA) est un ensemble de documents regroupant les démarches à effectuer pour mettre en place une infrastructure informatique de secours. Il doit assurer la reprise des activités de l'entreprise suite à un arrêt ponctuel du système d'information.

Cet arrêt peut résulter d'une faille informatique, d'une cyberattaque, d'un vol ou d'une perte de données, d'une négligence humaine, d'une panne. Le PRA intervient uniquement lorsque l'entreprise subit un arrêt total de ses activités informatiques. L'objectif du PRA est de minimiser le temps d'arrêt afin de relancer au plus vite l'activité de l'entreprise.

Afin d'assurer un fonctionnement informatique performant, le PRA s'appuie sur un réseau informatique tiers et sur des sauvegardes de données. Il doit être bien réfléchi et testé de manière régulière.

Quelle est la différence entre le PCA et le PRA ?

Le plan de continuité des activités (PCA) appelé aussi Business Continuity Plan (BCP) se distingue du PRA.

Le PRA permet d'anticiper l'interruption de l'activité et prévoit ses conditions de reprise. Le PCA, quant à lui, organise la poursuite des activités en cas d'incident informatique, en évitant l'arrêt de l'activité.

Le PCA doit donc être construit de façon à garantir la disponibilité des structures informatiques de l'entreprise, que ce soient les réseaux, les serveurs ou les datacenters.

Il a une fonction préventive pour réduire autant que possible la survenue d'une situation critique.

Le PRA, lui, est déclenché après que le sinistre ait eu lieu. Il a pour but de mener à une reprise de l'activité en mode partiel ou dégradé, dans les meilleurs délais. Les applications les plus stratégiques pour le fonctionnement de l'entreprise doivent être relancées par le PRA.

Le PCA et le PRA peuvent être complémentaires. C'est notamment le cas dans les secteurs d'activité où une interruption d'activité, même rapide, représente un véritable danger pour la sauvegarde des données ou une importante perte financière.

 

Est-ce important d'avoir un plan de reprise d'activité ?

En informatique, il existe un grand nombre de sinistres pouvant endommager une partie ou l'ensemble des ressources informatiques de l'entreprise. En conséquence, l'activité de l'entreprise est mise en péril.

Une longue interruption du système informatique a un impact financier important, mais peut aussi nuire à la réputation de l'entreprise. En effet, elle peut subir une perte de chiffre d'affaires suite à l'arrêt du système et perdre des données sensibles. L'arrêt peut également menacer l'accomplissement des obligations contractuelles et réglementaires, ce qui conduit à des conséquences juridiques dommageables.

Bien que le déploiement d'un plan de reprise d'activité représente un coût, il est vite rentabilisé au vu des conséquences néfastes qu'il permet d'éviter à l'entreprise.

Le PRA, en s'appuyant sur une cartographie des risques, permet de garantir la pérennité des activités de l'entreprise en :

  • Anticipant et atténuant les impacts des cyber-crises.
  • Protégeant les données numériques sensibles lors d'un sinistre.
  • Assurant la continuité des activités après la survenue du sinistre.
  • Déployant un système de secours pour relancer les applications informatiques essentielles.

Le PRA détaille l'ensemble des processus à suivre pour reconstruire un système d'information (SI) à partir de données répliquées. Il indique comment redémarrer les applications, il précise le système de sauvegarde à enclencher pour assurer la sécurité des données confidentielles. Le PRA contient également :

  • Le seuil tolérable du délai d'interruption, appelé aussi RTO (Recovery Time Objective). Il s'agit de la durée maximale d'interruption que l'entreprise peut supporter avant que la situation ne soit critique.
  • Le seuil tolérable de la perte de données, ou RPO (Recovery Point Objective). Il s'agit de la perte de données maximale admissible par l'entreprise.

Comment allier croissance de l'entreprise et respect de la vie privée ?

La guide pour parvenir à obtenir des données client depuis son site web

Comment mettre le PRA en place ?

L'élaboration d'un PRA s'effectue en plusieurs étapes.

1. Réaliser un audit du système d'information

Avant toute chose, il convient de faire un audit du SI pour juger son niveau de protection. Pour cela, il est conseillé de faire un inventaire des outils informatiques essentiels à la reprise d'activité :

  • Les besoins en matière de débit et de réseau.
  • Les applications logicielles utilisées au quotidien.
  • Les serveurs existants.
  • Les sauvegardes automatiques : volume, périodicité.

Par ailleurs, certains secteurs d'activité sont soumis à des normes et des réglementations pour la reprise d'activité. Il convient donc de vérifier ces recommandations officielles.

2. Recenser les risques

De cet audit découle l'identification des causes éventuelles de pannes. Il peut s'agir, par exemple, d'une panne matérielle, logicielle, d'une coupure électrique, d'un incendie, d'une erreur humaine, d'une cyberattaque ou encore d'une catastrophe naturelle.

Cette étape permet d'identifier les risques pour mieux les anticiper et prévoir tous les scénarios possibles.

3. Lister les activités critiques

Au sein de l'entreprise, certaines activités supportent moins l'interruption du SI que d'autres. Il faut donc les classer selon leur degré de criticité et leur nécessité pour le bon fonctionnement de l'entreprise.

Il convient également de comparer ce niveau critique à la probabilité des risques envisagés en amont.

À cette étape, il s'agit aussi de finir les RTO et RPO admissibles pour l'entreprise.

4. Définir un budget pour le PRA

Concevoir et mettre en place un plan de reprise d'activité engendrent un coût assez conséquent. Il est important de déterminer le budget, d'autant qu'il va définir quel type de solution privilégier.

Il est recommandé de comparer les dépenses relatives au PRA à celles des conséquences d'un arrêt informatique pour l'entreprise.

5. Envisager la solution informatique de secours

Il reste désormais à déterminer l'infrastructure informatique destinée à héberger les applications de secours.

Selon le budget à y allouer, elle sera différente dans chaque entreprise. Il est possible d'avoir recours à un site de secours local ou distant ou d'opter pour un hébergement sur le cloud (solution DRaaS).

6. Tester le PRA régulièrement et le documenter

Le PRA doit être mis à jour et contenir les nouveaux logiciels acquis par l'entreprise. Les applicatifs de secours et les procédures de réplication des données doivent aussi être testés. Cela permet de garantir la fiabilité du PRA.

Par ailleurs, le PRA doit être précisément documenté avec les divers tests et les échecs pour être performant.

 

Pour aller plus loin, téléchargez le guide du marketing privacy-first et découvrez comment obtenir des données pertinentes depuis votre site web.

Nouveau call-to-action
Sujets : Support client Outil de ticketing gratuit

Articles recommandés

  • Qu'est-ce que le knowledge management ?

    Qu'est-ce que le knowledge management ?

    01 février 2024

  • Service client international : comment aider ses clients dans toutes les langues ?

    Service client international : comment aider ses clients dans toutes les langues ?

    26 janvier 2024

  • Support technique : définition, intérêt et mise en place

    Support technique : définition, intérêt et mise en place

    04 août 2023

  • TMA (Tierce Maintenance Applicative) : définition, conseils

    TMA (Tierce Maintenance Applicative) : définition, conseils

    31 juillet 2023

  • Gestion de file d'attente : les meilleures pratiques pour un service client exceptionnel

    Gestion de file d'attente : les meilleures pratiques pour un service client exceptionnel

    16 mai 2023

  • Comment offrir une expérience client personnalisée avec un service client automatisé

    Comment offrir une expérience client personnalisée avec un service client automatisé

    30 mars 2023

  • Support client : Définition, conseils et exemples

    Support client : Définition, conseils et exemples

    24 mars 2023

  • Qu'est-ce qu'une base de connaissances ?

    Qu'est-ce qu'une base de connaissances ?

    15 mars 2023

  • Helpdesk : définition, intérêt et logiciels

    Helpdesk : définition, intérêt et logiciels

    15 mars 2023

  • Le management des connaissances selon Nonaka et Takeuchi

    Le management des connaissances selon Nonaka et Takeuchi

    27 octobre 2022

    HubSpot respecte votre vie privée. HubSpot utilise les informations que vous fournissez afin de vous faire parvenir des informations au sujet de contenu, de produits et de services pertinents. Vous pouvez vous désinscrire de ces communications à tout moment. Pour plus d'informations, veuillez consulter la politique de confidentialité de HubSpot.

    Comment allier croissance de l'entreprise et respect de la vie privée.

    Service Hub provides everything you need to delight and retain customers while supporting the success of your whole front office

    START FREE OR GET A DEMO