La cybersécurité est un réel enjeu pour les entreprises qui doivent anticiper un arrêt potentiel de leur infrastructure informatique, suite à une cyberattaque, une panne ou un logiciel malveillant. Elles doivent s'assurer d'avoir un système informatique de secours à travers la mise en place d'un plan de reprise d'activité (PRA). Cet outil, qui permet la reprise des activités en cas de sinistre informatique, doit respecter certaines règles pour être performant. Voici ce qu'il faut savoir sur le PRA : définition, différence avec le PCA, son importance et les étapes pour sa mise en place.
Qu'est-ce que le plan de reprise d'activité (PRA) ?
Le plan de reprise d'activité (PRA) est un ensemble de documents regroupant les démarches à effectuer pour mettre en place une infrastructure informatique de secours. Il doit assurer la reprise des activités de l'entreprise suite à un arrêt ponctuel du système d'information.
Cet arrêt peut résulter d'une faille informatique, d'une cyberattaque, d'un vol ou d'une perte de données, d'une négligence humaine, d'une panne. Le PRA intervient uniquement lorsque l'entreprise subit un arrêt total de ses activités informatiques. L'objectif du PRA est de minimiser le temps d'arrêt afin de relancer au plus vite l'activité de l'entreprise.
Afin d'assurer un fonctionnement informatique performant, le PRA s'appuie sur un réseau informatique tiers et sur des sauvegardes de données. Il doit être bien réfléchi et testé de manière régulière.
Quelle est la différence entre le PCA et le PRA ?
Le plan de continuité des activités (PCA) appelé aussi Business Continuity Plan (BCP) se distingue du PRA.
Le PRA permet d'anticiper l'interruption de l'activité et prévoit ses conditions de reprise. Le PCA, quant à lui, organise la poursuite des activités en cas d'incident informatique, en évitant l'arrêt de l'activité.
Le PCA doit donc être construit de façon à garantir la disponibilité des structures informatiques de l'entreprise, que ce soient les réseaux, les serveurs ou les datacenters.
Il a une fonction préventive pour réduire autant que possible la survenue d'une situation critique.
Le PRA, lui, est déclenché après que le sinistre ait eu lieu. Il a pour but de mener à une reprise de l'activité en mode partiel ou dégradé, dans les meilleurs délais. Les applications les plus stratégiques pour le fonctionnement de l'entreprise doivent être relancées par le PRA.
Le PCA et le PRA peuvent être complémentaires. C'est notamment le cas dans les secteurs d'activité où une interruption d'activité, même rapide, représente un véritable danger pour la sauvegarde des données ou une importante perte financière.
Est-ce important d'avoir un plan de reprise d'activité ?
En informatique, il existe un grand nombre de sinistres pouvant endommager une partie ou l'ensemble des ressources informatiques de l'entreprise. En conséquence, l'activité de l'entreprise est mise en péril.
Une longue interruption du système informatique a un impact financier important, mais peut aussi nuire à la réputation de l'entreprise. En effet, elle peut subir une perte de chiffre d'affaires suite à l'arrêt du système et perdre des données sensibles. L'arrêt peut également menacer l'accomplissement des obligations contractuelles et réglementaires, ce qui conduit à des conséquences juridiques dommageables.
Bien que le déploiement d'un plan de reprise d'activité représente un coût, il est vite rentabilisé au vu des conséquences néfastes qu'il permet d'éviter à l'entreprise.
Le PRA, en s'appuyant sur une cartographie des risques, permet de garantir la pérennité des activités de l'entreprise en :
- Anticipant et atténuant les impacts des cyber-crises.
- Protégeant les données numériques sensibles lors d'un sinistre.
- Assurant la continuité des activités après la survenue du sinistre.
- Déployant un système de secours pour relancer les applications informatiques essentielles.
Le PRA détaille l'ensemble des processus à suivre pour reconstruire un système d'information (SI) à partir de données répliquées. Il indique comment redémarrer les applications, il précise le système de sauvegarde à enclencher pour assurer la sécurité des données confidentielles. Le PRA contient également :
- Le seuil tolérable du délai d'interruption, appelé aussi RTO (Recovery Time Objective). Il s'agit de la durée maximale d'interruption que l'entreprise peut supporter avant que la situation ne soit critique.
- Le seuil tolérable de la perte de données, ou RPO (Recovery Point Objective). Il s'agit de la perte de données maximale admissible par l'entreprise.
Comment allier croissance de l'entreprise et respect de la vie privée ?
Maximisez vos performances marketing en regagnant la confiance de vos clients.
- Données zero-party
- Confiance client
- Gestion des données personnelles
- Outils à utiliser
Télécharger
Tous les champs sont obligatoires.
Merci d'avoir soumis le formulaire
Cliquez sur le lien pour accéder au contenu en tout temps
Comment mettre le PRA en place ?
L'élaboration d'un PRA s'effectue en plusieurs étapes.
1. Réaliser un audit du système d'information
Avant toute chose, il convient de faire un audit du SI pour juger son niveau de protection. Pour cela, il est conseillé de faire un inventaire des outils informatiques essentiels à la reprise d'activité :
- Les besoins en matière de débit et de réseau.
- Les applications logicielles utilisées au quotidien.
- Les serveurs existants.
- Les sauvegardes automatiques : volume, périodicité.
Par ailleurs, certains secteurs d'activité sont soumis à des normes et des réglementations pour la reprise d'activité. Il convient donc de vérifier ces recommandations officielles.
2. Recenser les risques
De cet audit découle l'identification des causes éventuelles de pannes. Il peut s'agir, par exemple, d'une panne matérielle, logicielle, d'une coupure électrique, d'un incendie, d'une erreur humaine, d'une cyberattaque ou encore d'une catastrophe naturelle.
Cette étape permet d'identifier les risques pour mieux les anticiper et prévoir tous les scénarios possibles.
3. Lister les activités critiques
Au sein de l'entreprise, certaines activités supportent moins l'interruption du SI que d'autres. Il faut donc les classer selon leur degré de criticité et leur nécessité pour le bon fonctionnement de l'entreprise.
Il convient également de comparer ce niveau critique à la probabilité des risques envisagés en amont.
À cette étape, il s'agit aussi de finir les RTO et RPO admissibles pour l'entreprise.
4. Définir un budget pour le PRA
Concevoir et mettre en place un plan de reprise d'activité engendrent un coût assez conséquent. Il est important de déterminer le budget, d'autant qu'il va définir quel type de solution privilégier.
Il est recommandé de comparer les dépenses relatives au PRA à celles des conséquences d'un arrêt informatique pour l'entreprise.
5. Envisager la solution informatique de secours
Il reste désormais à déterminer l'infrastructure informatique destinée à héberger les applications de secours.
Selon le budget à y allouer, elle sera différente dans chaque entreprise. Il est possible d'avoir recours à un site de secours local ou distant ou d'opter pour un hébergement sur le cloud (solution DRaaS).
6. Tester le PRA régulièrement et le documenter
Le PRA doit être mis à jour et contenir les nouveaux logiciels acquis par l'entreprise. Les applicatifs de secours et les procédures de réplication des données doivent aussi être testés. Cela permet de garantir la fiabilité du PRA.
Par ailleurs, le PRA doit être précisément documenté avec les divers tests et les échecs pour être performant.
Pour aller plus loin, téléchargez le guide du marketing privacy-first et découvrez comment obtenir des données pertinentes depuis votre site web.