Un plan de reprise d’activité rassemble des procédures préalablement définies qui seraient mises en œuvre en cas de sinistre. Le PRA est spécialement conçu pour permettre une remise en route des activités et des services dans les meilleurs délais et dans les meilleures conditions. À l’ère des nouvelles technologies, l’un des plus grands enjeux est la gestion, la sauvegarde et la sécurité des données…

Les solutions de secours peuvent être distantes comme un site de secours ou un datacenter ou internes si elles sont construites dans le Cloud. Quoi qu’il en soit, la démarche utilisée pour la mise en place d’un PRA suit toujours la même logique. Découvrez justement les étapes à suivre dans ce cadre.

Mise en place d’un PRA : étape préparatoire

Déterminer les causes probables d’une catastrophe

Les scénario des catastrophes sont à étudier en premier pour assurer la pertinence du PRA à mettre en place. À cette étape, il faut imaginer les pires sinistres pour pouvoir se préparer à y faire face. L’incident qui impacte le système informatique d’une entreprise peut être intentionnel ou non.

Parmi les plus fréquents, il y a les attaques informatiques, les différentes pannes, les dégâts des eaux, l’incendie, l’erreur de manipulation de matériels, la catastrophe naturelle… Un système d’information qui surchauffe risque également d’occasionner la perte des données.

Pour déterminer les causes probables d’une catastrophe, il est nécessaire de réaliser un audit de tous les risques de pannes. Il faut voir leur incidence en amont et visualiser comment intégrer les mesures établies dans la résolution choisie.

Déterminer le niveau de tolérance aux pannes

Il est important aussi de détecter le niveau de tolérance du système informatique aux pannes de logiciels, de matériels, électriques ou autres. Certaines applications métiers ne conviennent pas au mode dégradé de l’entreprise.

Elles sont détectables au moment de l’évaluation des risques. Il s’agit d’identifier ces composantes pour comprendre et mesurer à quel point l’ensemble du SI supporte les cas d’imprévus.

Des employées heureux de travailler ensembleDéterminer les besoins de l’entreprise

Les entreprises ont des besoins différents en ce qui concerne le dispositif de préservation et de réplication des données. II est alors important de bien déterminer les attentes à exploiter et la criticité des environnements applicatifs.

À cette étape, il faut définir le Recovery Time Objective ou RTO et le Recovery Point Ojective ou RPO. C’est la meilleure façon de trouver la solution de sauvegarde automatique bien adaptée au SI de l’entreprise.

Prévoir les différentes responsabilités requises

Cette étape s’appelle « Crisis Management ». Elle consiste à attribuer des rôles aux collaborateurs. II faut désigner des personnes précises qui seront disponibles et capables d’intervenir quand il faut déclencher le processus.

Chaque employé connait à l’avance ce qu’il doit faire en cas de sinistre. Cette étape est alors utile pour maîtriser la situation de la manière la plus organisée et de remettre en marche rapidement les infrastructures prioritaires.

Grâce au Crisis Management, toute l’équipe sera capable de procéder aux gestes et manipulations nécessaires en cas de crise. La mobilisation va alors s’appuyer sur les mesures élaborées dans le plan de reprise d’activité.

Définir les priorités

Lors de la mise en place d’un PRA, il faut tenir compte de la disponibilité des moyens techniques, matériels et financiers. Cette étape est nécessaire aussi pour prévoir la bonne adaptabilité des applications métiers au mode dégradé. Elle évitera alors les dépenses supplémentaires liées au besoin ultérieur d’environnements synchrones.

Si les prioritaires sont bien détectées, la disponibilité ou non des services et des équipements est prévue à l’avance. II y a une grande probabilité d’adapter les moyens disponibles aux exigences de la continuité d’activité. Dans le cas contraire, c’est toujours un avantage d’introduire les coûts de l’infrastructure nécessaire dans le budget prévu pour la solution.

Définir une solution de sauvegarde avantageuse

Pour une entreprise, la solution de sauvegarde la plus intéressante serait celle qui tient compte de ses capacités matérielles et budgétaires tout en restant opérante. Une solution distante sur un site de secours ou sur un datacenter risque de demander plus d’équipements de sauvegarde pour son efficacité.

Même les mesures curatives peuvent aussi nécessiter beaucoup de matériels si la charge de la remise en activité est élevée. Le choix d’équipement est alors important pour que le rétablissement du système informatique soit efficace et moins onéreux.

Tester le PRA

La fiabilité

Une fois que le PRA a été établi, il faut le tester au moins deux fois par an. Ces audits permettent de l’analyse de la solution de sauvegarde et de détecter les éventuelles failles. C’est aussi la manière la plus pertinente d’évaluer la fiabilité du dispositif mis en place.

Chaque test informatique doit être réalisé par des experts. Il implique des coûts importants, mais il faut impérativement le faire pour éviter les pertes de données liées aux éventuels sinistres. Un parc informatique non rétabli après un incident serait fatal pour une entreprise, quelle que soit la taille de celle-ci.

Pour reconnaître la crédibilité du processus, il suffit de s’assurer qu’il permet la récupération les informations contenues dans un système endommagé. La récupération doit se faire automatiquement et ce dernier doit être rétabli au plus vite pour éviter d’interrompre longtemps le travail.

Adapter le PRA à l’évolution du système informatique

Une organisation en plein évolution ne cesse d’apporter de nouveaux changements à son système d’information. Le test informatique consiste alors à adapter la solution de sauvegarde et de continuité d’activité à cette évolution.

Un process fiable lors de son application initiale peut ne plus l’être après des années s’il n’a pas testé et réaligné régulièrement. Il faut alors faire évoluer le PRA afin qu’il puisse s’adapter à l’évolution de l’entreprise.

Prendre en compte les contraintes règlementaires

Pour une entreprise, ce plan devient de plus en plus une exigence pour témoigner sa crédibilité auprès de ses partenaires et de ses clients. En plus des actionnaires directes, la plupart des secteurs financiers, des banques et des assurances réclament cette solution pour faire confiance à une entreprise.

Il existe des typologies d’organisations qui doivent être adaptées aux différentes contraintes réglementaires. Dans certaines situations, il est alors obligatoire de fournir un PRA et un PCA pour promettre un fonctionnement optimal en cas de catastrophe de toute nature.

Susciter le retour d’expériences

L’intérêt du retour d’expériences des acteurs concernés est de mettre en avant les performances des précautions établies. Il faut l’encourager pour bénéficier du partage de connaissance des infrastructures.

Repérer les échecs peut être plus important qu’être informé sur le bon fonctionnement du plan. Tout doit être remonté en documentant la procédure avec précision. Même les petits problèmes de défaillance du système d’information, parfois considérés comme insignifiants, doivent être signalés. Tout ce qui se passe au quotidien doit être documenté systématiquement.

Il faut surtout impliquer les collaborateurs qui vont prendre en chargeant le déclenchement du PRA dans ce retour d’expériences. Ils doivent être conscients de l’importance de ces remontées d’échecs qui doivent se faire aussi régulièrement que les tests. Si ces employés se montrent coopérants, il est probable qu’ils seraient aptes à assurer leurs rôles en cas d’incident avéré.

En France, la présence d’un PRA ou d’un PCA (plan de continuité d’activité) témoigne du professionnalisme de l’entreprise. Adopter cette solution permet surtout de visualiser l’ensemble de l’infrastructure informatique et de se rassurer de son bon fonctionnement. Les avantages sont multiples, mais le plus important, c’est de pouvoir assurer la continuité des diverses opérations en cas de cyberattaques.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici