Plan de continuité ou de reprise d’activité : quel intérêt ?

Accueil-Blog-Plan de continuité ou de reprise d’activité : quel intérêt ?

Plan de continuité ou de reprise d’activité : quel intérêt ?

Plan de continuité ou de reprise d’activité : quelles sont les différences et comment choisir ?

Au sein d’un système d’information, un sinistre est vite arrivé. Alors que les risques de rupture d’activité sont toujours plus élevés (panne de réseau, piratage informatique, catastrophe naturelle ou autres), la question de la continuité ou de la reprise de l’activité s’avère déterminante pour les entreprises.

De fait, pour éviter des conséquences dramatiques sur l’activité, il est nécessaire de garantir la haute disponibilité du SI. Or, si la sécurité du système d’information est souvent abordée à travers une approche logicielle (anti-virus, anti-malwares…), elle doit néanmoins être encadrée par des dispositifs plus rigoureux et plus efficients, à l’instar d’un plan de continuité d’activité (PCA) ou d’un plan de reprise d’activité (PRA).

Quelles sont les différences ? Comment choisir le plan qui correspond le mieux aux besoins de votre organisation ?

Pourquoi prévoir un plan de continuité ou de reprise d’activité ?

Un plan de continuité (PCA) ou de reprise (PRA) d’activité garantit l’accès aux applications et aux données stratégiques de l’entreprise, grâce à des équipements de secours. Il s’agit d’un système redondant qui prend le relais afin de permettre à l’activité de se poursuivre ou de garantir un redémarrage rapide après une interruption. L’avantage étant que les utilisateurs, eux, ressentent peu (ou pas du tout) cette transition, ce qui réduit le risque de subir les conséquences négatives d’un arrêt du système.

Quelles conséquences ? Une interruption du système d’information d’une entreprise peut conduire à : 

  • Une perte nette de chiffre d’affaires (l’activité ne pouvant plus être assurée);
  • Une dégradation de l’image de marque (due au mécontentement des utilisateurs);
  • Un impact juridique (si l’incident empêche l’organisation de remplir ses obligations contractuelles);
  • Et/ou un ressenti négatif de la part des collaborateurs, des clients, des partenaires.

L’intérêt d’un plan de reprise ou de continuité d’activité réside ainsi dans la prévention des sinistres. À ce titre, on peut comparer un PCA/PRA à une assurance habitation : une protection qui peut sembler superflue 99 % du temps, mais qui devient pleinement utile lorsqu’un problème advient. Justement, quelle protection offrent ces solutions ?

Qu’est-ce qu’un plan de continuité d’activité ?

Le plan de continuité d’activité (PCA) désigne une politique globale de gestion des menaces potentielles, qui évalue les impacts éventuels qu’une organisation pourrait subir si ces menaces venaient à se concrétiser, et qui garantit la continuité de l’activité.

Le PCA fournit donc le cadre dans lequel l’entreprise va bâtir sa politique de résilience en se donnant les moyens de répondre efficacement aux menaces qui pèsent sur elle, tout en préservant ses propres intérêts et ceux de ses parties prenantes.

Chaque entreprise définit par elle-même les risques auxquels elle fait face, et les mesures qu’elle peut prendre pour s’en prémunir. Pour une organisation qui fait de la haute disponibilité de son système d’information un besoin critique, le plan de continuité d’activité visera à s’assurer que les applications indispensables à son bon fonctionnement resteront disponibles même en cas de sinistre, sans subir de rupture d’exploitation, et sans suspendre les services auxquels ont accès ses clients.

Au cœur du PCA, il y a la conception de l’architecture du système d’information. Il s’agit en effet de :

  • Mettre en place des équipements redondants (réseau, serveurs, systèmes de stockage des données) susceptibles de prendre le relais si un élément critique vient à subir une défaillance, et ce, sur plusieurs sites géographiquement distants;
  • Mettre à jour les données en permanence sur le réseau primaire et secondaire;
  • S’assurer de la disponibilité des ressources matérielles et organisationnelles sur l’ensemble de la chaîne (personnel, locaux, postes de travail, outils de communication, etc.);
  • Déterminer quelles applications et données sont indispensables au maintien de l’activité, et prioriser les besoins.

Notez qu’un PCA global peut regrouper plusieurs plans de reprise d’activité adaptés aux besoins de l’entreprise : un PRA dédié au SI, un autre en lien avec le directeur financier, etc.

Qu’est-ce qu’un plan de reprise d’activité (PRA) ?

Le plan de reprise d’activité (PRA) permet une reprise ou un redémarrage rapide de l’activité en cas d’interruption, en fonction du tempo défini par les équipes. À l’inverse du PCA qui vise à empêcher l’arrêt de l’activité, le PRA consiste à gérer ce risque. Ainsi, en cas d’indisponibilité du SI, le plan de reprise décrit l’ensemble des procédures à suivre afin de redémarrer le système dans les meilleurs délais, et de le remettre dans l’état dans lequel il se trouvait avant le sinistre.

Les procédures prévues par le PRA visent à limiter les effets négatifs de l’incident sur l’activité de l’organisation. Cela nécessite de prévoir un système de sauvegarde et de restauration des données, à partir d’un site de secours (idéalement extérieur à l’entreprise), mais aussi de bien connaître la criticité des différents éléments du système afin de sélectionner un ordre pertinent de redémarrage et de fixer des délais acceptables. En outre, il est possible de prévoir une copie “saine” des données, afin d’éviter un chiffrement total ou partiel en vue d’une restauration nettoyée de tout ransomware.

Enfin, il est indispensable de déterminer les causes et les règles de déclenchement d’un plan de reprise d’activité via un comité préétabli qui, en cas d’incident, pourra prendre les décisions adéquates sur la base des éléments à sa disposition, et de tester le PRA en mode réel une à deux fois par an.

PCA ou PRA : comment choisir la bonne solution ?

Voici les questions à vous poser pour choisir entre un PCA et un PRA :

  • Votre organisation peut-elle se permettre une interruption (même brève) de son activité ? (Par exemple, pour un hôpital, une rupture du réseau informatique peut s’avérer désastreuse, auquel cas il faut miser sur un PCA.) À ce titre, il y a deux indicateurs de temps à prendre en compte : le Recovery Time Objective (RTO), qui désigne le délai maximal pouvant être supporté pour la remise en route de l’activité, et le Recovery Point Objective (RPO), qui se réfère à la quantité maximale de données qu’une entreprise peut consentir à perdre (ou à ne pas mettre à jour).
  • Quel est votre budget ? Pour le calculer, il est important d’évaluer l’impact économique d’un arrêt complet de votre système d’information pendant un temps donné. Et de garder en tête qu’un PCA ou PRA, pour être pertinent, se doit d’être actualisé avec régularité – ce qui a un coût.
  • Quelles applications et données critiques doivent être sauvegardées ou pérennisées ?

En outre, vous devez tenir compte des problématiques associées à une éventuelle externalisation de la sauvegarde de l’infrastructure, afin de considérer la possibilité d’un sinistre touchant vos locaux : incendie, inondation, séisme…

Enfin, notez qu’un PCA/PRA se prépare à l’avance, avec une marge qui dépend de la taille de l’infrastructure et des éléments à identifier : comptez au moins trois mois de délai.

Quel que soit votre besoin, Iguane Solutions vous accompagne sur l’aspect technique de la mise en place de votre plan de continuité ou de reprise d’activité, en partant de votre analyse des risques et en fonction de vos enjeux ainsi que de vos contraintes.

Gardez à l’esprit qu’aucun PCA/PRA ne ressemble à aucun autre, et que chacun doit être bâti spécifiquement pour répondre aux problématiques d’une entreprise.

 

Vous souhaitez en savoir plus ? 

Contactez-nous pour échanger

Migration vers le Cloud, accompagnement 24/7, Kubernetes, FinOps

CONTACTEZ-NOUS