PCA informatique : le plan ultime pour faire face à la menace fantôme

Un plan de continuité d’activité, ou PCA, permet à une organisation de faire face à une cyberattaque. Le principe du PCA : imaginer tous les scénarios de sinistres possibles pour préparer les mesures de protection de l’activité adaptées. Véritable “roue de secours” de l’entreprise, il vise comme son nom l’indique à assurer la continuité des activités, presque comme si de rien n’était. Tel est son but en tout cas.

Sans PCA, le moindre sinistre peut tourner à la catastrophe absolue. Éclairage sur cet indispensable – mais trop souvent méconnu-, plan d’action et de réaction.

PCA : définition 

Un PCA, Plan de Continuité d’Activité, vise à assurer la continuité des activités d’une entreprise en cas d’incident. La non-continuité des activités représente en effet un risque majeur pour l’entreprise, associé à des pertes de données et pertes financières proportionnelles au temps d’arrêt subi.

Mettre en place un PCA consiste à faire l’inventaire des menaces potentielles, cyber-menaces notamment, et de leurs impacts, puis à identifier toutes les procédures à mettre en place pour y faire face. 

PCA ou PRA : quelle différence ?

Le  PCA et PRA  sont parfois confondus, mais ils adoptent des approches différentes et complémentaires.

• Le PCA assure une continuité des activités en cas d’attaque.
• Le PRA organise la reprise rapide après une interruption forcée de l’activité.

La mesure des risques liés à une cyberattaque

Le plan de continuité informatique évalue à la fois les menaces potentielles mais aussi leurs impacts.

Analyse de risque

Le PCA fait l’inventaire des différents risques auxquels l’entreprise pourrait être exposée. L’analyse de risque nécessite une collaboration de tous les acteurs du système d’information : techniciens et utilisateurs.

Analyse d’impact

Les résultats de l’analyse d’impact sont avant tout des données temporelles : le temps maximal d’indisponibilité supportable pour chaque activité.

Mettre en place un PCA : les prérequis pour l’entreprise

Après avoir identifié les menaces potentielles pouvant interrompre l’activité de l’entreprise, le PCA permet de déclencher les mesures nécessaires pour une neutralisation du sinistre informatique… Mais impossible de déclencher quoi que ce soit d’efficace sur des machines obsolètes ou du matériel mal entretenu.

La gestion de crise informatique suppose de soigner le parc informatique, la maintenance et les mises à jour en amont : le succès du PCA repose sur la réactivité des machines et la performance des logiciels.

Comment fonctionne un PCA informatique ?

Le principe du PCA consiste à identifier tous les risques pouvant affecter l’entreprise.. 

Mise en place d’un PCA informatique : les étapes

1- Étude du contexte.

La mise en place d’un PCA implique un audit informatique, qui permettra d’identifier :

• les faiblesses du système informatique et les risques associés ;
• les activités vitales pour l’entreprise ;
• le “degré d’indispensabilité” de chaque activité pour l’organisation.

Une étude approfondie du contexte global de l’entreprise est nécessaire au déploiement d’un plan performant. Le PCA doit prendre en compte les spécificités de l’entreprise, de chaque service et leurs contraintes.

Une fois les risques identifiés et les activités évaluées, le plan doit :

• Mesurer comment ces risques pourraient nuire ;
• Mettre en œuvre les solutions adéquates ;
• Prévoir des tester ces solutions ;
• Mettre régulièrement le processus à jour.

2- Identification de menaces critiques et scénarios de crise prioritaires.

La mesure du risque passe par l’examen de deux critères :

• le degré de gravité
• la probabilité d’occurrence.

La gravité :

La gravité se détermine par rapport aux conséquences d’un risque. Il peut s’agir de pertes de données, d’argent, de clients, etc.

La probabilité :

Le calcul de la probabilité d’occurrence s’appuie sur une échelle de fréquences combinée à plusieurs facteurs techniques propres au risque.

4 – Inventaire des procédures et moyens à mettre en œuvre.

L’idée est de pouvoir utiliser matériel et réseaux malgré le sinistre, en s’appuyant sur les ressources non-affectées ou des ressources externes.

5 – Rédaction du PCA 

Tous les scénarios et actions possibles doivent être recensés dans un document écrit. Les noms des intervenants jouant un rôle dans le PCA doivent aussi y être mentionnés ainsi que les missions précises de chacun en cas de crise.

Le texte du PCA doit pouvoir être compris par tous, y compris par des personnes n’y ayant pas encore été formées.

6 – Contrôle du  PCA

Des contrôles périodiques, sous forme de pannes fictives notamment, doivent ainsi être provoquées pour vérifier la pertinence du plan et les corrections à apporter. En cas d’inadaptation du plan, on procédera à une réédition.

Il s’agit lors de chaque contrôle de :

• vérifier que les procédures permettent toujours d’assurer la continuité des activités ;
• les mettre à jour si nécessaire ;
• vérifier que le plan est complet et réalisable ;
• maintenir les compétences des équipes de pilotage du PCA à jour ;
• évaluer l’assimilation des procédures par les équipes de pilotage, leur réactivité et leur résistance.

Le Plan de Continuité d’activité : un plan d’action toujours en évolution

Le PCA ne peut être un document figé : il doit évoluer avec l’organisation pour répondre à ses besoins.

Pour être efficace, un PCA doit rester souple, et s’adapter (être adapté) constamment aux évolutions de l’entreprise. Le Plan de Continuité d’Activité doit aussi être intégralement revu et mis à jour régulièrement, au moins une fois par an, pour intégrer l’évolution des technologies et des objectifs de l’entreprise.

La meilleure façon de mettre un jour un PCA est d’en sous traiter la gestion à un spécialiste de l’infogérance informatique, l’idée – et l’idéal- étant d’aboutir à une maintenance préventive permanente. Mieux vaut prévenir que guérir.